Las credenciales de clientes y repartidores de la plataforma Glovo en España han aparecido a la venta en Internet, como consecuencia de una brecha de seguridad que la empresa actualmente está investigando.
Actores terceros no autorizados accedieron a los sistemas de Glovo a través de la interfaz de un antiguo panel de administración. Desde allí consiguieron obtener una base de datos con las credenciales de las cuentas de clientes y repartidores.
La información fue puesta a la venta en la dark web, donde la encontró el responsable de Tecnología y fundador de Hold Security, Alex Holden, quien informó de este suceso a Forbes. Los vídeos y capturas de pantalla compartidos que mostraban el acceso a la administración de las cuentas de Glovo.
Glovo fue notificada de esta brecha el pasado jueves y un día después bloqueó el acceso al sistema afectado. Este lunes 3 de mayo confirmó el hackeo y la solución del problema de seguridad. “El 29 de abril detectamos el acceso no autorizado de un tercero a uno de nuestros sistemas”, ha reconocido Glovo en un comunicado remitido a Europa Press, en el que confirma que el acceso se produjo a través de una antigua interfaz del panel de administración.
“Tan pronto como fuimos conocedores, tomamos medidas de forma inmediata, bloqueando el acceso del tercero no autorizado e implementando medidas adicionales para proteger nuestra plataforma”, ha asegurado la compañía.
No obstante, y según el medio citado, los datos de usuarios y repartidores seguían a la venta en Internet, con el potencial de modificar la contraseña de las cuentas. La compañía ha confirmado que no se accedió a ningún datos de tarjeta de crédito de sus clientes, ya que esta información no se almacena, y ha asegurado, además, que está investigando lo ocurrido y que se ha puesto en contacto con la Agencia Española de Protección de Datos.
La información sustraída incluye nombres completos, direcciones postales, correos electrónicos y números tanto de cuenta como de teléfono
Miles de datos de repartidores, trabajadores de distinto tipo y clientes robados a Glovo se ofrecen bajo subasta en el “internet profundo”, una red que está configurada de forma específica y a la que se accede mediante un software distinto al usual.
En mayo del 2021, Glovo sufrió un jaqueo que dejó al descubierto en internet las credenciales de las cuentas de repartidores y clientes de la compañía.
En concreto, se vende información de más de 5,79 millones de pedidos de clientes de Glovo, de 37.509 repartidores, 21.379 trabajadores de la empresa y 3.854 informes de incidencias sufridas entre McDonald’s y la empresa de reparto.
Un portavoz de Glovo ha remarcado que pese a que en mayo el atacante “pudo acceder a los números de IBAN durante un breve período de tiempo”, no logró obtener “ningún dato de tarjeta de clientes, ya que Glovo no guarda ni almacena dicha información y todas las contraseñas están encriptadas”.
En el caso de los repartidores, la información robada incluye nombres completos, direcciones postales, números de teléfono, correos electrónicos, IBAN y método de transporte usado.
“En Glovo nos tomamos muy en serio la seguridad de los datos. La investigación de este caso finalizó en 2021 y, a continuación, se realizó una auditoría completa de la integridad de nuestros sistemas. También nos pusimos en contacto con la Agencia Española de Protección de Datos (AEPD), principal Autoridad de Protección de Datos en este caso, y les facilitamos toda la información necesaria para su investigación, que también concluyó en 2021. Tras la reaparición de estos datos, estamos tomando medidas adicionales para eliminarlos“, ha agregado el portavoz de la compañía.
Fuente: ElMundo.es
