DoorDash heeft een datalek bevestigd waarbij contactgegevens van een niet nader genoemd aantal gebruikers zijn blootgelegd. Het bedrijf identificeerde op 25 oktober ongeautoriseerde toegang nadat het verdachte activiteit met een werknemersaccount had gedetecteerd. Volgens de bekendmaking van het bedrijf betrof het incident een derde partij die via een gerichte social engineering-scam toegang kreeg tot interne systemen.
Het bedrijf zei dat deze methode de aanvaller in staat stelde beperkte gebruikersgegevens te verkrijgen voordat de toegang werd verwijderd. DoorDash heeft geen specifieke technische details vrijgegeven over de inbraakmethode, behalve de verwijzing naar social engineering-tactieken.
Meldingen die aan getroffen gebruikers worden gestuurd, geven aan dat blootgestelde gegevens per individu verschillen. De informatie kan namen, e-mailadressen, telefoonnummers en fysieke adressen omvatten. DoorDash zei dat de datalek geen betrekking had op burgerservicenummers, door de overheid uitgegeven identificatienummers, betaalkaartgegevens of bankrekeninggegevens. Het bedrijf voegde eraan toe dat het geen bewijs heeft van frauduleuze activiteiten die met het incident te maken hebben. Hoewel de dataset beperkt is tot contactgegevens, merken beveiligingsanalisten op dat deze categorie informatie nog steeds gebruikt kan worden om phishing of andere vormen van gerichte oplichting mogelijk te maken als deze wordt misbruikt door dreigingsactoren.
DoorDash meldde dat de inbreuk klanten trof, bezorgers die bekend staan als Dashers, en handelaren. Het bedrijf informeert getroffen personen rechtstreeks via e-mail en berichten in de app. Hoewel de omvang van het lek niet is bekendgemaakt, zei DoorDash dat de getroffen groep slechts een deel van haar gebruikersbestand vertegenwoordigt. Het bedrijf adviseerde ontvangers van kennisgevingsbrieven om de details zorgvuldig te bekijken en de aanbevolen stappen voor accountbeveiliging te volgen. DoorDash moedigde gebruikers ook aan om voorzichtig te blijven met binnenkomende berichten die persoonlijke informatie vragen of deze willen doorleiden naar onbekende websites.
Onderzoek en bedrijfsreactie
Na de ontdekking van het incident startte DoorDash een intern onderzoek, ondersteund door een extern cybersecuritybedrijf. Het bedrijf zei dat de eerste prioriteit het beëindigen van de ongeautoriseerde toegang en het beveiligen van getroffen systemen was. Het onderzoeksteam werkt eraan om te begrijpen welke informatie is bekeken en hoe lang de aanvaller toegang had. DoorDash heeft de bevindingen gedeeld met de politie en verklaard samen te werken met de autoriteiten die het onderzoek toezicht houden. Tot nu toe heeft het bedrijf de aanval niet aan een specifieke groep toegeschreven.
DoorDash verklaarde dat het nieuwe beveiligingsmaatregelen invoert om de kans op soortgelijke incidenten in de toekomst te verkleinen. Deze stappen omvatten uitgebreide training van medewerkers die zich richt op het herkennen en rapporteren van pogingen tot social engineering. Het bedrijf zei dat het processen versterkt die worden gebruikt om identiteit te verifiëren tijdens interne ondersteuningsinteracties. Er worden ook extra technische waarborgen toegevoegd, hoewel DoorDash niet heeft gespecificeerd welke bedieningselementen worden ingezet. Het bedrijf merkte op dat deze veranderingen deel uitmaken van een bredere inspanning om de bescherming van gebruikersgegevens op het platform te verbeteren.
Hoewel dit incident geen financiële informatie betrof, raadde DoorDash gebruikers aan hun rekeningen te monitoren op ongebruikelijke activiteiten. Klanten, Dashers en handelaren werd geadviseerd recente communicatie te bekijken en voorzichtig te zijn bij het ontvangen van e-mails, sms’jes of telefoontjes die lijken te komen van DoorDash maar persoonlijke informatie vragen. Beveiligingsspecialisten waarschuwen vaak dat gestolen contactgegevens kunnen worden gebruikt om overtuigende phishingberichten te maken die officiële communicatie imiteren. DoorDash zei dat het de getroffenen updates zal blijven geven naarmate het onderzoek vordert.
Deze inbreuk volgt op eerdere incidenten die door het bedrijf zijn gemeld. In 2022 onthulde DoorDash een inbreuk die verband hield met een phishingcampagne gericht op een externe leverancier die persoonlijke informatie van een subset gebruikers blootlegde. In 2019 bevestigde het bedrijf een afzonderlijk incident dat meer dan vier miljoen klanten, Dashers en handelaren trof. DoorDash zei dat lessen uit eerdere gebeurtenissen de huidige beveiligingsverbeteringen hebben beïnvloed en dat het bedrijf werkt aan het waarborgen van transparantie tijdens het onderzoeksproces.