A DoorDash confirmou uma violação de dados que expôs informações de contato para um número não divulgado de usuários. A empresa identificou acesso não autorizado em 25 de outubro após detectar atividade suspeita envolvendo uma conta de funcionário. De acordo com a divulgação da empresa, o incidente envolveu uma terceira parte que obteve acesso a sistemas internos por meio de um golpe direcionado de engenharia social.
A empresa afirmou que esse método permitiu ao atacante obter dados limitados dos usuários antes que o acesso fosse removido. A DoorDash não divulgou detalhes técnicos específicos sobre o método de intrusão além da referência a táticas de engenharia social.
Notificações enviadas aos usuários afetados afirmam que os dados expostos variam de pessoa para pessoa. As informações podem incluir nomes, endereços de e-mail, números de telefone e endereços físicos. A DoorDash afirmou que a violação não envolveu números de Previdência Social, números de identificação emitidos pelo governo, informações de cartão de pagamento ou detalhes de contas bancárias. A empresa acrescentou que não possui evidências de atividade fraudulenta ligada ao incidente. Embora o conjunto de dados se limite a detalhes de contato, analistas de segurança observam que essa categoria de informações ainda pode ser usada para possibilitar phishing ou outras formas de golpes direcionados se forem mal utilizadas por agentes ameaçadores.
A DoorDash informou que a violação afetou clientes, entregadores conhecidos como Dashers e comerciantes. A empresa está notificando diretamente os indivíduos impactados por e-mail e mensagens dentro do aplicativo. Embora a dimensão da violação não tenha sido divulgada, a DoorDash afirmou que o grupo afetado representa apenas um subconjunto de sua base de usuários. A empresa aconselhou os destinatários das cartas de notificação a revisarem cuidadosamente os detalhes e seguirem as medidas recomendadas para a segurança da conta. O DoorDash também incentivou os usuários a manterem cautela com mensagens recebidas que solicitam informações pessoais ou buscam redirecioná-las para sites desconhecidos.
Investigação e resposta da empresa
Após a descoberta do incidente, a DoorDash iniciou uma investigação interna apoiada por uma empresa externa de cibersegurança. A empresa afirmou que a prioridade inicial era encerrar o acesso não autorizado e proteger os sistemas afetados. A equipe investigativa está trabalhando para entender quais informações foram vistas e por quanto tempo o agressor teve acesso. A DoorDash compartilhou as conclusões com as autoridades e afirmou que está cooperando com as autoridades responsáveis pela investigação. Até o momento, a empresa não atribuiu o ataque a um grupo específico.
A DoorDash afirmou que está implementando novas medidas de segurança para reduzir a probabilidade de incidentes semelhantes no futuro. Essas etapas incluem a ampliação do treinamento dos funcionários, focada no reconhecimento e relato de tentativas de engenharia social. A empresa afirmou que está fortalecendo os processos usados para verificar identidade durante as interações internas de suporte. Salvaguardas técnicas adicionais também estão sendo adicionadas, embora o DoorDash não tenha especificado quais controles estão sendo implantados. A empresa observou que essas mudanças fazem parte de um esforço mais amplo para melhorar a proteção dos dados dos usuários em toda a sua plataforma.
Embora esse incidente não envolvesse informações financeiras, a DoorDash recomendou que os usuários monitorassem suas contas em busca de atividades incomuns. Clientes, Traders e comerciantes foram aconselhados a revisar comunicações recentes e a ter cautela ao receber e-mails, mensagens de texto ou ligações que pareçam ter origem no DoorDash, mas solicitam informações pessoais. Especialistas em segurança costumam alertar que dados de contato roubados podem ser usados para criar mensagens de phishing convincentes que imitam comunicações oficiais. A DoorDash afirmou que continuará fornecendo atualizações aos indivíduos afetados à medida que a investigação avança.
Essa violação ocorre após incidentes anteriores relatados pela empresa. Em 2022, a DoorDash revelou uma violação ligada a uma campanha de phishing que visava um fornecedor terceirizado que expôs informações pessoais de um subconjunto de usuários. Em 2019, a empresa confirmou um incidente separado que afetou mais de quatro milhões de clientes, Dashers e comerciantes. A DoorDash afirmou que lições de eventos anteriores informaram suas melhorias atuais de segurança e que a empresa está trabalhando para manter a transparência durante o processo investigativo.