La compañía española de delivery, Glovo, ha sufrido un ataque masivo de un cibercriminal que se ha saldado con un gran robo de datos, según informa Forbes.
Según el mismo medio, el hackeó detrás del ataque ha tenido acceso a los datos tanto de los clientes como de los propio repartidores. Además, el acceso a los datos de Glovo, habría permitido al ciberdelincuente tener la habilidad de cambiar las contraseñas.
No obstante, pese a la gravedad del ataque, no se han robado datos de tarjetas de crédito, por lo que los datos de pago de los usuarios no habrían formado parte de los datos a los que ha tenido acceso el delincuente.
No se habrían robado datos de la tarjetas de crédito de los usuarios de Glovo
Forbes ha tenido acceso, además, a parte de las capturas de pantalla y videos del propio pirata informático que mostraban el acceso a equipos utilizadas para administrar las cuentas de Glovo. La empresa, que habría tenido constatación del ataque el jueves, ha confirmado al mencionado medio el acceso a sus sistemas.
No obstante, según alega la propia compañía, la brecha que habría permitido al atacante entrar a sus sistema ya ha sido solucionado. Mientras tanto, el atacante había puesto a la venta los datos de acceso a los sistemas IT de Glovo:
“El actor involucrado pudo obtener acceso a través de una antigua interfaz de panel de administración. Tan pronto como descubrimos esta actividad sospechosa, tomamos medidas inmediatas para bloquear el acceso de un tercero no autorizado e implementamos medidas adicionales para asegurar nuestra plataforma.
Si bien actualmente estamos investigando más, podemos confirmar que no se accedió a los datos de la tarjeta del cliente, ya que no guardamos ni almacenamos dicha información”
Declaraciones de Glovo a Forbes.
Además, Glovo ya ha notificado la brecha a la AEPD tal como exige la ley: “Les proporcionaremos toda la información que necesitan para su investigación".
En Hipertextual nos hemos puesto en contacto con Glovo para recabar más información. La compañía nos ha confirmado el ataque, así como las investigación puesta en marcha:
El 29 de abril detectamos el acceso no autorizado de un tercero a uno de nuestros sistemas.El actor involucrado pudo acceder a través de una antigua interfaz de panel de administración. Tan pronto como fuimos conocedores, tomamos medidas de forma inmediata, bloqueando el acceso del tercero no autorizado e implementando medidas adicionales para proteger nuestra plataforma.Actualmente seguimos investigando pero podemos confirmar que no se accedió a ningún dato de tarjeta de clientes, ya que Glovo no guarda ni almacena dicha información. En Glovo nos tomamos muy en serio la seguridad de los datos y pedimos disculpas por la preocupación y los inconvenientes que lo sucedido haya podido causar.. Hemos contactado con la Agencia Española de Protección de Datos (AEPD), como principal Autoridad de Protección de Datos en este caso, y les seguiremos facilitando toda la información que necesiten para su investigación.
Comunicado de Glovo, en declaraciones en Hipertextual