La société de livraison et de plats à emporter DoorDash a eu accès à certaines de ses données clients à la suite d’une attaque de phishing, a-t-elle confirmé.
Dans un article de blog, la société a déclaré qu’elle était la dernière à être touchée par les effets d’entraînement d’une cyberattaque qui a frappé Twilio au début du mois.
DoorDash a déclaré que lorsque les attaquants inconnus ont violé les terminaux de Twilio (s’ouvre dans un nouvel onglet), ils ont volé les identifiants de connexion que certains employés de Twilio utilisaient pour accéder à certains outils DoorDash. À l’aide de ces informations d’identification, les attaquants ont procédé à l’accès aux données sensibles qu’ils détenaient.
Mots de passe et données de paiement sécurisés
La société n’a pas donné le nombre précis d’utilisateurs touchés par la violation, en plus de dire qu’un « petit pourcentage » d’individus pourrait être touché, mais a confirmé quelles données avaient été consultées.
« Pour les consommateurs, les informations consultées comprenaient principalement le nom, l’adresse e-mail, l’adresse de livraison et le numéro de téléphone », indique le blog. « Pour un plus petit groupe de consommateurs, les informations de base sur les commandes et les informations partielles sur la carte de paiement (c’est-à-dire le type de carte et les quatre derniers chiffres du numéro de carte) ont également été consultées. Pour les Dashers, les informations consultées par la partie non autorisée comprenaient principalement le nom et le numéro de téléphone ou l’adresse e-mail.
Les mots de passe, les numéros de carte de paiement complets, les numéros de compte bancaire, les numéros de sécurité sociale et les numéros d’assurance sociale n’ont pas été consultés, a confirmé la société, ajoutant également qu’elle n’avait trouvé aucune preuve que les données compromises étaient utilisées à des fins de fraude ou d’usurpation d’identité. (s’ouvre dans un nouvel onglet).
Pour atténuer le problème, DoorDash a bloqué l’accès de Twilio à ses systèmes pour le moment. Il a également déclaré avoir « encore amélioré » ses systèmes de sécurité, ainsi que les systèmes de sécurité de son fournisseur tiers, sans détailler exactement ce qui a été fait.
« Nous avons également partagé des alertes de sécurité avec d’autres fournisseurs tiers détaillant les tactiques spécifiques utilisées et rappelé aux employés et aux fournisseurs tiers d’être vigilants en cas d’activité suspecte. »
La société a également fait appel à une société de cybersécurité pour l’aider dans l’enquête en cours, a informé ses utilisateurs et a contacté les forces de l’ordre.