Casi 5 millones de clientes, repartidores y socios afectados por la violación de datos de DoorDash

La empresa de reparto de comida, DoorDash, ha confirmado que se vio afectada por una filtración de datos que expuso los datos de cerca de 5 millones de clientes, repartidores y socios. La filtración tuvo lugar en mayo de este año, y no está claro por qué DoorDash ha tardado tanto en revelar los detalles.

Según un portavoz de DoorDash, la brecha tuvo lugar a través de un proveedor externo -que no fue nombrado- y afectó a los usuarios que se habían unido a la plataforma antes del 5 de abril de 2018. Los datos robados incluían nombres, direcciones de correo electrónico y de entrega, números de teléfono y, lo que es más preocupante, contraseñas con hash y sal. Los clientes que se unieron después de esta fecha no se vieron afectados.

El Gurú se puso en contacto con varios expertos en ciberseguridad para conocer su reacción a la noticia.

Rosemary O’Neill, directora de entrega al cliente, en Seguridad NuData – parte de Mastercard:

«Los datos en manos equivocadas -especialmente la información de identificación personal- pueden tener un gran impacto en los clientes. La información personal, combinada con otros datos de usuarios procedentes de otras violaciones y de las redes sociales, construye un perfil completo. En manos de estafadores y organizaciones delictivas, estos valiosos conjuntos de identidades suelen venderse a otros ciberdelincuentes y utilizarse para una infinidad de actividades delictivas, tanto en Internet como en el mundo físico. Cada hackeo tiene un efecto de bola de nieve que dura mucho más que la brecha inicial.

Debemos cambiar la ecuación actual de «brecha = fraude» cambiando la forma en que las empresas piensan en la verificación de la identidad en línea; la clave es hacer que no tenga valor.

Una vez que los datos del cliente salen a la luz, no tienen por qué generar pérdidas para ese cliente ni para la empresa en la que se utilizan los datos. Las empresas pueden utilizar tecnologías que detecten cuándo se están utilizando estos datos. La mayoría de las veces, los datos se utilizan en ataques automatizados que pueden detectarse con buenas herramientas de detección de bots y de evaluación del comportamiento. Además, las tecnologías que observan los patrones inherentes del usuario, como la biometría pasiva, aumentan la seguridad al señalar cuándo se presenta la información correcta para un usuario, pero éste se comporta de forma inusual.

El equilibrio de poder volverá a la protección del cliente cuando más empresas apliquen estas técnicas y tecnologías».

Rob Gurzeev, director general y cofundador de CyCognito :

«Por desgracia, este tipo de riesgo del ecosistema de TI no es exclusivo de DoorDash. De hecho, los equipos de TI y de seguridad a menudo ni siquiera saben si toda la infraestructura y los activos digitales de su organización están, y dónde, o si están totalmente protegidos. Esta «brecha de concienciación» se llama riesgo en la sombra, y es un problema importante. Las organizaciones necesitan exponer ese riesgo en la sombra mapeando y evaluando toda su superficie de ataque».

Paul Bischoff, defensor de la privacidad en Comparitech.com:

«El proveedor de terceros lo hizo» se está convirtiendo en un coro común entre muchas empresas cuyos datos fueron violados o expuestos. Si crees que estás cediendo información exclusivamente a una parte cuando te registras en cualquier tipo de cuenta hoy en día, es muy probable que estés equivocado. El intercambio de datos es algo habitual, porque no todas las empresas están equipadas para asegurarlos, analizarlos o explotarlos. Un servicio de reparto de comida, por ejemplo, puede no destacar en publicidad digital. Así que contrata esa parte de su negocio a un tercero. Pero esos proveedores externos ni siquiera están en el radar de la mayoría de los consumidores, y puede que no establezcan estándares tan altos cuando se trata de asegurar los datos.

Erich Kron, defensor de la seguridad en KnowBe4:

«Esta brecha en particular reveló una cantidad significativa de información, a pesar de que las contraseñas estaban cifradas y con sal. Utilizando la información de esta brecha, los atacantes podrían crear un correo electrónico de phishing muy convincente utilizando su nombre, dirección de correo electrónico y número de teléfono, junto con los últimos cuatro dígitos de la tarjeta de crédito y engañar a una persona haciéndole creer que era legítimo. Esto es aún peor para los conductores de reparto que también han visto comprometido su número de licencia de conducir. Siempre que hay muchos datos correlacionados en una violación, los malos pueden utilizarlos contra la gente. El hecho de que estos datos hayan estado disponibles durante tanto tiempo antes de que la gente fuera notificada es lamentable, especialmente cuando los clientes habían informado de actividades sospechosas hace tanto tiempo. Si alguna vez te has preguntado cómo consiguen los estafadores la información que utilizan para llamar a la gente afirmando que su número de la Seguridad Social está suspendido, o que Hacienda va a detenerles, esta es una de las formas en que ocurre».

Warren Poschman, arquitecto de soluciones senior de comforte AG:

«Con un retraso de casi cinco meses en la respuesta a la brecha, DoorDash ha dado a sus clientes algo más de lo que preocuparse que de conseguir tikka masala frío. Aunque aparentemente la información de pago no fue robada, el robo de datos personales críticos, incluyendo nombres, direcciones y en algunos casos los datos del permiso de conducir, hace que este sea otro ejemplo de cómo es necesario asegurar los datos utilizando un enfoque de seguridad centrado en los datos, donde se protegen los datos reales en lugar de los sistemas. Desgraciadamente, DoorDash ha respondido entregando algunas sobras de seguridad sólo «…añadiendo capas de seguridad de protección adicionales alrededor de los datos, mejorando los protocolos de seguridad que rigen el acceso a nuestros sistemas». Los vectores de ataque actuales requieren algo más que el cifrado del disco, los cortafuegos y la gestión de los accesos: es necesario proteger los datos reales que persigue el atacante, no sólo el sistema en torno a los datos».