Cabify überprüft Behauptungen, dass ein Bedrohungsakteur eine Datenbank mit detaillierten Informationen über Hunderttausende seiner Fahrer erhalten habe. Ein Nutzer namens Perro postete Proben in einem Online-Forum und bot den vollständigen Datensatz zum Verkauf an. Die Stichproben scheinen vollständige Namen, Wohnadressen, Telefonnummern, E-Mail-Adressen und Identifikatoren zu enthalten, die mit dem Facebook Account Kit verknüpft sind. Forscher, die das Material untersucht haben, sagen, dass die Struktur der Daten mit den während der Fahrer-Einarbeitung gesammelten Informationen übereinstimmt.
Cabify, mit Hauptsitz in Madrid und in ganz Spanien und Lateinamerika, hat nicht bestätigt, ob seine Systeme oder die einer dritten Partei kompromittiert wurden. Das Unternehmen hat sich auch nicht dazu geäußert, wann die angeblichen Daten erhoben wurden oder ob sie sich auf aktuelle oder ehemalige Fahrer beziehen. Analysten weisen darauf hin, dass die geleakten Felder darauf hindeuten, dass die Quelle ein Registrierungs- oder Identitätsverifizierungssystem und nicht routinemäßige Unterstützungsdaten sein könnte. Das Onboarding von Fahrern beinhaltet häufig das Sammeln persönlicher und Kontaktinformationen sowie von Social-Media- oder Plattformkennungen zur Authentifizierung.
Die Art der offengelegten Daten wirft Bedenken auf, da die Datensätze mehrere persönliche Informationen enthalten, die kombiniert werden können, um Fahrer zu imitieren oder sie mit betrügerischen Nachrichten ins Visier zu nehmen. Adressen, Telefonnummern und E-Mail-Informationen können für Social Engineering verwendet werden. Social-Media-Identifikatoren könnten es Kriminellen ermöglichen, Online-Konten mit realen Profilen zu verknüpfen und so die Glaubwürdigkeit gezielter Betrügereien zu erhöhen. Sicherheitsexperten sagen, dass Datensätze dieser Größe für Bedrohungsakteure attraktiv sind, weil sie breite Möglichkeiten für identitätsbasierte Angriffe bieten.
Auch regulatorische Überlegungen treten in den Fokus. Wenn sich bestätigt, dass die Daten echt sind und aus den Systemen von Cabify stammen, müsste das Unternehmen Meldepflichten nach dem europäischen Datenschutzrecht prüfen. Die Datenschutzverordnung verpflichtet Organisationen, Regulierungsbehörden und betroffenen Personen zu benachrichtigen, wenn offengelegte Informationen ein Schadensrisiko darstellen. Persönliche Daten wie Wohnadressen und Kontaktinformationen gelten als sensibel, wenn sie mit einer identifizierbaren Person in Verbindung gebracht werden. Unternehmen, die in mehreren Regionen tätig sind, müssen sich auch mit regionalen Behörden abstimmen, wenn die Daten Fahrer außerhalb der Europäischen Union betreffen.
Der Vorfall verdeutlicht die Cybersicherheitsherausforderungen, denen Mobilitätsplattformen gegenüberstehen, die große Mengen an Identitätsdaten verwalten. Fahrerregistrierungssysteme verwalten von der Regierung ausgestellte Ausweispapiere, Hintergrundüberprüfungsdokumente und detaillierte Kontaktinformationen, die für Kriminelle auch lange nach der Sammlung wertvoll bleiben können. Diese Plattformen verfügen möglicherweise nicht immer über das gleiche Maß an Sicherheitsinvestitionen wie Finanzinstitute, obwohl sie ebenso sensible Daten besitzen. Analysten sagen, dass geleakte Onboarding-Datensätze oft auch nach den ersten Verkäufen weiterhin in Untergrundforen kursieren, was zu langfristiger Exposition für betroffene Personen führt.
Cabify hat keinen Zeitplan für seine interne Überprüfung bereitgestellt. Sicherheitsforscher empfehlen, dass Fahrer, die Informationen mit dem Unternehmen geteilt haben, weiterhin wachsam auf Nachrichten bleiben, die persönliche Daten, unerwartete Verifizierungshinweise oder Änderungen an Kontodaten anfordern. Sie empfehlen außerdem, Finanz- und Identitätskonten auf ungewöhnliche Aktivitäten zu überwachen, während das Unternehmen den Anspruch untersucht.