Glovo ha encajado una brecha de seguridad que ha revelado miles de datos de sus repartidores e información de pedidos. La tecnológica lidia con una masiva filtración de datos después de un hackeo similar en mayo de 2021 que, también, reveló información de cuentas y de riders. De hecho, la firma cree que lo aparecido hoy ya se hizo público el año pasado.
Lo ha avanzado la web especializada Daily Dark Web, que ha precisado que el dataset que se vende en el internet oscuro afecta a 5,8 millones de clientes, 21.379 trabajadores, 37.509 repartidores y 3.854 notas de incidentes en MDonald's.
Posibles robos
La filtración es delicada porque incluye el número de DNI de los riders, sus números de teléfono, correos electrónicos, números de cuenta bancaria, direcciones, tipos de contrato y el modo de transporte que usan para llevar pedidos.
De hecho, El Periódico ha precisado que la información de los repartidores ya se expuso en la brecha de seguridad de mayo del año pasado, lo que aumenta la posibilidad de robos y hackeos de mayores dimensiones.
Glovo recuerda que la filtración es antigua
Un portavpz de Glovo ha circunscrito la brecha de seguridad al "acceso no autorizado" en abril de 2021. La compañía recuerda que "tomó medidas de forma inmediata, bloqueando el acceso no autorizado". Sin embargo, los hackers pudieron acceder a los IBAN durante un "breve periodo de tiempo", aunque no a las tarjetas de los clientes y sus contraseñas".
Los datos aparecidos hoy serían pues una "reaparición" de una información a la que ya se accedió de forma ilícita el pasado año. Esa brecha terinó con una "auditoría completa" y la colaboración con la Agencia Española de Protección de Datos (Aepd), cuya investigación terminó también el pasado ejercicio.
Precedente: mayo de 2021
En efecto, cabe recordar que Glovo ya sufrió una ataque similar en mayo de 2021, cuando datos de sus repartidores vinculados aparecieron también en la dark web. Al parecer, los piratas consiguieron acceder a los sistemas de la tecnológica a través de la interfaz de un panel de administración que ya no se usaba. Fue desde esa plataforma desde donde consiguieron las credenciales.
Tras ello, Alex Holden, fundador de Hold Security, dio el aldabonazo de alerta, informando a Forbes. Poco después, la compañía fundada por Oscar Pierre y Sacha Michaud confirmó el incidente, aunque precisó que ya lo había solucionado.