A la venta en Internet los datos privados de miles de clientes y repartidores de Glovo, filtrados tras un hackeo

A la venta en Internet los datos privados de miles de clientes y repartidores de Glovo, filtrados tras un hackeo
Sin comentarios

En mayo de 2021, alguien hackeó a la filial española de la compañía de delivery Glovo, accediendo a un antiguo panel de administración de la plataforma y usándolo para extraer datos en propiedad de la compañía. Días después, los 480 GB de datos personales que contenía la base de datos filtrada fueron puestos a la venta en un foro de la Dark Web. Ahora, año y medio después, la historia se repite.

Y es que, si eres cliente, empleado o repartidor de Glovo España, tenemos una mala noticia para ti: tus datos privados vuelven a estar disponibles al mejor postor en la Dark Web. Un usuario llamado 'k4fk4', recién dado de alta en Breach Forums —el foro sucesor del popular Raid Forums tras su cierre por el FBI— publicó el pasado sábado un post en los que aportaba pruebas gráficas de que tiene en su poder la base de datos de la compañía, y animaba a contactar con él para adquirirla:

Datos1

"Importante: esta es una base de datos exclusiva. Voy a venderla una sola vez".

Esta venta exclusiva significa, en la dinámica habitual de este tipo de mercados ilegales, que el precio se encarecerá… y el hecho de que no haya puesto un precio de referencia, se traduce en que terminará en manos de quien haga la mayor oferta por esta base de datos.

Lo ocurrido ya ha sido denunciado ante la Agencia Española de Protección de Datos, organismo que ya multó hace dos años a Glovo… precisamente por no contar con un Delegado de Protección de Datos:

McDonald's, también afectado por asociación

Pero, ¿qué estaría comprando exactamente el propietario final de esta información? Según 'k4fk4', incluiría los datos de 5.790.564 pedidos de clientes, 21.379 datos empleados y 37.509 mensajeros: nombres completos, NIF, fechas de nacimiento, números de teléfono, direcciones postales y de correo electrónico e incluso datos bancarios (IBAN).

Datos2

En el caso de los pedidos, es posible acceder a información sobre quién hizo el pedido, quién se lo llevó, desde qué local se hizo el envío, qué incluía y cuánto tiempo tardó en entregarse.

Además, inesperadamente, la base de datos cuenta también con 3.854 registros de informes de incidentes de McDonald's. Esto se explica porque McDonald's mantiene un acuerdo de exclusividad con Glovo para los repartos a domicilio, por lo que es esta compañía quien gestiona este sistema de incidencias que incluye todo tipo de información sobre razón de reclamaciones, soluciones propuestas al cliente, productos implicados, etc.

No se trata de un nuevo hackeo: el mismo que en 2021

A continuación, reproducimos las declaraciones de un portavoz de Glovo:

"La información relativa a la puesta en venta de datos se refiere a un acceso no autorizado a uno de nuestros sistemas el pasado abril de 2021".

"Tan pronto como fuimos conocedores del caso, tomamos medidas de forma inmediata, bloqueando el acceso no autorizado. Aunque este pudo acceder a los números de IBAN durante un breve período de tiempo, no accedió a ningún dato de tarjeta de clientes, ya que Glovo no guarda ni almacena dicha información y todas las contraseñas están encriptadas".

"En Glovo nos tomamos muy en serio la seguridad de los datos. La investigación de este caso finalizó en 2021 y, a continuación, se realizó una auditoría completa de la integridad de nuestros sistemas. También nos pusimos en contacto con la Agencia Española de Protección de Datos (AEPD), principal Autoridad de Protección de Datos en este caso, y les facilitamos toda la información necesaria para su investigación, que también concluyó en 2021".

"Tras la reaparición de estos datos, estamos tomando medidas adicionales para eliminarlos".

Temas
Inicio