Nous avons récemment appris qu’un fournisseur tiers a été la cible d’une campagne d’hameçonnage sophistiquée et que certaines informations personnelles conservées par DoorDash ont été affectées.
Il est important de noter que la campagne d’hameçonnage n’a pas compromis les informations sensibles et nous n’avons aucune raison de croire que les informations personnelles concernées ont été utilisées à mauvais escient à des fins de fraude ou d’usurpation d’identité pour le moment.
Parce que nous apprécions la confiance que nos utilisateurs nous accordent, nous partageons une mise à jour sur ce qui s’est passé et sur la façon dont nous y répondons.
Que s’est-il passé?
DoorDash a récemment détecté une activité inhabituelle et suspecte sur le réseau informatique d’un fournisseur tiers. En réponse, nous avons rapidement désactivé l’accès du fournisseur à notre système et maîtrisé l’incident.
Sur la base de notre enquête, nous avons déterminé que le fournisseur avait été compromis par une attaque d’hameçonnage sophistiquée. La partie non autorisée a utilisé les informations d’identification volées des employés du fournisseur pour accéder à certains de nos outils internes.
Les tactiques avancées utilisées semblent être liées à une campagne d’hameçonnage plus large qui a ciblé un certain nombre d’autres entreprises. Nous comprenons que les forces de l’ordre sont au courant de cette campagne et enquêtent activement. Nous les avons contactés pour leur offrir notre soutien.
Qui a été touché?
Notre enquête a déterminé qu’un petit pourcentage de personnes dont les données sont conservées par DoorDash a été affecté par cet incident.
Quelles données ont été consultées?
Pour les consommateurs, les informations consultées par la partie non autorisée comprenaient principalement le nom, l’adresse courriel, l’adresse de livraison et le numéro de téléphone. Pour un plus petit groupe de consommateurs, les renseignements de base sur la commande et les renseignements partiels sur la carte de paiement (c.-à-d. le type de carte et les quatre derniers chiffres du numéro de carte) ont également été consultés. Pour les Dashers, les informations consultées par la partie non autorisée comprenaient principalement le nom et le numéro de téléphone ou l’adresse courriel. Les informations affectées pour chaque personne touchée peuvent varier.
Quelles données n’ont pas été consultées?
D’après notre enquête à ce jour, les informations consultées par la partie non autorisée ne comprenaient pas les mots de passe, les numéros de carte de paiement complets, les numéros de compte bancaire ou les numéros de sécurité sociale ou d’assurance sociale.
Que faisons-nous pour faire face à cette situation?
Voici les mesures que nous avons prises pour réagir à cet incident et aider à prévenir des événements similaires à l’avenir :
Renforcer la sécurité. Bien que l’incident soit le résultat d’une attaque d’hameçonnage visant un tiers, nous avons pris des mesures pour améliorer davantage les systèmes de sécurité déjà robustes de DoorDash, ainsi que les systèmes de sécurité de notre fournisseur tiers. Nous avons également partagé des alertes de sécurité avec d’autres fournisseurs tiers détaillant les tactiques spécifiques utilisées et rappelé aux employés et aux fournisseurs tiers d’être à l’affût de toute activité suspecte.
Travailler avec des experts en sécurité. Nous avons fait appel à une entreprise de cybersécurité de premier plan pour nous aider dans notre enquête en cours.
Aviser les utilisateurs et les autorités compétentes. Nous informons les personnes concernées dont les informations sont conservées par DoorDash et les autorités compétentes en matière de protection des données, le cas échéant.
Assister les forces de l’ordre. Nous avons contacté les forces de l’ordre de manière proactive pour les aider dans leur enquête. Nous espérons que les responsables de cette vaste campagne d’hameçonnage seront identifiés et tenus responsables.
Prévenir les incidents futurs. Chez DoorDash, une valeur fondamentale est de s’améliorer de 1 % chaque jour. Nous continuerons de travailler avec des experts externes pour améliorer davantage la sécurité de nos systèmes.
Nous apprécions la confiance que nous avons bâtie avec chacun des membres de la communauté DoorDash, et la protection de notre plateforme et de vos informations personnelles est une priorité absolue pour DoorDash. Nous regrettons sincèrement que cette attaque ait eu lieu.
Pour obtenir plus d’informations, veuillez consulter notre page FAQ ci-dessous. Si vous avez d’autres questions, nous avons mis en place un centre d’appels dédié pour les consommateurs américains et canadiens et les Dashers au (833) 559-0221, disponible du lundi au vendredi de 6 h à 20 h heure du Pacifique et les fins de semaine de 8 h à 17 h heure du Pacifique.
FAQ
Comment puis-je savoir si j’ai été touché par ce problème?
Nous avons informé certains utilisateurs DoorDash concernés, le cas échéant.
Si mes informations ont été affectées, pourquoi DoorDash ne m’a-t-elle pas informé directement?
DoorDash a directement informé les utilisateurs concernés, le cas échéant, publié des informations sur l’incident sur notre site Web et mis en place un centre d’appels dédié pour répondre aux questions des utilisateurs.
Les informations de ma carte de paiement ont-elles été compromises dans le cadre de cet incident?
Non. D’après notre enquête à ce jour, aucune information sensible telle que des mots de passe ou des numéros complets de carte de paiement ou de compte bancaire n’ont été consultés par la partie non autorisée et nous n’avons aucune raison de croire que les informations personnelles concernées ont été utilisées à des fins frauduleuses ou d’usurpation d’identité.
Dois-je faire quelque chose pour protéger mon compte ou mes informations?
Aucune information sensible n’a été consultée par la partie non autorisée et pour le moment, nous n’avons aucune raison de croire que les informations personnelles concernées ont été utilisées à des fins de fraude ou d’usurpation d’identité.
C’est toujours une bonne idée de faire attention aux communications non sollicitées qui demandent vos informations personnelles ou vous renvoient à une page Web vous demandant des informations personnelles, et évitez de cliquer sur des liens ou de télécharger des pièces jointes à partir de courriels suspects.
Que fait DoorDash pour éviter que cela ne se reproduise?
Nous travaillons avec le fournisseur tiers ciblé par l’attaque d’hameçonnage pour améliorer davantage ses systèmes de sécurité ainsi que les nôtres. Nous avons engagé un expert de premier plan en cybersécurité pour fournir une expertise et un soutien supplémentaires.
Je suis un client Wolt. Ai-je été affecté?
Non. Seuls les utilisateurs de DoorDash ont été touchés par cet incident.
Comment puis-je obtenir plus d’informations?
Si vous souhaitez obtenir plus d’informations, veuillez visiter notre salle de presse ou nous contacter via notre centre d’appels dédié, disponible en anglais et en français, du lundi au vendredi, de 6 h à 20 h heure du Pacifique et les fins de semaine de 8 h à 17 h heure du Pacifique, au (833) 559-0221.