Brecha de seguridad en DoorDash expone registros de 4.9 millones de usuarios

Los usuarios que usan DoorDash con frecuencia para pedir su comida en línea son parte de una brecha de seguridad.

Por ello les recomendados encarecidamente que cambien la contraseña de su cuenta ahora mismo.

DoorDash, el popular servicio de entrega de alimentos a pedido, confirmó hoy una violación masiva de datos que afecta a casi 5 millones de personas que usan su plataforma, incluidos sus clientes, trabajadores de entrega y comerciantes también.

DoorDash es un servicio de entrega de alimentos a pedido con sede en San Francisco (al igual que Zomato y Swiggy en India) que conecta a las personas con sus restaurantes locales y entrega alimentos en las puertas de las casas, con la ayuda de conductores contratados, también conocidos como “Dashers”.

El servicio opera en más de 4,000 ciudades en los Estados Unidos y Canadá.

¿Qué pasó?

En una articulo publicado hoy, DoorDash dijo que la compañía se dio cuenta de una intrusión de seguridad a principios de este mes, después de notar una “actividad inusual” de un proveedor de servicios externo.

Inmediatamente después de detectar la intrusión de seguridad, la compañía lanzó una investigación y descubrió que un tercero no autorizado logró obtener acceso a los datos personales de DoorDash y, en algunos casos, a los datos financieros de sus usuarios el 4 de mayo de 2019.

Sí, leíste bien. La violación de datos ocurrió el 4 de mayo, pero a la compañía le llevó más de cuatro meses descubrir el incidente de seguridad.

Según la declaración de la compañía, parece que los sistemas para el servicio de entrega de alimentos en sí no tienen ninguna vulnerabilidad  potencial que pueda haber expuesto los datos de sus usuarios en un primer momento; en cambio, el incidente involucra a un proveedor de servicios externo.

Cantidad de víctimas

La violación afectó a aproximadamente 4.9 millones de consumidores, Dashers y comerciantes, que se unieron a la plataforma DoorDash el 5 de abril de 2018 o antes.

Sin embargo, la compañía dijo que aquellos que se unieron a su plataforma después del 5 de abril de 2018 no se ven afectados por la violación.

¿A qué tipo de información se accedió?

El tipo de datos a los que accedieron los atacantes incluyen datos personales y financieros, como se muestra a continuación:

• Información del perfil de los 4.9 millones de usuarios afectados: esta información incluye sus nombres, direcciones de correo electrónico, direcciones de entrega, historial de pedidos, números de teléfono y contraseñas hash.
• Datos financieros de algunos consumidores: la compañía dijo que los ciberdelincuentes también lograron tener en sus manos los últimos cuatro dígitos de las tarjetas de pago para algunos de sus consumidores, pero aseguraron que no se accedió a los números completos de las tarjetas de pago o al CVV.
• Información financiera de algunos Dashers y comerciantes: no solo los consumidores, sino también algunos Dashers y comerciantes tenían expuestos los últimos cuatro dígitos de su número de cuenta bancaria.
• Datos de 100,000 Dashers: los atacantes también pudieron acceder a los números de licencia de conducir de 100,000 Dashers.

Sin embargo, DoorDash cree que esta información no es suficiente para realizar pedidos fraudulentos a través de tarjetas, o para realizar retiros fraudulentos de cuentas bancarias.

¿Qué medidas está tomando  DoorDash?

En un intento por proteger a sus clientes, DoorDash inmediatamente restringió el acceso no autorizado por parte del atacante y contrató expertos en seguridad para investigar el incidente y verificar el alcance de la violación.

La compañía también dijo que había colocado controles de seguridad adicionales para fortalecer la seguridad y proteger aún más los datos de sus clientes.

Entre esto se incluyen agregar capas de seguridad adicionales para proteger los datos del usuario y mejorar los protocolos de seguridad que permiten el acceso a sus sistemas.

DoorDash también está recibiendo “experiencia externa” para aumentar la capacidad de la compañía para identificar y repeler tales amenazas antes de que victimice a sus usuarios.

“Lamentamos profundamente la frustración y las molestias que esto puede causarte. Cada miembro de la comunidad de DoorDash es importante para nosotros, y queremos asegurarle que valoramos tu seguridad y privacidad”, afirmó la compañía.

La compañía está en proceso de comunicarse directamente con los usuarios individuales afectados por la violación de datos para proporcionar más información, lo que puede llevar algunos días.

Los usuarios pueden llamar al centro de atención telefónica dedicado de la compañía, disponible las 24 horas, los 7 días de la semana para obtener asistencia, esto al número 855–646–4683.

¿Qué debes hacer ahora?

Si eres un usuario afectado, en primer lugar, cambia tus contraseñas para la cuenta de DoorDash y cualquier otra cuenta en línea donde uses las mismas credenciales. Hazlo incluso si no te has visto afectado, para estar más seguro.

Aunque la información financiera a la que accedieron los ciberdelincuentes no es suficiente para realizar retiros fraudulentos de las cuentas bancarias, siempre es una buena idea estar alerta y vigilar de cerca los retiros de tu banco y tarjeta de pago por cualquier actividad inusual e informar al banco, si encuentras algo sospechoso.

También debes sospechar principalmente de los correos electrónicos de phishing, que generalmente son el siguiente paso de los ciberdelincuentes después de una infracción, en un intento de engañar a los usuarios para que den más detalles como contraseñas e información bancaria.

En HackWise hemos desarrollado la herramienta Buscador de Leaks, la cual permite a los usuarios con membresía Wiser Elite buscar dentro de múltiples Data Breaches para conocer si su correo y contraseñas han sido filtradas en algún Hackeo.

Conoce cualquier contraseña que haya sido filtrada con el Buscador de Leaks