DoorDash hat eine Datenpanne bestätigt, die Kontaktinformationen einer nicht näher genannten Anzahl von Nutzern offengelegt hat. Das Unternehmen stellte am 25. Oktober einen unbefugten Zugriff fest, nachdem es verdächtige Aktivitäten mit einem Mitarbeiterkonto festgestellt hatte. Laut der Offenlegung des Unternehmens betraf der Vorfall eine dritte Person, die durch einen gezielten Social-Engineering-Betrug Zugang zu internen Systemen erhielt.
Das Unternehmen erklärte, dass diese Methode es dem Angreifer ermöglichte, begrenzte Benutzerdaten zu erhalten, bevor der Zugriff entfernt wurde. DoorDash hat keine spezifischen technischen Details zur Intrusionsmethode veröffentlicht, abgesehen von dem Verweis auf Social-Engineering-Taktiken.
Benachrichtigungen an betroffene Nutzer geben an, dass die offengelegten Daten je nach Person variieren. Die Informationen können Namen, E-Mail-Adressen, Telefonnummern und physische Adressen umfassen. DoorDash teilte mit, dass der Datenverstoß weder Sozialversicherungsnummern, staatlich ausgestellte Identifikationsnummern, Zahlungskarteninformationen noch Bankkontodaten betraf. Das Unternehmen fügte hinzu, dass es keine Beweise für betrügerische Aktivitäten im Zusammenhang mit dem Vorfall habe. Obwohl der Datensatz auf Kontaktdaten beschränkt ist, weisen Sicherheitsanalysten darauf hin, dass diese Informationskategorie dennoch genutzt werden kann, um Phishing oder andere gezielte Betrugsformen zu ermöglichen, wenn sie von Bedrohungsakteuren missbraucht werden.
DoorDash berichtete, dass der Datenverstoß Kunden, Lieferarbeiter, sogenannte Dashers, und Händler betraf. Das Unternehmen benachrichtigt betroffene Personen direkt per E-Mail und In-App-Nachrichten. Obwohl das Ausmaß des Datenverstoßes nicht bekannt gegeben wurde, erklärte DoorDash, dass die betroffene Gruppe nur einen Teil ihrer Nutzerbasis repräsentiert. Das Unternehmen riet den Empfängern von Benachrichtigungsschreiben, die Details sorgfältig zu prüfen und die empfohlenen Schritte zur Kontosicherheit zu befolgen. DoorDash ermutigte Nutzer außerdem, bei eingehenden Nachrichten, die persönliche Informationen anfordern oder sie auf unbekannte Webseiten weiterleiten wollen, vorsichtig zu sein.
Untersuchung und Unternehmensreaktion
Nach der Entdeckung des Vorfalls leitete DoorDash eine interne Untersuchung ein, die von einer externen Cybersicherheitsfirma unterstützt wurde. Das Unternehmen erklärte, die erste Priorität sei es, den unbefugten Zugriff zu beenden und die betroffenen Systeme zu sichern. Das Ermittlungsteam arbeitet daran herauszufinden, welche Informationen eingesehen wurden und wie lange der Angreifer Zugang hatte. DoorDash hat die Erkenntnisse mit den Strafverfolgungsbehörden geteilt und erklärt, dass es mit den Verantwortlichen kooperiert, die die Untersuchung überwachen. Bis jetzt hat das Unternehmen den Angriff keiner bestimmten Gruppe zugeschrieben.
DoorDash erklärte, dass es neue Sicherheitsmaßnahmen einführt, um die Wahrscheinlichkeit ähnlicher Vorfälle in Zukunft zu verringern. Diese Schritte umfassen eine erweiterte Mitarbeiterschulung, die sich auf das Erkennen und Melden von Social-Engineering-Versuchen konzentriert. Das Unternehmen erklärte, dass es die Prozesse zur Identitätsverifizierung während interner Support-Interaktionen verstärkt. Zusätzliche technische Schutzmaßnahmen werden ebenfalls hinzugefügt, obwohl DoorDash nicht angegeben hat, welche Steuerungen eingesetzt werden. Das Unternehmen wies darauf hin, dass diese Änderungen Teil einer umfassenderen Bemühung sind, den Schutz von Nutzerdaten auf seiner Plattform zu verbessern.
Obwohl dieser Vorfall keine finanziellen Informationen betraf, empfahl DoorDash, dass Nutzer ihre Konten auf ungewöhnliche Aktivitäten überwachen. Kunden, Dasher und Händler wurden geraten, aktuelle Mitteilungen zu prüfen und vorsichtig zu sein, wenn sie E-Mails, SMS oder Telefonate erhalten, die scheinbar von DoorDash stammen, aber persönliche Informationen verlangen. Sicherheitsexperten warnen häufig, dass gestohlene Kontaktdaten genutzt werden können, um überzeugende Phishing-Nachrichten zu erstellen, die offizielle Kommunikation nachahmen. DoorDash teilte mit, dass es den betroffenen Personen weiterhin Updates geben wird, während die Untersuchung voranschreitet.
Dieser Verstoß folgt auf frühere vom Unternehmen gemeldete Vorfälle. Im Jahr 2022 enthüllte DoorDash eine Sicherheitsverletzung im Zusammenhang mit einer Phishing-Kampagne, die sich gegen einen Drittanbieter richtete und persönliche Informationen für eine Gruppe von Nutzern offenlegte. Im Jahr 2019 bestätigte das Unternehmen einen separaten Vorfall, der mehr als vier Millionen Kunden, Dasher und Händler betraf. DoorDash erklärte, dass die Lehren aus früheren Ereignissen die aktuellen Sicherheitsverbesserungen beeinflusst haben und das Unternehmen daran arbeite, während des Ermittlungsprozesses Transparenz zu gewährleisten.