Cabify onderzoekt beweringen dat een dreigingsactor een database heeft verkregen met gedetailleerde informatie over honderdduizenden van zijn bestuurders. Een gebruiker genaamd Perro plaatste voorbeelden op een online forum en bood de volledige dataset te koop aan. De voorbeelden lijken volledige namen, thuisadressen, telefoonnummers, e-mailadressen en identificaties te bevatten die gekoppeld zijn aan Facebook Account Kit. Onderzoekers die het materiaal onderzochten, zeggen dat de structuur van de data consistent is met de informatie die tijdens het inwerken van chauffeurs is verzameld.
Cabify, met het hoofdkantoor in Madrid en actief in heel Spanje en Latijns-Amerika, heeft niet bevestigd of haar systemen of die van een derde partij zijn gecompromitteerd. Het bedrijf heeft ook geen commentaar gegeven op wanneer de vermeende gegevens zijn verkregen of of het betrekking heeft op huidige of voormalige bestuurders. Analisten merken op dat de gelekte velden suggereren dat de bron een registratie- of identiteitsverificatiesysteem kan zijn in plaats van routinematige ondersteuningsgegevens. Onboarding van chauffeurs omvat vaak het verzamelen van persoonlijke en contactgegevens, samen met sociale media of platformidentificaties die worden gebruikt voor authenticatie.
De aard van de blootgestelde gegevens baart zorgen, omdat de gegevens meerdere persoonlijke gegevens bevatten die gecombineerd kunnen worden om bestuurders te imiteren of hen te benaderen met frauduleuze berichten. Adressen, telefoonnummers en e-mailinformatie kunnen worden gebruikt voor social engineering. Sociale media-identificaties zouden criminelen in staat kunnen stellen online accounts te koppelen aan echte profielen, waardoor de geloofwaardigheid van gerichte oplichting toeneemt. Beveiligingsspecialisten zeggen dat datasets van deze omvang aantrekkelijk zijn voor dreigingsactoren omdat ze brede mogelijkheden bieden voor identiteitsgebaseerde aanvallen.
Ook regelgevende overwegingen komen in de schijnwerpers van de grond. Als blijkt dat de gegevens echt zijn en afkomstig zijn van de systemen van Cabify, moet het bedrijf de meldingsverplichtingen onder het Europese privacyrecht beoordelen. De Algemene Verordening Gegevensbescherming verplicht organisaties om toezichthouders en getroffen personen op de hoogte te stellen wanneer blootgestelde informatie een risico op schade oplevert. Persoonlijke gegevens zoals woonadressen en contactgegevens worden als gevoelig beschouwd wanneer ze gekoppeld zijn aan een identificeerbare persoon. Bedrijven die in meerdere regio’s opereren, moeten ook coördineren met regionale autoriteiten als de gegevens bestuurders buiten de Europese Unie betreffen.
Het incident benadrukt de cyberbeveiligingsuitdagingen waarmee mobiliteitsplatforms worden geconfronteerd die grote hoeveelheden identiteitsinformatie beheren. Rijbewijssystemen behandelen door de overheid uitgegeven identificatie, achtergrondcontroledocumenten en gedetailleerde contactgegevens die nog lang na het verzamelen van waarde kunnen blijven voor criminelen. Deze platforms hebben mogelijk niet altijd hetzelfde niveau van beveiligingsinvesteringen als financiële instellingen, ondanks dat ze even gevoelige gegevens bezitten. Analisten zeggen dat gelekte onboardinggegevens vaak blijven circuleren op ondergrondse forums, zelfs na de eerste verkoop, wat leidt tot langdurige blootstelling voor getroffen personen.
Cabify heeft geen tijdlijn gegeven voor haar interne evaluatie. Beveiligingsonderzoekers raden aan dat bestuurders die informatie met het bedrijf hebben gedeeld, alert blijven op berichten waarin persoonlijke gegevens, onverwachte verificatieprompts of wijzigingen in accountgegevens worden gevraagd. Zij adviseren ook om financiële en identiteitsrekeningen te monitoren op ongebruikelijke activiteiten terwijl het bedrijf de claim onderzoekt.