ハッカーが DoorDash の顧客情報と一部の支払いデータにアクセスした
フードデリバリーの巨人 DoorDash は、顧客の個人情報が流出したデータ侵害を確認しました。
の ブログ投稿 DoorDash は、市場終了時の公開に先立って TechCrunch と共有した、悪意のあるハッカーがサードパーティ ベンダーの従業員から資格情報を盗み、それを使用して DoorDash の内部ツールの一部にアクセスしたと述べました。
DoorDash によると、攻撃者は DoorDash の顧客の名前、電子メール アドレス、配送先住所、電話番号にアクセスしたという。 ユーザーの「少数のサブセット」の場合、ハッカーは、カードの種類やカード番号の下 4 桁など、部分的な支払いカード情報にアクセスしました。
DoorDash 配達ドライバー (Dashers) の場合、ハッカーは「主に名前と電話番号または電子メール アドレスを含む」データにアクセスしました。 昨年 DoorDash に買収された、ヘルシンキに本拠を置くオンライン注文および配送会社 Wolt のユーザーは影響を受けません。
DoorDash は、ユーザーの「ごく一部」がこのインシデントの影響を受けたと述べていますが、現在のユーザー数や影響を受けたユーザーの正確な数は明らかにしませんでした。
同社は、「異常で疑わしい」活動を発見した後、サードパーティ ベンダーのシステムへのアクセスを遮断したと述べました。
DoorDash の広報担当者 Justin Crowley によると、DoorDash は「一部の内部ツールへのアクセスを制限する必要があるサービスを提供する」サードパーティ ベンダーの名前を明らかにしていませんが、TechCrunch に対して、ベンダーの侵害は SMS とメッセージングを侵害したフィッシング キャンペーンに関連していることを確認しました。研究者は、これらの攻撃を、「0ktapus」と呼ばれる同じハッキング グループによるより広範なフィッシング キャンペーンと結び付けました。このグループは、Twilio、Signal、インターネット企業、外部委託先の顧客など、少なくとも 130 の組織から 10,000 人近くの従業員の資格情報を盗みました。 3月からサービスプロバイダー。
DoorDash が侵害されたことをいつ発見したかは明らかにしませんでしたが、同社の広報担当者は、データ侵害を公表する前に、「何が起こったのか、どのユーザーがどのように影響を受けたのかを十分に調査する」ために時間をかけたと述べました。
DoorDash は、侵害を発見して以来、無名のサイバーセキュリティの専門家を雇って進行中の調査を支援し、「DoorDash のすでに堅牢なセキュリティ システムをさらに強化する」ための措置を講じていると述べています。
ハッカーが DoorDash のシステムから顧客データを盗んだのはこれが初めてではありません。 同社は 2019 年に、ハッカーによって情報が盗まれた 490 万人の顧客、配達員、加盟店に影響を与えるデータ侵害を報告しました。 また、名前のないサードパーティのサービスプロバイダーが侵害を非難した.
続きを読む:
アーカイブから: