Le secteur de la livraison en ligne connaît des turbulences, notamment en matière de sécurité des données. Récemment, Grubhub a révélé une faille de sécurité conséquente qui a exposé des informations personnelles de clients et de livreurs. Cet incident, impliquant un contractant tiers, suscite des inquiétudes quant à la protection des données dans ce secteur en pleine expansion.
Nature de la violation
Bien que Grubhub n’ait pas divulgué les détails précis de l’ampleur de cette atteinte, elle a confirmé que les données compromises incluent des noms, adresses électroniques, numéros de téléphone et des numéros de carte de crédit partiels. La plateforme insiste sur le fait qu’elle pense que seuls un nombre limité d’utilisateurs ont été touchés par cet incident.
Nous avons récemment détecté une activité inhabituelle au sein de notre environnement, liée à un prestataire de services tiers pour notre équipe d’assistance. Dès la découverte, nous avons lancé une enquête et identifié l’accès non autorisé à un compte associé à ce fournisseur.
Cette intrusion a permis à l’individu concerné de consulter les informations de contact des utilisateurs des campus, ainsi que celles des livraisons et des marchands ayant interagi avec le service d’assistance. Des versions hachées des mots de passe de certains systèmes internes ont également été récupérées par le contractant.
Réactions de Grubhub
Actuellement en vente par sa société mère Just Eat pour 650 millions d’euros, Grubhub a réagi de manière proactive. En réponse à cette situation, la société a mis en œuvre trois mesures essentielles :
- Engagement d’experts en cybersécurité : Collaboration avec une entreprise de cybersécurité pour une enquête approfondie.
- Renforcement de la sécurité des identifiants : Changement de tous les mots de passe pertinents pour éviter tout accès non autorisé.
- Amélioration du monitoring : Mise en œuvre de nouveaux mécanismes de détection d’anomalies dans les services internes.
Malheureusement, aucun dispositif de protection contre le vol d’identité n’a été proposé aux utilisateurs potentiellement affectés, ce qui soulève des questions sur la prise en charge des victimes.
Photo par Rowan Freeman sur Unsplash