DoorDash ha confirmado una filtración de datos que expuso información de contacto de un número no revelado de usuarios. La empresa identificó el acceso no autorizado el 25 de octubre tras detectar actividad sospechosa relacionada con una cuenta de empleado. Según la declaración de la empresa, el incidente involucró a un tercero que accedió a sistemas internos mediante una estafa dirigida a la ingeniería social.
La empresa afirmó que este método permitía al atacante obtener datos limitados de los usuarios antes de que se eliminara el acceso. DoorDash no ha publicado detalles técnicos específicos sobre el método de intrusión, más allá de la referencia a tácticas de ingeniería social.
Las notificaciones enviadas a los usuarios afectados indican que los datos expuestos varían según la persona. La información puede incluir nombres, direcciones de correo electrónico, números de teléfono y direcciones físicas. DoorDash indicó que la brecha no implicaba números de la Seguridad Social, números de identificación emitidos por el gobierno, información de tarjetas de pago ni datos de cuentas bancarias. La empresa añadió que no tiene pruebas de actividad fraudulenta vinculada al incidente. Aunque el conjunto de datos se limita a los datos de contacto, los analistas de seguridad señalan que esta categoría de información aún puede utilizarse para habilitar phishing u otras formas de estafas dirigidas si es mal utilizada por actores maliciosos.
DoorDash informó que la brecha afectó a clientes, repartidores conocidos como Dashers y comerciantes. La empresa está notificando directamente a las personas afectadas mediante correo electrónico y mensajería dentro de la aplicación. Aunque no se ha revelado la magnitud de la brecha, DoorDash afirmó que el grupo afectado representa solo un subconjunto de su base de usuarios. La empresa aconsejó a los destinatarios de las cartas de notificación que revisaran cuidadosamente los detalles y siguieran los pasos recomendados para la seguridad de la cuenta. DoorDash también animó a los usuarios a ser cautelosos con los mensajes entrantes que solicitan información personal o buscan redirigirlos a sitios web desconocidos.
Investigación y respuesta de la empresa
Tras el descubrimiento del incidente, DoorDash inició una investigación interna apoyada por una empresa externa de ciberseguridad. La empresa afirmó que la prioridad inicial era terminar el acceso no autorizado y asegurar los sistemas afectados. El equipo de investigación está trabajando para entender qué información se vio y durante cuánto tiempo tuvo acceso el atacante. DoorDash ha compartido sus conclusiones con las fuerzas del orden y ha declarado que está cooperando con las autoridades que supervisan la investigación. Por ahora, la empresa no ha atribuido el ataque a un grupo específico.
DoorDash ha declarado que está implementando nuevas medidas de seguridad para reducir la probabilidad de incidentes similares en el futuro. Estos pasos incluyen una formación ampliada de empleados centrada en reconocer e informar de los intentos de ingeniería social. La empresa afirmó que está reforzando los procesos utilizados para verificar la identidad durante las interacciones internas de soporte. También se están añadiendo salvaguardas técnicas adicionales, aunque DoorDash no especificó qué controles se están implementando. La compañía señaló que estos cambios forman parte de un esfuerzo más amplio para mejorar la protección de los datos de los usuarios en toda su plataforma.
Aunque este incidente no implicó información financiera, DoorDash recomendó que los usuarios monitorizaran sus cuentas para detectar actividades inusuales. Se aconsejaba a clientes, Dashers y comerciantes revisar las comunicaciones recientes y ser cautelosos al recibir correos electrónicos, mensajes de texto o llamadas telefónicas que parezcan originarse en DoorDash pero soliciten información personal. Los especialistas en seguridad suelen advertir que los datos de contacto robados pueden usarse para crear mensajes de phishing convincentes que imiten comunicaciones oficiales. DoorDash afirmó que continuará proporcionando actualizaciones a las personas afectadas a medida que avance la investigación.
Esta brecha sigue a incidentes anteriores reportados por la empresa. En 2022, DoorDash reveló una brecha vinculada a una campaña de phishing dirigida a un proveedor externo que expuso información personal de un subconjunto de usuarios. En 2019, la empresa confirmó un incidente separado que afectó a más de cuatro millones de clientes, Dashers y comerciantes. DoorDash señaló que las lecciones de eventos anteriores han informado sus mejoras actuales en seguridad y que la empresa está trabajando para mantener la transparencia durante el proceso de investigación.