Společnost DoorDash potvrdila únik dat, který se týká některých jejích uživatelů, včetně zákazníků, kurýrů a obchodníků. Kompromitovaná data zahrnují jména, e-mailové adresy, telefonní čísla a fyzické adresy. I když společnost tvrdí, že nebyly odcizeny žádné citlivé finanční informace ani vládou vydané identifikační údaje, zveřejnění osobních kontaktních a lokalizačních údajů vyvolává vážné obavy o soukromí.
Jak k úniku došlo
Únik byl výsledkem sociálního inženýrství zaměřeného na zaměstnance DoorDash. To znamená, že hackeři zmanipulovali zaměstnance, aby získali neoprávněný přístup do systémů společnosti. Po objevu DoorDash říká, že to rychle narušilo přístup hackerů a zahájilo vyšetřování, než informovalo orgány činné v trestním řízení.
Jaká data byla ohrožena?
Kompromitovaná data jsou významná:
Celá jména
* E-mailové adresy
* Telefonní čísla
** Fyzické adresy**
DoorDash trvá na tom, že Čísla sociálního zabezpečení, informace o řidičských průkazech a informace o platebních kartách zůstaly v bezpečí. Krádež telefonních čísel a fyzických adres však stále představuje vážné riziko a vytváří příležitosti pro podvody, pokusy o krádež identity a dokonce i fyzické poškození.
Proč je to důležité
Porušení dat, jako je toto, se stávají stále běžnějšími díky sofistikovaným taktikám sociálního inženýrství. Útočníci se často zaměřují spíše na lidská zranitelnost, než aby přímo hackovali systémy. Manipulace se zaměstnanci je totiž snazší než složitá bezpečnostní opatření.
Znepokojivý je i fakt, že DoorDash nezveřejnil přesný počet postižených uživatelů. Tato neprůhlednost ztěžuje jednotlivcům posouzení jejich rizika a přijetí vhodných opatření.
Co by měli uživatelé dělat
Dotčení uživatelé by si měli dávat pozor na potenciální podvody. To zahrnuje ostražitost před nevyžádanými hovory, textovými zprávami nebo e-maily požadujícími osobní údaje. Měli by také sledovat, zda na jejich účtech nedochází k podezřelé aktivitě, a tam, kde je to možné, povolit dvoufaktorovou autentizaci.
Odpověď DoorDash
Společnost DoorDash uvedla, že informovala dotčené uživatele a spolupracuje s orgány činnými v trestním řízení. Nedostatečná transparentnost společnosti ohledně rozsahu narušení však vyvolává otázky ohledně jejího závazku k zabezpečení dat.
Tento incident zdůrazňuje, že je třeba, aby společnosti upřednostňovaly školení zaměstnanců, aby zabránili sociálnímu inženýrství. Zdůrazňuje také důležitost jasné a včasné komunikace s dotčenými uživateli během úniku dat.
Tento únik je připomínkou toho, že žádná společnost není imunní vůči kybernetickým útokům. Incident by měl uživatele přimět, aby přehodnotili své vlastní bezpečnostní postupy a podnikli kroky k ochraně svých osobních údajů.
