A empresa de entrega de alimentos DoorDash confirmou que houve uma invasão de dados que expôs informações pessoais dos clientes a hackers, conforme anunciado em comunicado na quarta-feira.
O DoorDash informou que muitos clientes tiveram suas informações pessoais, como nomes, endereços de e-mail, endereços de entrega, números de telefone e números parciais de cartão de pagamento, roubadas. Os hackers também conseguiram acessar nomes, números de telefone e endereços de e-mail de motoristas associados à empresa.
No comunicado, a DoorDash esclareceu que a violação ocorreu devido a um fornecedor externo que foi alvo de um elaborado ataque de phishing. Os colaboradores desse fornecedor tiveram suas credenciais roubadas e utilizadas para acessar as plataformas internas da DoorDash. Após identificar uma atividade incomum e suspeita, a empresa bloqueou o acesso do fornecedor aos seus sistemas.
O DoorDash ainda não divulgou quando irá revelar a descoberta da violação de dados. Um representante da DoorDash informou à TechCrunch que a empresa dedicou tempo para investigar em detalhes o incidente, identificar os usuários afetados e compreender de que forma foram afetados, antes de tornar pública a violação de dados.
Segundo a TechCrunch, a DoorDash não revelou o nome do fornecedor terceirizado, mas afirmou que a empresa foi alvo dos mesmos hackers que comprometeram a empresa de comunicação SMS Twilio recentemente. Outras empresas afetadas pelo ataque ao Twilio incluem o serviço de autenticação Okta, a plataforma de mensagens Sinal e o gerenciador de senhas LastPass. O CEO da LastPass, Karim Toubba, confirmou em uma declaração que os hackers conseguiram acessar o código fonte e informações proprietárias, mas não encontraram evidências de que os dados dos clientes ou senhas tenham sido expostos.
Um representante do Twilio confirmou via e-mail para o Mashable que não foi o terceiro provedor responsável pelo incidente de segurança no DoorDash.
O DoorDash afirmou que dados sensíveis como senhas, números completos de cartões de pagamento, números de conta bancária e números de segurança social não foram comprometidos. Além disso, a empresa informou à TechCrunch que contratou um especialista anônimo em segurança cibernética para auxiliar na investigação do incidente e reforçar a segurança de seus sistemas.
“A empresa DoorDash reconhece a importância da confiança estabelecida com cada integrante da comunidade e assume a responsabilidade de proteger a plataforma e os dados pessoais dos usuários como principal prioridade. Lamentamos profundamente a ocorrência desse incidente.”
- Telefones de clientes da Twilio foram expostos em uma grande violação de segurança.
- Gigabyte foi aparentemente alvo de um ataque de ransomware.
- A quebra de segurança da Robinhood resultou na exposição de informações pessoais de 7 milhões de usuários.
- Importante brecha de segurança expõe impressões digitais de mais de um milhão de indivíduos.
Em 2019, houve um incidente em que hackers conseguiram acessar e roubar informações de 4,9 milhões de clientes, motoristas e comerciantes da DoorDash. A empresa atribuiu a responsabilidade desse ataque a um fornecedor terceirizado não identificado.
Em 28 de agosto de 2022, às 19h15 CDT, este artigo foi atualizado para esclarecer que o incidente de segurança da Twilio não foi o motivo da violação da DoorDash.
Assunto: Proteção online
