Violation de sécurité Grubhub expose les données des clients et des chauffeurs, selon l'entreprise

Une faille de sécurité chez Grubhub a exposé des données personnelles à la fois pour les clients et les chauffeurs, affirme l'entreprise, suite à un « incident » impliquant un sous-traitant tiers.

L'entreprise n'a pas révélé l'ampleur exacte de la faille de sécurité, mais a admis que les données personnelles incluses portent des noms, des adresses e-mail, des numéros de téléphone et des numéros de carte de crédit partiels...

Grubhub affirme qu'un sous-ensemble limité de clients et de conducteurs a été affecté.

Nous avons récemment détecté une activité inhabituelle au sein de notre environnement, attribuée à un fournisseur de services tiers pour notre équipe d'assistance. Dès la découverte, nous avons immédiatement lancé une enquête, identifiant un accès non autorisé à un compte associé à ce fournisseur. Nous avons immédiatement résilié l'accès du compte et supprimé le fournisseur de services de nos systèmes.

L'individu non autorisé a accédé aux informations de contact des restaurants du campus, ainsi qu'aux clients, commerçants et chauffeurs ayant interagi avec notre service client.

De plus, il est indiqué que le sous-traitant a obtenu des versions hachées des mots de passe pour certains de ses systèmes internes.

Grubhub, qui est en cours d'être vendu par sa société mère Just Eat pour 650 millions de dollars, affirme avoir pris trois mesures suite à la violation :

• Experts judiciaires impliqués : Partenariat avec une société tierce spécialisée en cybersécurité pour une enquête complète.
• Sécurisation renforcée des identifiants : toutes les mots de passe pertinents ont été renouvelés pour empêcher un accès non autorisé potentiel.
• Surveillance améliorée : mécanismes de détection d’anomalie supplémentaires déployés sur tous les services internes.

Il n'a offert aucune protection contre le vol d'identité aux utilisateurs concernés.

Photo par Rowan Freeman sur Unsplash