DoorDash漏洞暴露490万用户个人数据

如果是，强烈建议您立即更改您的帐户密码.

受欢迎的按需食品配送服务—；今天证实了一个巨大的数据泄露事件，影响了使用其平台的近500万人，包括其客户、送货员和商家。

DoorDash是一种基于旧金山的按需食品配送服务（就像印度的Zomato和Swiggy），它将人们与当地餐厅联系起来，并在签约司机（也称为“Dasher”）的帮助下，在他们家门口的台阶上获得配送食品

该服务在美国和加拿大的4000多个城市运营。

怎么搞的？

DoorDash在今天发布的一篇博客文章中表示，该公司在本月早些时候注意到来自第三方服务提供商的一些“异常活动”后，意识到了一次安全入侵。

在检测到安全入侵后，该公司立即展开调查，发现未经授权的第三方在2019年5月4日成功访问了DoorDash的个人数据，在某些情况下还访问了其用户的财务数据。

是的，你读对了。数据泄露发生在5月4日，但该公司花了四个多月才发现安全事件。

根据该公司的声明，食品配送服务系统本身似乎没有任何可能首先暴露其用户数据的潜在弱点；相反，事件涉及第三方服务提供商。

有多少受害者？

该漏洞影响了大约490万名消费者、Dasher和商户，他们在2018年4月5日或之前加入了DoorDash平台。

然而，该公司表示，2018年4月5日之后加入其平台的人不受违规行为的影响。

访问了什么类型的信息？

未知攻击者访问的数据类型包括个人数据和财务数据，如下所示：

• 所有490万受影响用户的个人资料信息— 这些数据包括他们的姓名、电子邮件地址、送货地址、订单历史记录、电话号码和散列密码。
• 部分消费者的财务信息— 该公司表示，黑客还设法为其部分消费者获取了支付卡的最后四位数字，但保证不会访问完整的支付卡号或CVV。
• 一些大亨和商人的财务信息— 不仅是消费者，一些仪表盘和商家的银行账号的最后四位数字也被黑客访问。
• 10万个仪表盘的信息— 攻击者还能够访问10万名Dasher的驾照号码。

然而，DoorDash认为，这些信息不足以使用支付卡下欺诈性订单或从银行账户进行欺诈性提款。

DoorDash现在在做什么？

为了保护其客户，DoorDash立即限制攻击者进一步未经授权的访问，并聘请安全专家调查事件并核实违规程度。

该公司还表示，已采取了额外的安全控制措施，以加强安全性，并进一步保护客户的数据，其中包括添加额外的安全层以保护用户数据，以及改进允许访问其系统的安全协议。

DoorDash还引入了“外部专家”，以提高该公司在伤害用户之前识别和击退此类威胁的能力。

该公司表示：“我们对这可能给您带来的挫折和不便深表遗憾。DoorDash社区的每一位成员对我们都很重要，我们想向您保证，我们重视您的安全和隐私。”。

该公司正在向受数据泄露影响的个人用户直接提供更多信息，这可能需要几天时间。用户可以拨打855–，24/7拨打该公司的专用呼叫中心寻求支持；646–4683

你现在该怎么办？

首先，更改DoorDash帐户和任何其他使用相同凭据的在线帐户的密码。即使你没有受到影响也要这样做—；为了更安全。

尽管黑客获取的财务信息不足以从银行账户中进行欺诈性提款，但保持警惕并密切关注银行和支付卡对账单的任何异常活动，并向银行报告（如果发现）。

你还应该主要对网络钓鱼邮件持怀疑态度，这通常是网络犯罪分子在试图诱骗用户提供密码和银行信息等进一步细节后的下一步行动。