Un hacker è riuscito a penetrare nella startup spagnola di commercio rapido Glovo. Il criminale informatico vendeva l’accesso sia agli account dei clienti che dei corrieri, con la possibilità di cambiare le password.
La violazione è stata scoperta da Alex Holden, chief technology officer e fondatore di Hold Security, che rintraccia gli hacker dannosi negli angoli più oscuri del Web, il quale ha individuato screenshot e video di un hacker che mostrava l’accesso ai computer utilizzati per gestire gli account Glovo. Dopo aver avvisato Forbes e avergli trasmesso i file e dopo che uno degli utenti interessati ha confermato di essere un membro di Glovo, la violazione è stata divulgata alla società.
Glovo ha confermato l’hack, sostenendo di aver risolto il problema e sottolineando a Forbes che alcun dato della carta di credito è stato rubato. Tuttavia, l’hacker ha continuato a vendere l’accesso ai sistemi IT della startup.
“Il 29 aprile, siamo stati informati dell’accesso non autorizzato da parte di un malintenzionato di terze parti a uno dei nostri sistemi”, ha riferito un portavoce di Glovo.
“L’attore coinvolto è stato in grado di accedere tramite una vecchia interfaccia del pannello di amministrazione. Non appena abbiamo scoperto questa attività sospetta, abbiamo preso provvedimenti immediati per bloccare ulteriori accessi da parte di terzi non autorizzati e messo in atto misure aggiuntive per proteggere la nostra piattaforma”.
“Mentre al momento stiamo effettuando ulteriori indagini, possiamo confermare che non è stato effettuato l’accesso ai dati delle carte dei clienti, poiché non conserviamo né archiviamo tali informazioni”.
L’azienda ha contattato l’autorità spagnola per la protezione dei dati – Agencia Española de Protección de Datos (AEPD) – e fornito loro tutte le informazioni per le indagini. Il portavoce di Glovo ha comunicato di non poter divulgare ulteriori informazioni sulla natura della violazione o sui tipi di dati che ritengono siano stati compromessi a seguito dell’hacking.
Holden ha riferito a Forbes la propria preoccupazione per il fatto che l’hacker stava ancora promettendo agli acquirenti l’accesso ai sistemi e ai dati di Glovo e che le informazioni non sembravano essere crittografate a qualsiasi estraneo che potesse entrare, sollevando preoccupazioni sul fatto che i numeri dei conti bancari internazionali dei corrieri (o IBAN) e i numeri di identificazione fiscale sono stati esposti.
Un portavoce di Glovo ha affermato che i dati sono “accessibili solo tramite un login riuscito da parte di un account con autorizzazioni sufficienti. Tutti i dati personali inattivi nei nostri sistemi sono crittografati”.
Inoltre, ha aggiunto che la società aveva bloccato l’accesso al sistema interessato venerdì mattina, dopo che era stato posizionato dietro il firewall. “Di conseguenza, il sistema ora non è più accessibile. Abbiamo quindi intrapreso un’analisi del registro per cercare segni di una fuga di dati e per valutare il volume potenziale di tale fuga. Abbiamo trovato prove di accesso non autorizzato al sistema, che confermano la presenza dell’hacker, ma non abbiamo trovato prove per confermare un’esportazione di dati”.
Holden ha aggiunto che “Durante la pandemia, la consegna di cibo, generi alimentari e farmaci è fondamentale per molti. Quindi, questa violazione è significativamente peggiore di quanto sarebbe stata prima”. “Ci sono molti punti di vista di frode e abuso che possono derivare da questi dati, ma forse, cosa ancora più importante, una violazione di massa della privacy per clienti e corrieri”.