Los datos personales de más de cinco millones de pedidos de Glovo están a la venta. Es lo que ocurre tras un duro hackeo
El hackeo a Glovo sigue dando problemas. Ha pasado más de un año desde que su base de datos fue hackeada, pero ahora han salido a la luz otra vez las consecuencias. El usuario de nombre 'k4fk4' ha puesto a la venta en la Dark Web un enorme archivo con los datos personales de clientes, trabajadores y riders de Glovo.
En total, según describe el propio usuario, esa base de datos incluye los datos de 5.790.564 pedidos de clientes, 21.379 datos empleados y 37.509 mensajeros. Un conjunto de datos que incluye según las imágenes mostradas información tan sensible como los nombres completos, NIF, fechas de nacimiento, números de teléfono, direcciones postales y de correo electrónico e incluso datos bancarios (IBAN).
Datos personales sí, tarjetas de crédito no
La filtración no proviene de un ataque nuevo, sino que deriva del hackeo sufrido el año pasado. Un ataque por el cual desde Glovo explican se tomaron "medidas de forma inmediata, bloqueando el acceso no autorizado".
Pese a que hay datos sensibles, desde Glovo explican que "aunque este pudo acceder a los números de IBAN durante un breve período de tiempo, no accedió a ningún dato de tarjeta de clientes ya que Glovo no guarda ni almacena dicha información y todas las contraseñas están encriptadas.
'k4fk4' ha puesto a la venta esta base de datos en Breach Forums, el sucesor de Raid Forums, que fue cerrado por el FBI. Según describe, se trata de una "base de datos exclusiva" que solo va a "venderla una vez". Una vez colocada en la Dark Web, el precio que se puede alcanzar por esta base de datos es incierto, pues entra la subasta.
Además de la propia Glovo, también se incluyen 3.854 registros de informes de incidentes de McDonald's. Las dos compañías mantienen un acuerdo de exclusividad para los envíos a domicilio, por lo que esta información también se encontraba en la base de datos de Glovo que fue hackeada.
Desde Glovo recuerdan que "nos tomamos muy en serio la seguridad de los datos". Adicionalmente explican que "la investigación de este caso finalizó en 2021 y, a continuación, se realizó una auditoría completa de la integridad de nuestros sistemas. También nos pusimos en contacto con la Agencia Española de Protección de Datos (AEPD), principal Autoridad de Protección de Datos en este caso, y les facilitamos toda la información necesaria para su investigación, que también concluyó en 2021".
Sin embargo, a raíz de la reaparición de estos datos, desde Glovo aseguran que están "tomando medidas adicionales para eliminarlos".
ENRIQUE PÉREZ - xataka