Nueva brecha de seguridad en Glovo, la aplicación de servicios de entrega a domicilio.

Lo que parecía un problema aislado para Perú, donde la tecnológica española cuenta con actividad desde hace tiempo, ha empezado a reproducirse también en España. Varios usuarios de Glovo han denunciado que, a lo largo del fin de semana, el acceso a su perfil de usuario quedó bloqueado por un cambio de contraseña. Tras restaurar la misma, alguno de ellos se dieron cuenta de que, tanto a su mail como en sus cuentas bancarias, se habían producido cargos desde Egipto. El nombre de usuario de la aplicación había cambiado, así como la localización y el idioma de la misma.

En el caso de la usuaria de Perú, los cargos eran para una petición en el Burger King. La usuaria intentó cancelar el pedido, pero la cuenta le denegó la petición.

En España, los hackeos también tienen origen en Egipto. Luis Herreras contaba, a través de su cuenta de Twitter, que tras perder el acceso a su cuenta el sábado por la noche aparecieron unos cargos de tabaco desde Egipto que le han supuesto 160 euros. Un total de siete pedidos, con sus correspondientes facturas, que mantienen su número de cuenta, pero no su nombre de usuario.

Hipertextual se ha puesto en contacto con algunos de los afectados. En el caso de Luis, su primera hipótesis es que los problemas se originaron tras cambiar el modo de pago en su aplicación. La coincidencia del hackeo tras hacer peticiones a una conocida cadena de hamburgueserias también les hacía pensar que el problema podría venir de ahí. La realidad es que los cargos vienen de varias partes del mundo, por importes dispares, a usuarios aleatorios y en momentos diferentes a lo largo de los últimos días. Especialmente a lo largo de este fin de semana y a usuarios de Madrid.

Luis Herrera explica a este medio que se ha puesto en contacto con Glovo vía mail, app y Twitter, pero de momento no ha recibido respuesta a la situación; "Yo ya no me fio de si mis datos y mi cuenta están seguros en esa app", añade. Hipertextual también se ha puesto en contacto con la tecnológica, que confirma que **están al tanto de la situación, pero explican que, aunque se está investigando la situación, "en ningún caso se ha visto comprometida la información de las tarjetas de sus usuarios". No explican, sin embargo, cómo han terminado estas cuentas en manos de usuarios de otros países. Desde la compañía se han puesto en contacto con los usuarios y les han recomendado que actualicen sus datos en la cuenta; afirman que se pondrán en contacto con ellos una vez se aclare la situación.

En este sentido, no es la primera brecha de seguridad que sufre la tecnológica. Ya en diciembre de 2018, la compañía avisaba de un ataque informático a su sistema que, sin embargo, confirmaban nop había afectado a los datos bancarios y personales de los usuarios.

Hipertextual ha recibido el comunicado de Glovo, en el que definen la situación como "casos aislados" y negando que se trate de una brecha de seguridad. Reproducimos íntegramente la declaración:

En los últimos días algunos usuarios de la plataforma han puesto en conocimiento de Glovo la identificación de compras en sus cuentas realizadas por terceros sin su consentimiento. Glovo quiere dejar constancia de que se trata de casos aislados y que el uso no autorizado detectado no es debido a una brecha de seguridad en Glovo.

En todos los casos analizados se trata de cuentas que utilizan el mismo usuario y contraseña en otras plataformas y cuyas credenciales han podido ser obtenidas por terceros vulnerando la seguridad de otras plataformas. Glovo ha activado todos los protocolos de seguridad necesarios para garantizar la seguridad de las cuentas que se han podido ver afectadas y quiere recordar a sus usuarios la importancia de utilizar contraseñas diferentes en cada plataforma. Asimismo Glovo quiere asegurar que todos los usuarios afectados serán reembolsados.

Por último, Glovo quiere garantizar que la información privada relativa a datos bancarios y/o tarjetas de crédito de sus usuarios no ha podido verse comprometida ya que Glovo no almacena dicha información y trabaja con plataformas líderes en la gestión de pagos.


Actualización a las 13:15: Añadida la declaración de Glovo.
Actualización a las 16:28: Añadido el mail de Glovo a sus usuarios.
Actualización a las 23:22: Añadido el comunicado de Glovo.