DoorDash a confirmé une violation de données qui a révélé des informations de contact pour un nombre d’utilisateurs non divulgué. L’entreprise a identifié un accès non autorisé le 25 octobre après avoir détecté une activité suspecte impliquant un compte d’employé. Selon la divulgation de l’entreprise, l’incident impliquait un tiers ayant accédé aux systèmes internes via une arnaque ciblée d’ingénierie sociale.
L’entreprise a indiqué que cette méthode permettait à l’attaquant d’obtenir des données utilisateur limitées avant la suppression de l’accès. DoorDash n’a pas publié de détails techniques précis sur la méthode d’intrusion, en dehors de la référence aux tactiques d’ingénierie sociale.
Les notifications envoyées aux utilisateurs concernés indiquent que les données exposées varient selon les individus. Les informations peuvent inclure des noms, des adresses e-mail, des numéros de téléphone et des adresses physiques. DoorDash a indiqué que la violation n’impliquait pas de numéros de sécurité sociale, de numéros d’identification délivrés par le gouvernement, d’informations sur des cartes de paiement ou de comptes bancaires. L’entreprise a ajouté qu’elle ne dispose d’aucune preuve d’activité frauduleuse liée à l’incident. Bien que l’ensemble de données soit limité aux coordonnées, les analystes de la sécurité notent que cette catégorie d’informations peut encore être utilisée pour permettre le phishing ou d’autres formes d’arnaques ciblées si elle est détournée par des acteurs malveillants.
DoorDash a rapporté que la violation a touché des clients, des livreurs appelés Dashers, ainsi que des commerçants. L’entreprise informe directement les personnes concernées par e-mail et messagerie intégrée. Bien que l’ampleur de la faille n’ait pas été divulguée, DoorDash a indiqué que le groupe concerné ne représente qu’un sous-ensemble de sa base d’utilisateurs. L’entreprise a conseillé aux destinataires des lettres de notification de relire attentivement les détails et de suivre les étapes recommandées pour la sécurité du compte. DoorDash a également encouragé les utilisateurs à rester prudents face aux messages entrants qui demandent des informations personnelles ou cherchent à les rediriger vers des sites web inconnus.
Enquête et réponse de l’entreprise
Après la découverte de l’incident, DoorDash a lancé une enquête interne soutenue par une société externe de cybersécurité. L’entreprise a indiqué que la priorité initiale était de mettre fin à l’accès non autorisé et de sécuriser les systèmes concernés. L’équipe d’enquête travaille à comprendre quelles informations ont été consultées et pendant combien de temps l’attaquant a eu accès. DoorDash a partagé ses conclusions avec les forces de l’ordre et a déclaré coopérer avec les responsables supervisant l’enquête. À ce jour, l’entreprise n’a pas attribué l’attaque à un groupe spécifique.
DoorDash a déclaré qu’elle mettait en place de nouvelles mesures de sécurité pour réduire la probabilité d’incidents similaires à l’avenir. Ces étapes incluent une formation élargie des employés, axée sur la reconnaissance et le rapport des tentatives d’ingénierie sociale. L’entreprise a indiqué qu’elle renforçait les processus utilisés pour vérifier l’identité lors des interactions de support internes. Des mesures de sécurité techniques supplémentaires sont également ajoutées, bien que DoorDash n’ait pas précisé quels contrôles seront déployés. L’entreprise a souligné que ces changements s’inscrivent dans un effort plus large visant à améliorer la protection des données des utilisateurs sur toute sa plateforme.
Bien que cet incident n’implique pas d’informations financières, DoorDash a recommandé aux utilisateurs de surveiller leurs comptes pour détecter des activités inhabituelles. Les clients, Dashers et commerçants ont été invités à examiner les communications récentes et à faire preuve de prudence lorsqu’ils reçoivent des e-mails, SMS ou appels téléphoniques qui semblent provenir de DoorDash mais demandent des informations personnelles. Les spécialistes de la sécurité avertissent souvent que les données de contact volées peuvent être utilisées pour créer des messages de phishing convaincants imitant les communications officielles. DoorDash a indiqué qu’il continuera à fournir des mises à jour aux personnes concernées au fur et à mesure de l’avancement de l’enquête.
Cette violation fait suite à des incidents antérieurs signalés par l’entreprise. En 2022, DoorDash a révélé une violation liée à une campagne de phishing visant un fournisseur tiers qui exposait des informations personnelles à un sous-ensemble d’utilisateurs. En 2019, l’entreprise a confirmé un incident distinct ayant touché plus de quatre millions de clients, de Dashers et de commerçants. DoorDash a indiqué que les leçons tirées des événements précédents ont informé ses améliorations actuelles de sécurité et que l’entreprise travaille à maintenir la transparence tout au long du processus d’enquête.