DoorDash ha confermato una violazione dei dati che ha rivelato informazioni di contatto per un numero non divulgato di utenti. L’azienda ha identificato un accesso non autorizzato il 25 ottobre dopo aver rilevato attività sospette che coinvolgevano un account di un dipendente. Secondo la dichiarazione dell’azienda, l’incidente ha coinvolto una terza parte che ha ottenuto accesso ai sistemi interni tramite una truffa mirata di ingegneria sociale.
L’azienda ha affermato che questo metodo permetteva all’attaccante di ottenere dati limitati degli utenti prima che l’accesso venisse rimosso. DoorDash non ha rilasciato dettagli tecnici specifici sul metodo di intrusione oltre al riferimento alle tattiche di ingegneria sociale.
Le notifiche inviate agli utenti interessati indicano che i dati esposti variano da individuo a individuo. Le informazioni possono includere nomi, indirizzi email, numeri di telefono e indirizzi fisici. DoorDash ha dichiarato che la violazione non riguardava numeri di previdenza sociale, numeri di identificazione rilasciati dal governo, informazioni sulle carte di pagamento o dettagli dei conti bancari. La società ha aggiunto di non avere prove di attività fraudolente legate all’incidente. Sebbene il set di dati sia limitato ai dettagli di contatto, gli analisti di sicurezza osservano che questa categoria di informazioni può comunque essere utilizzata per abilitare phishing o altre forme di truffe mirate se abusate da attori minacciosi.
DoorDash ha riferito che la violazione ha colpito clienti, operatori delle consegne noti come Dashers e commercianti. L’azienda sta notificando direttamente le persone colpite tramite email e messaggi in-app. Sebbene la portata della violazione non sia stata resa nota, DoorDash ha dichiarato che il gruppo interessato rappresenta solo una parte della sua base di utenti. L’azienda consigliava ai destinatari delle lettere di notifica di esaminare attentamente i dettagli e di seguire i passaggi raccomandati per la sicurezza dell’account. DoorDash ha anche incoraggiato gli utenti a restare cauti nei messaggi in arrivo che richiedono informazioni personali o cercano di reindirizzarli verso siti web sconosciuti.
Indagine e risposta aziendale
Dopo la scoperta dell’incidente, DoorDash ha avviato un’indagine interna supportata da una società esterna di cybersecurity. L’azienda ha dichiarato che la priorità iniziale era terminare l’accesso non autorizzato e mettere in sicurezza i sistemi interessati. Il team investigativo sta lavorando per capire quali informazioni sono state visualizzate e per quanto tempo l’aggressore ha avuto accesso. DoorDash ha condiviso i risultati con le forze dell’ordine e ha dichiarato di collaborare con i funzionari che supervisionano l’inchiesta. Ad oggi, l’azienda non ha attribuito l’attacco a un gruppo specifico.
DoorDash ha dichiarato di aver implementato nuove misure di sicurezza per ridurre la probabilità di incidenti simili in futuro. Questi passaggi includono una formazione ampliata dei dipendenti focalizzata sul riconoscimento e la segnalazione dei tentativi di ingegneria sociale. L’azienda ha dichiarato di rafforzare i processi utilizzati per verificare l’identità durante le interazioni interne di supporto. Vengono inoltre aggiunte ulteriori misure di sicurezza tecniche, anche se DoorDash non ha specificato quali comandi verranno implementati. L’azienda ha osservato che questi cambiamenti fanno parte di un più ampio sforzo per migliorare la protezione dei dati degli utenti su tutta la sua piattaforma.
Sebbene questo incidente non riguardasse informazioni finanziarie, DoorDash raccomandava agli utenti di monitorare i propri account per eventuali attività insolite. Clienti, Dasher e commercianti sono stati consigliati di rivedere le comunicazioni recenti e di prestare attenzione nel ricevere email, messaggi o telefonate che sembrano provenire da DoorDash ma richiedono informazioni personali. Gli specialisti della sicurezza avvertono comunemente che i dati di contatto rubati possono essere usati per creare messaggi di phishing convincenti che imitano le comunicazioni ufficiali. DoorDash ha dichiarato che continuerà a fornire aggiornamenti alle persone coinvolte man mano che l’indagine procede.
Questa violazione segue incidenti precedenti segnalati dall’azienda. Nel 2022, DoorDash ha rivelato una violazione collegata a una campagna di phishing rivolta a un fornitore terzo, che ha esposto informazioni personali a un certo numero di utenti. Nel 2019, l’azienda ha confermato un episodio separato che ha colpito più di quattro milioni di clienti, Dasher e commercianti. DoorDash ha affermato che le lezioni degli eventi precedenti hanno informato i miglioramenti attuali della sicurezza e che l’azienda sta lavorando per mantenere la trasparenza durante il processo investigativo.