Grubhub’da Veri İhlali
ABD’nin önde gelen yemek teslimat şirketi Grubhub, siber saldırganların müşteri ve şoförlerin kişisel bilgilerine eriştiğini açıkladı.
Şirket Bilgileri
Grubhub, 375,000’den fazla ticari işletme ve 200,000’den fazla teslimat sağlayıcısı ile 4,000’den fazla ABD şehrinde faaliyet gösteren popüler bir yemek siparişi ve teslimat platformudur. Geçen yıl, New York merkezli Wonder Group, şirketi 650 milyon dolarlık bir anlaşmayla satın aldı; bu, Grubhub’ın 2020 yılında Just Eat Takeaway tarafından 7.3 milyar dolara satın alındığı fiyatın oldukça altında bir rakamdır.
Veri İhlali Detayları
Pazartesi günü, Illinois merkezli Grubhub, istemeden de olsa, müşteri, tüccar ve şoförlerin kişisel verilerini etkileyen bir veri ihlali açıkladı. Şirket, ağında “olağandışı aktiviteler” tespit ettiğini ve bunun bir üçüncü parti hizmet sağlayıcısına kadar uzandığını belirtti.
Grubhub, yaptığı açıklamada, “Bu durumu fark ettiğimizde hemen bir soruşturma başlattık ve bu hizmet sağlayıcıyla ilişkili bir hesaba yetkisiz erişim tespit ettik,” dedi. “Hemen bu hesabın erişimini sonlandırdık ve hizmet sağlayıcısını sistemlerimizden tamamen kaldırdık.”
Saldırı, adları açıklanmayan siber suçluların, müşteri hizmetleriyle etkileşimde bulunan kullanıcıların kişisel ayrıntılarına erişmesine olanak tanıdı. Bu ihlal ayrıca, üniversite öğrencilerine yemek kredilerini yemek teslimat uygulamasında kullanma imkanı sunan Grubhub’ın Campus Dining hizmetini de etkiledi.
Kişisel Bilgilerin Güvenliği
Grubhub, erişilen kişisel bilgilerin isimler, e-posta adresleri, telefon numaraları ve yalnızca önceki dört haneli ödeme kartı bilgileri ile sınırlı olduğunu belirtti. Ayrıca, belirli eski sistemlerde hash’lenmiş şifrelerin de ele geçirildiği bilgisi verildi. Ancak, banka hesap detayları ve Sosyal Güvenlik numaralarının etkilenmediği ifade edildi.
Şirket, ihlalden etkilenen kişilerin sayısını açıklamazken, bu olayın ne zaman gerçekleştiğini de netleştirmedi.
TechCrunch’ın sorularına Grubhub henüz yanıt vermedi.