Un incident a eu lieu chez DOORDASH en août 2022. Une personne non autorisée a accédé aux systèmes informatiques du livreur américain et a dérobé les données personnelles de clients.

Les données dérobées contenaient notamment le nom, l’adresse e-mail, l’adresse de livraison et le numéro de téléphone. Le type et les quatre derniers chiffres du numéro de la carte bancaire de certains clients ont également été dérobés.

La société a indiqué dans un communiqué qu’une défaillance de la sécurité du compte d’un de ses fournisseurs est à l’origine de cet incident.

Le communiqué de DOORDASH :

« Nous avons récemment appris qu’un fournisseur tiers avait été la cible d’une campagne de phishing sophistiquée et que certaines informations personnelles conservées par DoorDash avaient été affectées.

Il est important de noter que la campagne de phishing n’a pas compromis les informations sensibles et que nous n’avons aucune raison de croire que les informations personnelles concernées ont été utilisées à des fins de fraude ou d’usurpation d’identité pour le moment.

Parce que nous apprécions la confiance que nous accordent nos utilisateurs, nous vous informons de ce qui s’est passé et de la manière dont nous réagissons.

Que s’est-il passé ?

DoorDash a récemment détecté une activité inhabituelle et suspecte sur le réseau informatique d’un fournisseur tiers. En réponse, nous avons rapidement désactivé l’accès du fournisseur à notre système et avons maîtrisé l’incident.

Sur la base de notre enquête, nous avons déterminé que le fournisseur a été compromis par une attaque de phishing sophistiquée. La partie non autorisée a utilisé les informations d’identification volées des employés du fournisseur pour accéder à certains de nos outils internes.

Les tactiques avancées utilisées semblent être liées à une campagne de phishing plus large qui a visé un certain nombre d’autres entreprises. Nous comprenons que les forces de l’ordre sont au courant de cette campagne et enquêtent activement. Nous les avons contactés pour leur offrir notre soutien.

Qui a été touché ? Notre enquête a déterminé qu’un petit pourcentage de personnes dont les données sont conservées par DoorDash a été affecté par cet incident.

Quelles données ont été consultées ? Pour les consommateurs, les informations consultées par la partie non autorisée comprenaient principalement le nom, l’adresse e-mail, l’adresse de livraison et le numéro de téléphone. Pour un plus petit nombre de consommateurs, des informations de base sur la commande et des informations partielles sur la carte de paiement (c’est-à-dire le type de carte et les quatre derniers chiffres du numéro de carte) ont également été consultées. Pour les Dashers, les informations consultées par la partie non autorisée comprenaient principalement le nom et le numéro de téléphone ou l’adresse électronique. Les informations affectées pour chaque personne touchée peuvent varier.

Quelles sont les données qui n’ont pas été consultées ? D’après les résultats de notre enquête à ce jour, les informations auxquelles la partie non autorisée a eu accès ne comprenaient pas de mots de passe, de numéros complets de cartes de paiement, de numéros de comptes bancaires ou de numéros de sécurité sociale ou d’assurance sociale.

Que faisons-nous pour réagir ? Voici les mesures que nous avons prises pour répondre à cet incident et aider à prévenir des événements similaires à l’avenir :

1. Renforcement de la sécurité. Bien que l’incident soit le résultat d’une attaque de phishing ciblant un tiers, nous avons pris des mesures pour renforcer les systèmes de sécurité déjà robustes de DoorDash, ainsi que les systèmes de sécurité de nos fournisseurs tiers. Nous avons également partagé des alertes de sécurité avec d’autres fournisseurs tiers détaillant les tactiques spécifiques utilisées et avons rappelé aux employés et aux fournisseurs tiers d’être attentifs à toute activité suspecte.

2. Travailler avec des experts en sécurité. Nous avons fait appel à une société de cybersécurité de premier plan pour nous aider dans notre enquête en cours.

3. Notification des utilisateurs et des autorités compétentes. Nous informons les personnes concernées dont les informations sont conservées par DoorDash et les autorités compétentes en matière de protection des données, le cas échéant.

4. Assistance aux forces de l’ordre. Nous avons contacté de manière proactive les forces de l’ordre pour les aider dans leur enquête. Nous espérons que les responsables de cette campagne de phishing à grande échelle seront retrouvés et tenus pour responsables.

5. Prévenir de futurs incidents. Chez DoorDash, l’une des valeurs fondamentales est de s’améliorer de 1% chaque jour. Nous continuerons à travailler avec des experts externes pour renforcer la sécurité de nos systèmes.

Nous apprécions la confiance que nous avons construite avec chaque membre de la communauté DoorDash, et la protection de notre plateforme et de vos informations personnelles est une priorité absolue pour DoorDash. Nous regrettons sincèrement que cette attaque ait eu lieu. »