„DoorDash“ atskleidė duomenų pažeidimą, kuris šį spalį pasiekė maisto pristatymo platformą.
Nuo vakar vakaro „DoorDash“, aptarnaujanti milijonus klientų JAV, Kanadoje, Australijoje ir Naujojoje Zelandijoje, pradėjo siųsti el. laiškus tiems, kuriuos paveikė naujai atskleistas saugumo incidentas.
Paveikta jūsų asmeninė informacija
„2025 m. spalio 25 d. mūsų komanda nustatė kibernetinio saugumo incidentą, kurio metu neteisėta trečioji šalis gavo prieigą prie tam tikros vartotojo kontaktinės informacijos, kuri skiriasi priklausomai nuo asmens“, – teigiama el. pašto pranešime iš DoorDash.
Informacija galėjo apimti:
- Vardas ir pavardė
- Fizinis adresas
- Telefono numeris
- El. pašto adresas
„Mūsų tyrimas patvirtino, kad buvo paveikta jūsų asmeninė informacija.
(„BleepingComputer“)
Įvykis buvo atsektas, kai „DoorDash“ darbuotojas tapo socialinės inžinerijos sukčiavimo auka. Apie tai sužinojusi bendrovės incidento reagavimo komanda sustabdė neteisėtos šalies prieigą, pradėjo tyrimą ir perdavė klausimą teisėsaugai.
Atskleidime nenurodoma, kiek vartotojų nukentėjo, nors bendrovė teigia, kad incidentas paveikė įvairius vartotojus, „Dashers“ ir prekybininkus.
Tai jau trečias reikšmingas saugumo incidentas, kurį patyrė pristatymo milžinas.
2019 m. dėl „DoorDash“ duomenų pažeidimo maždaug 5 milijonų klientų, „Dashers“ ir prekybininkų informacija buvo atskleista neteisėtai šaliai.
2022 m. rugpjūčio mėn. įmonė susidūrė su dar vienu duomenų pažeidimu, kurį sukėlė grėsmės veikėjai, kurie tais metais taip pat užpuolė „Twilio“.
La traduction française kostiumas
Įdomu tai, kad prie šių el. laiškų pridedamas pranešimo vertimas į prancūzų kalbą:
Šiuo metu atrodo, kad el. laiškai pirmiausia buvo išsiųsti Kanados „DoorDash“ naudotojams (įskaitant mane). Tačiau „DoorDash“ svetainėje paskelbtame saugumo pranešime be datos yra formuluotė, leidžianti manyti, kad incidentas gali apimti ir Kanadą. Jame yra nuorodų į JAV specifinius duomenų tipus, pvz., socialinio draudimo numerius (SSN), kurie, pasak DoorDash, buvo ne prieiga (Kanados atitikmuo būtų socialinio draudimo numeriai (SIN)).
„BleepingComputer“ kreipėsi į „DoorDash“ spaudos komandą, kad išsiaiškintų, ar pažeidimas taip pat turi įtakos vartotojams JAV ar kituose regionuose, kuriuose veikia įmonė.
„Užtruko 19 ištisų dienų“
Kai kurie vartotojai socialinėje žiniasklaidoje priekaištavo „DoorDash“, suabejodami, kaip bendrovė elgėsi su incidentu ir pranešimo laiku.
„Atsiprašau, jei tai nėra neskelbtina informacija, kas yra? Nesureikšminkite šios informacijos vien todėl, kad jie negavo kredito kortelės ar slaptažodžio informacijos. Ji apkurta”, – paskelbė Chrisas iš Toronto.
Kibernetinio saugumo specialistas Kostas T. taip pat sureagavo į elektroninio laiško formuluotę, pareikšdamas, kad teiginys „nebuvo prieita prie jokios jautrios informacijos“ prieštarauja asmeninei informacijai, kurią įmonė pripažino gauta.
„DoorDash prireikė 19 dienų, kad praneštų man apie duomenų pažeidimą, dėl kurio buvo nutekinta mano asmeninė informacija. Laimei, savo paskyrai panaudojau netikrą vardą ir persiunčiau el. pašto adresą, bet mano tikrasis telefono numeris ir fizinis adresas buvo nutekinti”, – rašė X vartotojas. Ohqay.
„Tai neįtikėtinai neprofesionalus, pavojingas ir galimai neteisėtas „DoorDash“ elgesys… Šis procesas pažeidžia Kanados duomenų pažeidimo įstatymą. Pateiksiu „DoorDash“ bylą provincijos ieškinių dėl nedidelių sumų teisme ir pateiksiu skundą Kanados privatumo komisaro biurui.
Naudotojai turėtų būti atsargūs dėl nepageidaujamų pranešimų ar tikslinių sukčiavimo el. laiškų, kurie atrodo kilę iš DoorDash.
„DoorDash“ įspėja, kad neturėtumėte spustelėti nuorodų ar priedų įtartinuose el. laiškuose ir nepateikti jokios asmeninės informacijos nepažįstamoms svetainėms.
„Jau ėmėmės veiksmų, kad reaguotume į incidentą, įskaitant mūsų saugos sistemų patobulinimų diegimą, papildomų darbuotojų mokymų įgyvendinimą, pirmaujančios kibernetinio saugumo teismo ekspertizės firmos, kuri padėtų tirti šią problemą, ir pranešimo teisėsaugai dėl vykdomo tyrimo“, – teigia bendrovė.
„DoorDash“ naudotojai, turintys klausimų, susijusių su incidentu, gali skambinti nemokamu numeriu +1-833-918-8030 ir nurodyti nuorodos kodą: B155060.
„BleepingComputer“ laukia atsakymo iš „DoorDash“ dėl tikslios incidento apimties.
Tai biudžetinis sezonas! Daugiau nei 300 CISO ir saugumo lyderių pasidalijo, kaip planuoja, išleidžia ir nustato prioritetus ateinantiems metams. Šioje ataskaitoje pateikiamos jų įžvalgos, leidžiančios skaitytojams palyginti strategijas, nustatyti naujas tendencijas ir palyginti savo prioritetus artėjant 2026 m.
Sužinokite, kaip aukščiausio lygio lyderiai investicijas paverčia išmatuojamu poveikiu.
