500万doordash客户的细节在数据泄露中丢失
Gig经济外带服务Doordash,与Apprs和Uber等应用程序竞争美国和加拿大的应用程序,已承认,490万客户和骑手的细节,被称为划线仪,在发生的违规行为中受到损害2019年5月。
Doordash表示,它在9月份开始意识到今年5月4日“未经授权的第三方”访问了用户数据。所有受害者在2018年4月5日之前使用或曾在Doordash工作过 - 在该日期之后加入的用户不受影响。
受损数据包括姓名,电子邮件地址,家庭地址,订单历史,电话号码和哈希和盐渍密码。未访问完整的信用卡信息,例如验证所需的CVV编号。在其劳动力的情况下,大约100,000个划分者也有他们的银行账户详情和驾驶执照号码被盗。
Doordash目前没有英国的存在,但并不是说英国人和其他欧洲人居住在或访问美国或加拿大已经使用该服务的美国或加拿大。所有受影响的用户都已经或将被联系,但所有受影响的用户都会被鼓励重置他们的密码。
“我们非常认真地承担了我们社区的安全性,”Doordash在一份声明中说。“本月早些时候,我们意识到涉及第三方服务提供商的异常活动。我们立即启动了一项调查,外部安全专家订婚,以评估发生了什么。我们立即采取了措施阻止未经授权的第三方进一步访问,并在我们的平台上增强安全性。
“我们已经采取了一些额外的步骤来进一步保护数据,包括在数据周围添加其他保护安全层,从而改善管理对我们系统访问的安全协议,并带入外部专业知识以增加我们识别和击退威胁的能力。“
Forgerock的全球商业和企业发展高级副总裁Ben Goodman表示,Doordash Breach包含关于及时确定安全事件的重要性的课程。
他说尚不清楚如何或为什么近五个月才能检测到违约,这意味着该公司可能会产生重大罚款,以便更迅速地解决这一事件。
“为了维护员工和用户信任,避免法律后果,应用程序和所有其他公司需要更加积极主动地识别和通知客户违规,泄漏或任何其他安全漏洞,”耶和华说。
“另外,如果Doordash利用现代和全面的身份访问管理(IAM)工具,则可以避免此违规行为。IAM工具可以提供具有正在进行的,上下文安全性的组织,该组织在未经授权或未知的用户尝试访问数据库时提示更快的Identity验证,例如2FA或MFA。通过这些到位,组织确保其数据,员工,合作伙伴和客户的安全。“
ImmuniWeb的Ilia Kolochenko说:“在执法机构协助的详细技术调查之前对违约起源结论进行任何结论将会出于犯下任何结论。无可争议的第三方(如供应商或数据分析公司)的违反或数据被盗,仍然是可能的。
“隶属于不安全或粗心第三方的风险是大使最现代化公司和组织的阿基尔脚跟。问题是,第三方网络安全的监测和适当的执行非常昂贵,大多数公司,包括最大的公司,根本无法负担得起。
“如果受影响的用户应该迫切地改变他们的密码,如果他们不是绝对独特的,并联系信用监控机构。后来,他们很可能能够获得并接受赔偿提案,加入课程行动或申请近期诉讼以恢复损失。务实说话,在这种情况下,如果我们比较法律成本和所需时间,第一个大道可能是最有利可图的大道。“
BitGlass CTO Anurag Kahol添加:“只要试图控制损坏的一步,受影响的用户应该在他们使用这些现出暴露的凭据的所有帐户上更改密码。不幸的是,改变电话号码和家庭或工作地址并不容易。
“此次活动表明为什么公司对公司进行更好的保护数据至关重要 - 特别是当通过云和数字服务进行这么大的业务时。强制执行实时访问控制的安全解决方案,管理与外部方的数据共享,在休息时加密数据并防止数据泄漏对任何组织的网络安全程序至关重要。“
今年早些时候,Doordash是调查记者发现证据表明它正在欺骗其Gig经济劳动力的争议的主题,这是美国的严重问题,员工保护和最低工资立法往往是穷人或不存在的问题,这通常意味着酒店部门工人被迫依靠提示来实现生命的工资。