Los datos de un gran número de clientes, empleados y repartidores de Glovo se encontrarían accesibles al mejor postor en la dark web. Un pirata informático que tiene el sobrenombre de k4fk4 ha publicado un post en el que asegura vender una base de datos de la compañía de delivery.
Según indica, la base recoge información de 5,79 millones de pedidos registrados en la aplicación, incluyendo sus códigos, repartidor, descripción, estado, ciudad, tiempo de entrega, etc.
Además, el archivo compartido también brindaría acceso a datos de 21.379 empleados, 37.509 riders y 3.854 registros de incidentes con McDonald´s.
En este caso el actor de amenazas se acaba de dar de alta en el foro y este es su primer post. El anuncio se publicó el pasado sábado 30 de julio. Aunque el pirata no le ha puesto un precio al 'botín' sí indica que lo venderá una única vez.
¿Podrían pertenecer estos datos al hackeo del año pasado?
La compañía sufrió un hackeo en abril del año pasado, según alertó en su momento el fundador de Hold Security, Alex Holden. Los cibermalos pusieron a la venta los datos en la dark web.
Agentes de amenazas lograron entrar en sus sistemas mediante la interfaz de un antiguo panel de administración. Gracias a este acceso no autorizado pudieron conseguir una base de datos con las credenciales de cuentas de clientes y repartidores.
"Tan pronto como fuimos conocedores del incidente, tomamos medidas de forma inmediata, bloqueando el acceso del tercero no autorizado e implementando medidas adicionales para proteger nuestra plataforma", aseguró entonces la compañía, quien también indicó estar en contacto con la Agencia Española de Protección de Datos.
¿Podrían pertenecer estos nuevos datos filtrados al dicho hackeo? Por el momento desde Glovo no han confirmado ni desmentido que hayan sufrido una nueva brecha de seguridad a través de sus canales oficiales. Desde Escudo Digital nos hemos puesto en contacto con el departamente de prensa de la compañía y, mediante un comunicado que nos han remitido, afirman que los datos filtrados no se corresponden a ningún nuevo ciberataque, sino "al acceso no autorizado a uno de nuestros sistemas el pasado abril de 2021".
Esto es lo que dicho comunicado señala:
"La información relativa a la puesta en venta de datos se refiere a un acceso no autorizado a uno de nuestros sistemas el pasado abril de 2021.
Tan pronto como fuimos conocedores del caso, tomamos medidas de forma inmediata, bloqueando el acceso no autorizado. Aunque este pudo acceder a los números de IBAN durante un breve período de tiempo, no accedió a ningún dato de tarjeta de clientes ya que Glovo no guarda ni almacena dicha información y todas las contraseñas están encriptadas.
En Glovo nos tomamos muy en serio la seguridad de los datos. La investigación de este caso finalizó en 2021 y, a continuación, se realizó una auditoría completa de la integridad de nuestros sistemas. También nos pusimos en contacto con la Agencia Española de Protección de Datos (AEPD), principal Autoridad de Protección de Datos en este caso, y les facilitamos toda la información necesaria para su investigación, que también concluyó en 2021.
Tras la reaparición de estos datos, estamos tomando medidas adicionales para eliminarlos".