Η DoorDash αποκάλυψε μια παραβίαση δεδομένων που έπληξε την πλατφόρμα παράδοσης τροφίμων τον Οκτώβριο.
Από χθες το απόγευμα, το DoorDash, το οποίο εξυπηρετεί εκατομμύρια πελάτες σε όλες τις ΗΠΑ, τον Καναδά, την Αυστραλία και τη Νέα Ζηλανδία, άρχισε να στέλνει email σε όσους επηρεάστηκαν από το πρόσφατα αποκαλυφθέν περιστατικό ασφαλείας.
Τα προσωπικά σας στοιχεία επηρεάζονται
«Στις 25 Οκτωβρίου 2025, η ομάδα μας εντόπισε ένα περιστατικό κυβερνοασφάλειας που αφορούσε ένα μη εξουσιοδοτημένο τρίτο μέρος που είχε πρόσβαση και έπαιρνε ορισμένα στοιχεία επικοινωνίας των χρηστών, τα οποία διέφεραν ανάλογα με το άτομο», αναφέρει η ειδοποίηση μέσω email από το DoorDash.
Οι πληροφορίες μπορεί να περιλαμβάνουν:
- Όνομα και επίθετο
- Φυσική διεύθυνση
- Αριθμός τηλεφώνου
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
“Η έρευνά μας επιβεβαίωσε έκτοτε ότι επηρεάστηκαν τα προσωπικά σας στοιχεία.”
(BleepingComputer)
Το περιστατικό εντοπίστηκε σε έναν υπάλληλο της DoorDash που έπεσε θύμα μιας απάτης κοινωνικής μηχανικής. Μόλις έλαβε γνώση, η ομάδα αντιμετώπισης περιστατικών της εταιρείας έκλεισε την πρόσβαση του μη εξουσιοδοτημένου μέρους, ξεκίνησε έρευνα και παρέπεμψε το θέμα στις αρχές επιβολής του νόμου.
Αυτό σηματοδοτεί το τρίτο αξιοσημείωτο περιστατικό ασφαλείας που υπέστη ο γίγαντας παράδοσης.
Το 2019, μια παραβίαση δεδομένων στο DoorDash είχε εκθέσει τις πληροφορίες περίπου 5 εκατομμυρίων πελατών, Dashers και εμπόρων σε ένα μη εξουσιοδοτημένο μέρος.
Τον Αύγουστο του 2022, η εταιρεία αντιμετώπισε άλλη μια παραβίαση δεδομένων από παράγοντες απειλών που είχαν επίσης επιτεθεί στο Twilio εκείνο το έτος.
La traduction française κοστούμι
Αυτό που είναι ενδιαφέρον είναι ότι μια γαλλική μετάφραση της ειδοποίησης επισυνάπτεται σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου:
Προς το παρόν, φαίνεται ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου πήγαν κυρίως σε χρήστες του DoorDash Canada (συμπεριλαμβανομένου του εαυτού μου). Ωστόσο, ένα αχρονολόγητο συμβουλευτική για την ασφάλεια που δημοσιεύτηκε στον ιστότοπο του DoorDash περιλαμβάνει διατύπωση που υποδηλώνει ότι το περιστατικό μπορεί να επεκταθεί πέρα από τον Καναδά, συμπεριλαμβανομένων αναφορών σε συγκεκριμένους τύπους δεδομένων για τις ΗΠΑ, όπως Αριθμούς Κοινωνικής Ασφάλισης (SSN), στους οποίους η DoorDash λέει ότι δεν είχε πρόσβαση. (Ο Καναδός ομόλογος θα ήταν Αριθμοί Κοινωνικής Ασφάλισης (SIN))
Η BleepingComputer προσέγγισε την ομάδα Τύπου του DoorDash για να ζητήσει διευκρινίσεις σχετικά με το εάν η παραβίαση επηρεάζει επίσης χρήστες που βρίσκονται στις ΗΠΑ και σε άλλες περιοχές όπου δραστηριοποιείται το DoorDash.
«Χρειάστηκαν 19 ολόκληρες μέρες»
Ορισμένοι χρήστες στα μέσα κοινωνικής δικτύωσης επέπληξαν το DoorDash, αμφισβητώντας τον χειρισμό του περιστατικού από την εταιρεία και το χρονοδιάγραμμα των ειδοποιήσεων.
“Συγγνώμη – αν αυτές δεν είναι ευαίσθητες πληροφορίες, τι είναι; Μην το υποβαθμίζετε μόνο και μόνο επειδή δεν έλαβαν πληροφορίες πιστωτικής κάρτας ή κωδικού πρόσβασης. Έχει κωφευτεί.” αναρτήθηκε Chris από το Τορόντο.
Ο επαγγελματίας κυβερνοασφάλειας Κώστας Τ. επίσης αντέδρασε σε η φράση του email, που εκφράζει ότι η δήλωση “δεν έγινε πρόσβαση σε ευαίσθητες πληροφορίες” έρχεται σε αντίθεση με τις προσωπικές πληροφορίες που η εταιρεία αναγνώρισε ότι είχε πρόσβαση.
“Το DoorDash χρειάστηκε 19 ολόκληρες ημέρες για να με ειδοποιήσει για μια παραβίαση δεδομένων που διέρρευσε τα προσωπικά μου στοιχεία. Ευτυχώς χρησιμοποίησα ένα ψεύτικο όνομα και προώθησα τη διεύθυνση email για τον λογαριασμό μου, αλλά ο πραγματικός αριθμός τηλεφώνου και η φυσική μου διεύθυνση διέρρευσαν.” έγραψε Χ χρήστης itohqay.
“Αυτή είναι απίστευτα αντιεπαγγελματική, επικίνδυνη και δυνητικά παράνομη συμπεριφορά από το DoorDash… Αυτή η διαδικασία παραβιάζει τον καναδικό νόμο περί παραβίασης δεδομένων. Θα καταθέσω αγωγή κατά του DoorDash στο επαρχιακό δικαστήριο μικροδιαφορών και θα υποβάλω καταγγελία στο Office of the Privacy Commissioner of Canada.”
Οι χρήστες θα πρέπει να είναι επιφυλακτικοί για ανεπιθύμητες επικοινωνίες ή στοχευμένα μηνύματα ηλεκτρονικού ψαρέματος που φαίνεται να προέρχονται από το DoorDash.
Το DoorDash προειδοποιεί ότι θα πρέπει να αποφεύγετε να κάνετε κλικ σε συνδέσμους ή συνημμένα σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και να αποφεύγετε να παρέχετε προσωπικά στοιχεία σε άγνωστους ιστότοπους.
«Έχουμε ήδη λάβει μέτρα για να ανταποκριθούμε στο περιστατικό, συμπεριλαμβανομένης της ανάπτυξης βελτιώσεων στα συστήματα ασφαλείας μας, της εφαρμογής πρόσθετης εκπαίδευσης για τους υπαλλήλους μας, της εισαγωγής μιας κορυφαίας εγκληματολογικής εταιρείας κυβερνοασφάλειας για να βοηθήσει στην έρευνά μας για αυτό το ζήτημα και ειδοποιώντας τις αρχές επιβολής του νόμου για συνεχιζόμενη έρευνα», αναφέρει η εταιρεία.
Οι χρήστες του DoorDash με ερωτήσεις σχετικά με το περιστατικό μπορούν περαιτέρω να καλέσουν τον αριθμό χωρίς χρέωση +1-833-918-8030 και να αναφέρουν τον κωδικό αναφοράς: B155060.
Το BleepingComputer αναμένει απάντηση από το DoorDash σχετικά με το ακριβές εύρος του συμβάντος.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
