Cambia la tua password DoorDash ora perché è stata rilevata una grave violazione dei dati
La rete di consegna alimentare DoorDash ha annunciato ieri di aver subito una violazione dei dati. Quelli di voi che rimangono aggiornati con le notizie sulla sicurezza informatica probabilmente non sono particolarmente sorpresi dal fatto che sia stato violato un altro servizio online. Il fatto che questi incidenti siano diventati un evento quotidiano non significa, tuttavia, che debbano essere sottovalutati. È sempre importante analizzarli e determinare quale tipo di dati è trapelato e in che modo tutto viene presentato al utente. Ecco cosa devono sapere i clienti di DoorDash.
Table of Contents
Un problema tecnico con un fornitore di servizi di terze parti ha rivelato i dati DoorDash
Apparentemente, oltre al post sul blog, DoorDash ha anche inviato alcune notifiche e-mail che, secondo Gizmodo , sono praticamente identiche. avviso dice che al inizio di questo mese, il team di sicurezza di DoorDash ha notato attività insolite presso un fornitore di servizi di terze parti. Dopo una breve indagine, hanno appreso che il 4 maggio 2019 un hacker ha avuto accesso a un database contenente informazioni personali di clienti, Dashers (i driver di consegna e i piloti che lavorano per la piattaforma) e i commercianti.
DoorDash afferma che circa 4,9 milioni di persone sono state colpite e sottolinea rapidamente che tutti i record nel database violato sono stati creati prima del 5 aprile 2018. In altre parole, le persone e le organizzazioni che sono salite sulla piattaforma dopo il 5 aprile 2018, non sono interessati in alcun modo.
I dati trapelati includono nomi, indirizzi e-mail e di consegna, numeri di telefono, cronologia degli ordini e password con hash e salate. DoorDash non ha detto quale algoritmo di hashing ha usato, ma ha affermato che la password effettiva è "indecifrabile per terze parti".
Sono state esposte anche le ultime quattro cifre dei numeri di carta di credito di alcune persone e gli ultimi quattro simboli di alcuni conti bancari di alcuni dashboard e commercianti, sebbene DoorDash abbia rapidamente sottolineato che questo tipo di informazioni non dovrebbe essere sufficiente per facilitare qualsiasi tipo di frode finanziaria . 100.000 dashboard dovrebbero essere più attenti, tuttavia, poiché il numero della patente di guida è trapelato.
Si consiglia agli utenti “interessati” di modificare le password e di essere più vigili
Ovviamente, gli addetti alla sicurezza di DoorDash hanno bloccato accesso al database trapelato e, secondo il post del blog, hanno adottato ulteriori misure per "migliorare la sicurezza" su tutta la piattaforma. Sebbene la piattaforma esegua hashing e la salatura delle credenziali di accesso prima di memorizzarle, agli utenti è stato detto che per motivi di tranquillità, dovrebbero pensare a cambiare le proprie password.
Per farlo su un dispositivo desktop, vai su https://www.doordash.com/accounts/password/reset/ , inserisci il tuo indirizzo e-mail nel campo e attendi un messaggio con un link per reimpostare la password. I clienti di DoorDash che utilizzano applicazione mobile possono toccare il collegamento Password dimenticata che li reindirizzerà alla pagina collegata sopra.
Sebbene la società affermi che non sono stati divulgati dati completi sulla carta di credito o sul conto bancario, DoorDash consiglia comunque ai suoi utenti di essere un po più vigili del solito. intero avviso sta cercando di convincerti che non è molto di cui preoccuparsi. Tuttavia, ci sono alcune domande senza risposta.
DoorDash lascia fuori alcuni dettagli
Come già accennato, DoorDash è fermamente convinto che la violazione sia avvenuta a terzi. Ciò che la piattaforma di consegna del cibo non dice, tuttavia, è come si chiama questa terza parte. Inoltre non sappiamo come sia successo. È stato un errore per conto della terza parte senza nome? O gli amministratori di DoorDash hanno configurato erroneamente un database e lo hanno lasciato esposto a Internet come tante altre aziende ? Queste sono tutte domande abbastanza serie e diventano ancora più pressanti quando vedi cosa pensano alcune persone del record di cybersecurity di DoorDash.
Quasi esattamente un anno fa, gli utenti della piattaforma di consegna degli alimenti hanno improvvisamente iniziato a segnalare numerosi casi di account compromessi e ordini e addebiti non autorizzati. Allora, un portavoce di DoorDash ha detto a TechCrunch che gli utenti che si lamentavano erano stati presi di mira da un attacco di riempimento delle credenziali .
I consumatori non erano convinti, però. In effetti, è un account Twitter e un subreddit Reddit dedicati alle persone a cui è stato hackerato account DoorDash. Le persone che gestiscono sembrano pensare che DoorDash sia stato violato nel giugno 2018.
Ovviamente, questa informazione non è stata confermata ufficialmente, il che significa che è difficile dire quanto sia affidabile. È difficile ignorarlo, tuttavia, soprattutto a seguito di una violazione dei dati confermata.
