La società di consegne Glovo è stata protagonista di una grave violazione di sicurezza: ha subito un accesso non autorizzato da parte di un hacker che ha trafugato dati riservati e credenziali di accesso di decine di milioni di clienti, driver e dipendenti.
I precedenti
La stessa Glovo era stata sanzionata nel 2020 dal Garante spagnolo per un’altra violazione in tema di data protection: aveva ”dimenticato” di nominare il Data Protection Officer, una figura chiave per una società che gestisce un’app super tecnologica che vanta oltre 10 milioni di download nel Play Store di Google con utenti da 20 nazioni del mondo che la utilizzano per fruire di servizi di consegna rapida a domicilio, nelle grandi città sono spesso operativi H24 e 7/7 grazie al lavoro di oltre 1.500 addetti.
Inoltre, le stesse Autorità Spagnole ad aprile 2021 avevano informato l’azienda di un avvenuto data breach. Non è ancora possibile capire se la fuga di informazioni di aprile corrisponda a quella scoperta da Yarix pochi giorni fa; potrebbe infatti trattarsi anche di due data breach diversi.
La vendita dei dati
A diramare l’informazione sul data breach è Bloomberg, che cita come fonte la società italiana di sicurezza Yarix, la quale ha affermato di avere le prove che i cyber criminali hanno già messo in vendita le informazioni rubate nel Dark Web: si tratterebbe di un volume complessivo di circa 160GB in vendita ad una cifra di circa 85.000 dollari.
L’attacco hacker è davvero impressionante in quanto coinvolge persino gli amministratori del sito. Le informazioni trafugate hanno un ampio spettro in quanto è possibile ricondurre agli utenti:
- nome e cognome
- data di nascita
- numero di telefono
- email e password
- i riferimenti per il pagamento
- lo storico degli ordini
Purtroppo per i rider, questo significa che nelle mani degli hacker sono finite anche le foto dei documenti di riconoscimento che potrebbero essere utilizzate per successive attività che comportano il furto di identità.
Le dichiarazioni dell’azienda
Un portavoce di Glovo ha dichiarato che “sebbene la terza parte non autorizzata sia stata in grado di accedere a numeri IBAN e ad identificativi fiscali, possiamo confermare che non è stato effettuato alcun accesso a dati di carte di credito o debito”.
L’intento dell’azienda di Delivery era quello di rassicurare sul fatto che i dati di pagamento degli utenti non potevano essere stati trafugati, in quanto i loro server non ne tengono traccia nè memoria. Tuttavia successivamente Yarix ha purtroppo potuto verificare che le credenziali di accesso alle carte di credito nelle mani degli hacker in realtà sono valide.
Raccomandazioni
In attesa di seguire ed approfondire gli sviluppi della vicenda, in cui ancora non è noto il coinvolgimento di utenti italiani, il consiglio per chi utilizza Glovo è quello di cambiare la password del proprio account e di controllare i movimenti delle carte di credito per verificare che non vi siano addebiti anomali.
La vicenda fornisce uno spunto di riflessione non solo circa il poco committment che la società dimostra di avere circa l’importanza di proteggere i dati forniti dai propri utenti ma anche su quanto sia importante da parte delle persone una attenta valutazione preliminare dei servizi a cui si intende aderire e di quali informazioni personali condividere con essi.
