La violation de données DoorDash laisse des détails importants sur les clients exposés
Une attaque de phishing sophistiquée a laissé les informations personnelles des clients et les informations de paiement partielles exposées aux pirates.
Le géant de la livraison de nourriture DoorDash a confirmé une violation de données qui a laissé les informations personnelles des clients exposées aux pirates, a annoncé la société dans un communiqué mercredi..
DoorDash a déclaré qu’un « nombre non divulgué de clients s’est fait voler leurs noms, adresses e-mail, adresses de livraison, numéros de téléphone et numéros de carte de paiement partiel ». Pour les chauffeurs de l’entreprise, les pirates ont pu accéder aux noms, numéros de téléphone et adresses e-mail.
Dans sa déclaration, DoorDash a expliqué que la violation était le résultat d’un fournisseur tiers qui a été piraté par une campagne de phishing sophistiquée. Les employés du fournisseur avaient des informations d’identification volées qui ont ensuite été utilisées pour accéder aux outils internes de DoorDash. La société a déclaré avoir coupé l’accès du fournisseur tiers à ses systèmes après avoir découvert une activité « inhabituelle et suspecte ».
DoorDash n’a indiqué aucun calendrier de découverte de la violation. Un porte-parole de DoorDash a déclaré à TechCrunch que la société avait mis du temps à « enquêter pleinement sur ce qui s’était passéquels utilisateurs ont été touchés et comment ils ont été touchés » avant de divulguer la violation de données. »
Selon TechCrunch, DoorDash n’a pas nommé le fournisseur tiers, mais a confirmé que la société avait été atteinte par les mêmes mauvais acteurs qui ont compromis la société de communication SMS Twilio au début du mois.. Parmi les autres entreprises touchées par le piratage de Twilio, citons le service d’authentification Okta; plateforme de messagerie Signal ; et le gestionnaire de mots de passe LastPass. Le PDG de LastPass Karim Toubba a confirmé dans une lettre que les pirates ont volé le code source et les informations exclusives, mais n’ont trouvé « aucune preuve que l’incident a exposé des données ou des mots de passe client ».
Un porte-parole de Twilio a confirmé dans un e-mail à Indigo Buzz qu’il ne s’agissait pas du fournisseur tiers responsable de la violation de DoorDash.
DoorDash a confirmé dans sa déclaration que des informations telles que les mots de passe, les numéros de carte de paiement complets, les numéros de compte bancaire ou les numéros de sécurité sociale ou d’assurance sociale n’étaient pas consultées. En outre, la société a déclaré à TechCrunch qu’elle avait embauché un expert en cybersécurité anonyme pour aider à enquêter sur le compromis et renforcer davantage les systèmes de sécurité de l’entreprise.
« Nous apprécions la confiance que nous avons établie avec chaque membre de la communauté DoorDash et la protection de notre plate-forme et de vos informations personnelles est une priorité absolue pour DoorDash », indique le communiqué de la société. « Nous regrettons sincèrement que cette attaque ait eu lieu. »
Auparavant, en 2019, les pirates informatiques avaient volé les données des clients de DoorDash, ce qui a compromis les informations de 4,9 millions de clients, chauffeurs et commerçants. La société a également imputé l’attaque à un fournisseur tiers anonyme.
MISE À JOUR : 28 août 2022, 19 h 15 HAC Cet article a été mis à jour pour clarifier que le hack Twilio n’était pas responsable de la violation de DoorDash.
