La société de livraison de nourriture GrubHub a divulgué une violation de données affectant les informations personnelles d’un nombre non divulgué de clients, de commerçants et de chauffeurs après que des attaquants ont violé ses systèmes à l’aide d’un compte de fournisseur de services.
« Notre enquête a révélé que l’intrusion provenait d’un compte appartenant à un fournisseur de services tiers qui fournissait des services d’assistance à Grubhub », a déclaré la société lundi.
« Nous avons immédiatement mis fin à l’accès au compte et supprimé complètement le fournisseur de services de nos systèmes. »
En réponse à cet incident, l’entreprise a embauché des experts judiciaires externes pour évaluer l’impact de la violation, a alterné les mots de passe pour empêcher d’autres accès non autorisés et a ajouté des mécanismes supplémentaires de détection des anomalies dans ses services internes.
L’enquête de suivi n’a trouvé aucune preuve que les attaquants aient accédé à d’autres informations personnelles et financières sensibles, y compris les mots de passe des clients de Grubhub Marketplace, les informations de connexion des commerçants, les numéros de carte de paiement complets, les coordonnées bancaires, les numéros de sécurité sociale ou les numéros de permis de conduire.
Cependant, GrubHub a déclaré que, selon la personne concernée, les attaquants ont eu accès aux noms, adresses e-mail et numéros de téléphone, ainsi qu’à des informations partielles de carte de paiement (y compris le type de carte et les quatre derniers chiffres du numéro de carte) pour certains convives du campus.
« La personne non autorisée a accédé aux coordonnées des convives du campus, ainsi que des convives, des commerçants et des chauffeurs qui ont interagi avec notre service client », a déclaré GrubHub.
« La partie non autorisée a également accédé à des mots de passe hachés pour certains systèmes hérités, et nous avons procédé à une rotation proactive de tous les mots de passe qui, selon nous, auraient pu être menacés.
Bien que les attaquants n’aient pas accédé aux mots de passe des comptes Grubhub Marketplace, la société a exhorté les clients à toujours utiliser des mots de passe uniques pour minimiser les risques.
Un porte-parole de Grubhub n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.
Grubhub est une plateforme de commande et de livraison de nourriture avec plus de 375 000 marchands et 200 000 partenaires de livraison dans plus de 4 000 villes à l’échelle nationale.
En décembre, il a accepté de payer 25 millions de dollars pour régler les frais de la FTC et cesser de se livrer à des pratiques illégales, notamment de ne pas informer les consommateurs du coût total de la livraison, de tromper les chauffeurs sur le montant qu’ils gagneraient et de répertorier les restaurants sur sa plateforme sans leur consentement.