Casi 5 millones de clientes, repartidores y socios afectados por la filtración de datos de DoorDash

0 143 3 minutos de lectura

La empresa de entrega de alimentos, DoorDash, ha confirmado que se vio afectada por una violación de datos que expuso los datos de cerca de 5 millones de clientes, repartidores y socios. La violación tuvo lugar en mayo de este año, y no está claro por qué DoorDash ha tardado tanto en revelar los detalles.

Según un portavoz de DoorDash, la violación se produjo a través de un proveedor externo, que no fue nombrado, y afectó a los usuarios que se habían unido a la plataforma antes del 5 de abril de 2018. Los datos robados incluían nombres, direcciones de correo electrónico y de entrega, números de teléfono y , lo que es más preocupante, contraseñas hash y saladas. Los clientes que se unieron después de esta fecha no se vieron afectados.

El Gurú se acercó a varios expertos en ciberseguridad para conocer su reacción a la noticia.

Rosemary O’Neill, directora – entrega al cliente, en Seguridad NuData – parte de Mastercard:

“Los datos en las manos equivocadas, especialmente la información de identificación personal, pueden tener un gran impacto en los clientes. La información personal, combinada con otros datos de usuario de otras infracciones y redes sociales, crea un perfil completo. En manos de estafadores y organizaciones criminales, estos valiosos conjuntos de identidades generalmente se venden a otros ciberdelincuentes y se utilizan para una gran variedad de actividades delictivas, tanto en Internet como en el mundo físico. Cada truco tiene un efecto de bola de nieve que dura mucho más que la infracción inicial.

Debemos cambiar la ecuación actual de “violación = fraude” cambiando la forma en que las empresas piensan sobre la verificación de identidad en línea; la clave es dejarlo sin valor.

Una vez que se publican los datos del cliente, no tiene por qué generar pérdidas para ese cliente o la empresa donde se utilizan los datos. Las empresas pueden utilizar tecnologías que detectan cuándo se utilizan estos datos. La mayoría de las veces, los datos se utilizan en ataques automatizados que pueden detectarse con buenas herramientas de detección de bots y evaluación de comportamiento. Además, las tecnologías que analizan los patrones de usuario inherentes, como la biometría pasiva, aumentan la seguridad al señalar cuándo se presenta la información correcta para un usuario, pero ese usuario se comporta de manera inusual.

El equilibrio de poder volverá a la protección del cliente cuando más empresas implementen tales técnicas y tecnología «.

Rob Gurzeev, director ejecutivo y cofundador de CyCognito :

“Desafortunadamente, este tipo de riesgo del ecosistema de TI no es exclusivo de DoorDash. De hecho, los equipos de TI y seguridad a menudo ni siquiera saben dónde están todos los activos e infraestructura digital de su organización, o si están completamente protegidos. Esta «brecha de conciencia» se llama riesgo oculto y es un problema importante. Las organizaciones deben exponer ese riesgo oculto mediante el mapeo y la evaluación de toda su superficie de ataque «.

Paul Bischoff, defensor de la privacidad en Comparitech.com:

“El proveedor externo lo hizo” se está convirtiendo en un coro común entre muchas empresas cuyos datos fueron violados o expuestos. Si cree que solo está dando información exclusivamente a una de las partes cuando se registra para cualquier tipo de cuenta en estos días, es muy probable que esté equivocado. El intercambio de datos es un lugar común, porque no todas las empresas están equipadas para protegerlos, analizarlos o explotarlos. Un servicio de entrega de alimentos, por ejemplo, podría no sobresalir en publicidad digital. Entonces, contrata esa parte de su negocio a un tercero. Pero esos proveedores externos ni siquiera están en los radares de la mayoría de los consumidores, y es posible que no establezcan estándares tan altos en lo que respecta a la protección de datos.

Erich Kron, defensor de la conciencia de seguridad en KnowBe4:

“Esta infracción en particular reveló una cantidad significativa de información, a pesar de que las contraseñas fueron procesadas y procesadas. Al utilizar la información de esta infracción, los atacantes podrían crear un correo electrónico de phishing muy convincente utilizando su nombre, dirección de correo electrónico y número de teléfono, junto con los últimos cuatro dígitos de la tarjeta de crédito, y engañar a una persona para que crea que es legítima. Esto es aún peor para los conductores de reparto que también han visto comprometido su número de licencia de conducir. Siempre que haya una gran cantidad de datos correlacionados en una infracción, los malos pueden usarlos contra las personas. El hecho de que estos datos hayan estado disponibles durante tanto tiempo antes de que se notificara a las personas es lamentable, especialmente cuando los clientes habían informado de actividades sospechosas hace tanto tiempo. Si alguna vez se ha preguntado cómo obtienen los estafadores la información que utilizan para llamar a personas que afirman que su Número de Seguro Social está suspendido o que el IRS los va a arrestar, esta es una de las formas en que sucede «.

Warren Poschman, arquitecto senior de soluciones en comforte AG:

“Con una respuesta de incumplimiento de casi cinco meses retrasada, DoorDash ha dado a sus clientes más de qué preocuparse que tener frío tikka masala. Aunque la información de pago aparentemente no fue robada, el robo de datos personales críticos, incluidos nombres, direcciones y, en algunos casos, datos de licencias de conducir, lo convierte en otro ejemplo más de cómo proteger los datos mediante un enfoque de seguridad centrado en los datos, donde los datos reales están protegidos en lugar de los sistemas, es necesario. Desafortunadamente, DoorDash ha respondido entregando algunos restos de seguridad con solo “… agregando capas de seguridad protectoras adicionales alrededor de los datos, mejorando los protocolos de seguridad que gobiernan el acceso a nuestros sistemas”. Los vectores de ataque actuales requieren más que cifrado de disco, firewalls y administración de acceso; requiere proteger los datos reales que busca el atacante, no solo el sistema alrededor de los datos «.

Casi 5 millones de clientes, repartidores y socios afectados por la filtración de datos de DoorDash

Deja una respuesta Cancelar la respuesta

Error de Heartbleed: Revenue Canada supo sobre los SIN robados el viernes pasado

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Una evaluación técnica del riesgo de COVID-19

CISA publica una directiva de emergencia sobre el protocolo remoto Netlogon de Microsoft Windows

Nuevo informe de CREST destaca la necesidad de mejorar la ciberseguridad en los sistemas de control industrial

Securonix integra el marco MITRE ATT & CK en análisis y búsqueda de amenazas

Deja una respuesta Cancelar la respuesta

Error de Heartbleed: Revenue Canada supo sobre los SIN robados el viernes pasado