Donáškovej firme DoorDash unikli údaje o 4,9 milióne zákazníkov, zamestnancov a podnikateľov

DD

Zdroj: TechCrunch, DoorDash

DoorDash

Ďalší deň a máme tu ďalší únik citlivých osobných údajov. Nudné? V tomto prípade ani nie, ale poďme poporiadku. DoorDash je typická firma zo Silicon Valley. Zákazníkom ponúka donášku jedla z podporovaných reštaurácií v meste kde bývate. Podnikateľom vo food biznise ponúka rozšírenie počtu zákazníkov. Medzitým sú tzv. „dashers“, ľudia vykonávajúci donášku keď majú práve voľný čas čo im umožňuje si privyrobiť.

Čo sa stalo?

Podľa oznámenia firmy na začiatku septembra zistili, že tretia nemenovaná strana s prístupom k údajom vykazovala podozrivú činnosť. Vyšetrovaním zistili, že 4.mája 2019 neautorizovaný prístup k dátam spôsobil únik týchto údajov. Únik zasiahol 4,9 milióna zákazníkov, zamestnancov a podnikateľov zapojených v donáškovom programe. Zaujímavé je, že údaje ľudí zaregistrovaných po 5.apríli 2018 neboli zasiahnuté. Keďže je piatok, pre pobavenie si pozrite prvú vetu oznámenia o úniku.

Čo uniklo?

Buďte trpezliví zoznam je dlhý. Unikli mená, emailové adresy, adresy doručenia, história objednávok, telefónne čísla, zahešované (salted) heslá. U niektorých zákazníkov unikli posledné 4 čísla ich kreditnej karty, u dasherov a podnikateľov unikli posledné 4 čísla ich bankových účtov čo nie je problém. Uniklo aj 100.000 čísel vodičských preukazov dasherov vykonávajúcich donášku čo už problém je.

Ako sa to mohlo stať?

Firma DoorDash nekomentovala ako došlo k úniku, ale zakladateľ vyhľadávacej služby BinaryEdge na sociálnej sieti Twitter naznačoval, že za tým je nezabezpečená MongoDB databáza. Ich služba zaindexovala nezabezpečenú databázu ešte 20.8.2019.

No a prečo to nie je nudný únik?

Skúsme sa zamyslieť čo by rôzni ľudia mohli vyčítať z uniknutých údajov. Predstavte si, že ste na úteku pred násilnym partnerom a skrývate sa. Musíte jesť a keďže nechcete riskovať pohyb po meste objednáte si donášku. Ak ste si ju objednali pod svojim menom tak sa dá zistiť adresa doručenia (kde ste boli alebo ste) a história objednávok odhalí váš pohyb po meste/štáte. Dali by sa takto odhaliť tzv. „safe houses“, miesta kde sa skrývajú utajení svedkovia na základe kombinácie údajov z iných databáz. Partneri by mohli odhaliť neveru svojich polovičiek. Keďže história objednávok obsahuje aj čo ste si objednali, dajú sa vyčítať aj iné zaujímavosti (či máte alergiu a na čo, váš príjem a pod.)

Obrázok: DoorDash

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

HackerFest 2022 – hra na schovávačku s hackermi!

HackerFest 2022 Hra na schovávačku s hackermi v cloude, efektívne preverovanie bezpečnosti webových aplikácií a najnovšie hackerské techniky v praxi – HackerFest 2022 Tradičnú  konferenciu…