La plataforma de entrega de alimentos y comestibles de EE. UU. Grubhub dice que un incidente de seguridad en un proveedor de servicios de terceros es el culpable después de que los datos del usuario se vieron comprometidos.
No especificó la ventana en la que el «individuo no autorizado» obtuvo los datos del usuario, pero lo describió como «recientemente» y dijo que inmediatamente revocó el acceso de la cuenta de proveedor de servicios de terceros.
«Recientemente identificamos un incidente de seguridad que involucra a un contratista de terceros, lo que resultó en un acceso no autorizado a cierta información de contacto del usuario», dijo la compañía en un declaración.
«Tomamos medidas inmediatas para contener la situación y hemos trabajado con los principales expertos forenses para investigar el asunto. Confiamos en que el incidente ha sido completamente contenido».
Grubhub, que ofrece un servicio de comedor del campus que está disponible exclusivamente para los estudiantes en más de 360 universidades, dijo que los datos de contacto relacionados con estos usuarios estaban entre los tipos a los que se accede.
Otros usuarios, comerciantes y conductores de Grubhub ‘ datos personales También se vieron comprometidos, aunque la divulgación no especificó cuántos se vieron afectados.
El tipo de datos a los que se accede varió entre las víctimas, pero lo siguiente en algunos casos se vio afectado:
Grubhub dijo que no cree que las credenciales de usuario normales estén en riesgo, pero aconsejó a los clientes que rotaran sus contraseñas de todos modos.
Para el Contraseñas internas de hashGrubhub dijo que estos también ya estaban rotados para evitar cualquier acceso potencial más amplio, como parte del proceso habitual de respuesta a incidentes.
La información involucrada puede parecer básica, pero los datos de contacto y algunos datos semi-sensibles, como la información de la tarjeta parcial, podrían ser suficientes para engañar a las personas para que caigan por correos electrónicos de phishing. A partir de ahí, los atacantes pueden lanzar estafas más lucrativas.
Detalles como SSNS, números de licencia de conducir, detalles de la cuenta bancaria, credenciales de inicio de sesión comerciales y cliente de Grubhub Marketplace contraseñas todos se consideran seguros.
Grubhub no identificó al tercero comprometido responsable de los datos de datos, aparte de decir que era un proveedor de servicios para el equipo de apoyo de la compañía.
«Seguimos dedicados a proteger el fideicomiso que nuestros clientes, comerciantes y conductores tenemos el fideicomiso», agregó el comunicado. «Hemos tomado medidas decisivas para asegurar aún más nuestros sistemas y estamos fortaleciendo activamente nuestros controles de seguridad para evitar incidentes similares en el futuro».
Esos pasos incluyen la seguridad de las credenciales fortalecidas y la implementación de mecanismos de detección de anomalías adicionales en la red, dijo.
Según el informe de la aplicación de entrega de alimentos y los datos de la compañía recopilados por Negocio de aplicacionesGrubhub tenía 24.6 millones de clientes activos en 2023, los datos disponibles más recientes, cada pedido de la plataforma al menos una vez al mes. Más de 375,000 comerciantes también están registrados en la aplicación, sirviendo a los estadounidenses en más de 4,000 ciudades.
Lanzado en 2004, Grubhub fue adquirido por Wonder Group en noviembre de 2024 por $ 650 millones después de haber sido comprado por $ 7.3 mil millones por Just Eat Takeaway, con sede en Holanda en 2021. ®
