El servicio de entrega de comida a domicilio Grubhub ha informado de que ha descubierto un incidente de seguridad que involucraba a un contratista externo, dando lugar a un acceso no autorizado a cierta información de contacto de los usuarios.
"Tomamos medidas inmediatas para contener la situación y hemos trabajado con los principales expertos forenses para investigar el asunto. Estamos seguros de que el incidente ha sido completamente controlado", señalan en un comunicado.
Según han explicado, recientemente la compañía detectó una actividad inusual en su entorno atribuible a un proveedor de servicios externo para su equipo de soporte. Tras descubrirlo iniciaron una investigación y hallaron un acceso no autorizado a una cuenta asociada con dicho proveedor.
El actor de amenazas pudo acceder a la información de contacto de los estudiantes usuarios de su servicio de cenas, así como de los usuarios, comerciantes y conductores que interactuaron con su servicio de atención al cliente.
Los cibermalos se hicieron con nombres, direcciones de email y números de teléfono, además de información parcial de la tarjeta de pago para algunos usuarios (tipo de tarjeta y últimos cuatro dígitos del número de la misma).
Desde Grubhub aseguran que la parte no autorizada llegó a conseguir contraseñas cifradas de ciertos sistemas antiguos, pero no claves de las cuentas de Grubhub Marketplace.
Además, gracias a su investigación han podido confirmar que el atacante no consiguió datos de cuentas bancarias, números de seguridad social o de carnets de conducir.
"Seguimos comprometidos a proteger la confianza que han depositado en nosotros nuestros clientes, comerciantes y conductores. Hemos tomado medidas decisivas para proteger aún más nuestros sistemas y estamos reforzando activamente nuestros controles de seguridad para evitar incidentes similares en el futuro", señalan desde la compañía de delivery. Entre estas medidas están el refuerzo de credenciales y el monitoreo mejorado.
Faltan detalles de la brecha de seguridad
La empresa no ha revelado cuándo ocurrió la brecha ni el número de cuentas a las que habrían accedido los hackers, pero asegura que ha rotado las contraseñas de manera proactiva para aquellos que fueron afectados.
Grubhub cuenta con una red de 375.000 restaurantes y locales y opera en más de 4.000 ciudades de EE.UU.
La compañía se encuentra finalizando una venta de Just Eat a la startup Wonder por 650 millones de dólares. El acuerdo se anunció el pasado mes de noviembre y se espera que se cierre durante este primer Q1 de 2025.