A empresa de entregas de comida GrubHub revelou uma violação de dados que impactou as informações pessoais de um número não divulgado de clientes, comerciantes e motoristas, após atacantes invadirem seus sistemas usando uma conta de prestador de serviço.
"Nossa investigação descobriu que a intrusão originou-se com uma conta pertencente a um prestador de serviços terceirizado que fornecia serviços de apoio à Grubhub", disse a empresa na segunda-feira(04).
Imediatamente encerramos o acesso da conta e removemos o prestador de serviços dos nossos sistemas completamente.
Em resposta a este incidente, a empresa contratou especialistas forenses externos para avaliar o impacto do breach, trocou senhas para prevenir acesso não autorizado futuramente e adicionou mecanismos de detecção de anomalias adicionais em seus serviços internos.
A investigação de acompanhamento não encontrou evidências de que os invasores acessaram outras informações pessoais e financeiras sensíveis, incluindo senhas de clientes do Grubhub Marketplace, informações de login de comerciantes, números completos de cartão de pagamento, detalhes de contas bancárias, números de Segurança Social ou números de carteira de motorista.
No entanto, a GrubHub afirmou que, dependendo do indivíduo afetado, os atacantes obtiveram acesso a nomes, endereços de e-mail e números de telefone, bem como informações de cartão de pagamento parciais (incluindo tipo de cartão e os últimos quatro dígitos do número do cartão) para alguns comensais de campus.
"O indivíduo não autorizado acessou informações de contato de comensais de campus, bem como de comensais, comerciantes e motoristas que interagiram com nosso serviço de atendimento ao cliente", disse a GrubHub.
A parte não autorizada também acessou senhas hashadas de certos sistemas legados, e nós proativamente trocamos quaisquer senhas que acreditávamos estar em risco.
Embora os invasores não tenham acessado as senhas das contas do Grubhub Marketplace, a empresa instou os clientes a sempre usarem senhas únicas para minimizar riscos.
A Grubhub é uma plataforma de pedidos e entregas de comida com mais de 375.000 comerciantes e 200.000 parceiros de entrega em mais de 4.000 cidades em todo o país.
Em dezembro, concordou em pagar $25 milhões para resolver acusações da FTC e parar de se envolver em práticas ilegais, incluindo não informar aos consumidores o custo total da entrega, enganar os motoristas sobre quanto dinheiro eles ganhariam e listar restaurantes em sua plataforma sem o consentimento deles.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...