Anuncios

Nuestra respuesta a un incidente de <em>phishing </em> de un proveedor externo

Recientemente nos dimos cuenta de que un proveedor externo era el objetivo de una sofisticada campaña de <em>phishing</em> y que cierta información personal mantenida por DoorDash se vio afectada.

25/8/2022
5 minutos de lectura
doordash placeholder logo background

Recientemente nos dimos cuenta de que un proveedor externo era el objetivo de una sofisticada campaña de phishing y que cierta información personal mantenida por DoorDash se vio afectada.

Es importante destacar que la campaña de phishing no comprometió información confidencial y no tenemos motivos para creer que la información personal afectada se haya utilizado indebidamente para cometer fraude o robo de identidad en este momento.

Debido a que valoramos la confianza que nuestros usuarios depositan en nosotros, compartimos una actualización sobre lo que sucedió y nuestra respuesta.

¿Qué sucedió?

DoorDash detectó recientemente una actividad inusual y sospechosa de la red informática de un proveedor externo. En respuesta, deshabilitamos rápidamente el acceso del proveedor a nuestro sistema y contuvimos el incidente.

Según nuestra investigación, determinamos que el proveedor se vio comprometido por un sofisticado ataque de phishing. La parte no autorizada usó las credenciales robadas de los empleados del proveedor para obtener acceso a algunas de nuestras herramientas internas.

Las tácticas avanzadas utilizadas parecen estar conectadas con una campaña de phishing más amplia que se ha dirigido a otras empresas. Entendemos que las autoridades policiales están al tanto de esta campaña y están realizando investigaciones activamente. Nos hemos puesto en contacto con ellas para ofrecerles nuestro apoyo.

¿Quiénes se vieron afectados?

Nuestra investigación determinó que un pequeño porcentaje de personas cuyos datos mantiene DoorDash se vio afectado en relación con este incidente.

¿A qué datos se accedieron?

Para los consumidores, la información a la que accedió la parte no autorizada incluía principalmente el nombre, la dirección de correo electrónico, la dirección de entrega y el número de teléfono. Para un conjunto más pequeño de consumidores, también se accedió a la información básica de órdenes y a la información de la tarjeta de pago parcial (es decir, el tipo de tarjeta y los últimos cuatro dígitos del número de la tarjeta). Para los Dashers, la información a la que accedió la parte no autorizada incluía principalmente el nombre y el número de teléfono o la dirección de correo electrónico. La información afectada para cada individuo afectado puede variar.

¿A qué datos no se accedieron?

Según nuestra investigación hasta la fecha, la información a la que accedió la parte no autorizada no incluía contraseñas, números completos de tarjetas de pago, números de cuentas bancarias o números de Seguridad Social o Seguro Social.

¿Qué estamos haciendo en respuesta?

Estos son los pasos que hemos tomado para responder a este incidente y ayudar a prevenir eventos similares en el futuro:

  1. Mejorar aún más la seguridad. Si bien el incidente fue el resultado de un ataque de phishing dirigido a un tercero, tomamos medidas para mejorar aún más los sistemas de seguridad ya sólidos de DoorDash, así como los sistemas de seguridad de nuestro proveedor externo. También compartimos alertas de seguridad con otros proveedores externos que detallan las tácticas específicas utilizadas y recordamos a los empleados y proveedores externos que estén alerta ante cualquier actividad sospechosa.

  2. Trabajar con expertos en seguridad. Hemos contratado a una empresa líder en seguridad cibernética para ayudar con nuestra investigación en curso.

  3. Notificar a los usuarios y autoridades relevantes. Estamos notificando a las personas afectadas cuya información DoorDash mantiene y a las autoridades de protección de datos relevantes, cuando sea necesario.

  4. Asistir a las autoridades policiales. Nos hemos puesto en contacto proactivamente con las autoridades policiales para ayudar en su investigación. Esperamos encuentren y responsabilicen a los responsables de esta campaña de phishing generalizada.

  5. Prevenir futuros incidentes. En DoorDash, un valor fundamental es mejorar un 1% cada día. Continuaremos trabajando con expertos externos para mejorar aún más la seguridad de nuestros sistemas.

Valoramos la confianza que hemos construido con todos y cada uno de los miembros de la comunidad de DoorDash, y proteger nuestra plataforma y tu información personal es una prioridad principal para DoorDash. Lamentamos sinceramente que se haya producido este ataque.

Para obtener más información, consulta nuestra página de preguntas frecuentes a continuación. Si tienes más preguntas, establecimos un centro de llamadas dedicado para consumidores y Dashers de EE. UU. y Canadá al (833) 559-0221, disponible de lunes a viernes de 6 a. m. a 8 p. m., PST y los fines de semana de 8 a. m. a 5 p. m., PST.

Preguntas frecuentes

¿Cómo puedo saber si me afectó este problema?

Cuando ha sido necesario, notificamos a ciertos usuarios de DoorDash afectados.

Si mi información se vio afectada, ¿por qué DoorDash no me notificó directamente?

DoorDash notificó directamente a los usuarios afectados cuando fue necesario, publicó información sobre el incidente en nuestro sitio web y estableció un centro de llamadas dedicado para responder las preguntas de los usuarios.

¿Se vio comprometida la información de mi tarjeta de pago en relación con este incidente?

No. Según nuestra investigación hasta la fecha, la parte no autorizada no accedió a información confidencial, como contraseñas o tarjetas de pago completas o números de cuentas bancarias, y no tenemos motivos para creer que la información personal afectada se haya utilizado indebidamente para cometer fraude o robo de identidad.

¿Debo hacer algo para proteger mi cuenta o información?

La parte no autorizada no accedió a información confidencial y, en este momento, no tenemos motivos para creer que la información personal afectada se haya utilizado indebidamente para cometer fraude o robo de identidad.

Siempre es una buena idea tener cuidado con las comunicaciones no solicitadas que solicitan tu información personal o te remiten a una página web que solicita información personal; además, evita hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos sospechosos.

¿Qué está haciendo DoorDash para evitar que esto vuelva a suceder?

Estamos trabajando con el proveedor externo objetivo del ataque de phishing para mejorar aún más sus sistemas de seguridad y los nuestros. Hemos contratado a un destacado experto en seguridad cibernética para que brinde experiencia y asistencia adicionales.

Soy cliente de Wolt. ¿He sido afectado?

No. Solo los clientes de DoorDash se vieron afectados por este incidente.

¿Cómo puedo obtener más información?

Si deseas obtener más información, visita nuestra sala de prensa o comunícate con nosotros a través de nuestro centro de llamadas exclusivo disponible en inglés y francés de lunes a viernes de 6 a. m. a 8 p. m., PT y los fines de semana de 8 a. m. a 5 p. m., PT al (833) 559-0221.