Ảnh minh họa. TechCrunch

DoorDash gửi email cảnh báo lộ dữ liệu đến người dùng

Hiện tại, các email thông báo được ghi nhận chủ yếu gửi tới người dùng DoorDash tại Canada. Tuy vậy, một khuyến cáo bảo mật không đề ngày tháng đăng trên trang web DoorDash lại cho thấy phạm vi ảnh hưởng có thể vượt ra ngoài Canada.

Theo thông báo, dữ liệu bị truy cập trái phép có thể bao gồm: Họ tên người dùng, địa chỉ nơi cư trú, điện thoại và địa chỉ email.

Trong cảnh báo này, DoorDash đề cập đến một số loại dữ liệu phổ biến tại Hoa Kỳ, như Số An sinh Xã hội (SSN), dù công ty khẳng định thông tin này không bị truy cập. Tương ứng tại Canada, dữ liệu nhạy cảm tương đương là Số Bảo hiểm Xã hội (SIN).

Thông báo qua email của DoorDash tiết lộ sự cố bảo mật từ tháng 10. Ảnh BleepingComputer

DoorDash cho biết cuộc điều tra ban đầu cho thấy không phát sinh truy cập vào mật khẩu hoặc thông tin thẻ thanh toán, song xác nhận rằng một số thông tin cá nhân của người dùng đã bị lộ.

Tin tặc tấn công lừa đảo nhân viên, chiếm quyền truy cập

Sự cố được xác định bắt nguồn từ việc một nhân viên DoorDash bị lừa đảo trực tuyến bằng kỹ thuật xã hội (social engineering), kẻ tấn công chiếm được tài khoản và xâm nhập vào hệ thống. DoorDash sau đó đã khóa quyền truy cập trái phép, mở cuộc điều tra và báo cáo cơ quan chức năng.

Công ty không công bố số lượng người dùng bị ảnh hưởng, song cho biết sự cố liên quan đến khách hàng, tài xế giao hàng (Dashers) và các đối tác nhà hàng.

Đây không phải lần đầu DoorDash gặp sự cố bảo mật. Hãng đã nhiều lần bị tấn công mạng. Năm 2019: Rò rỉ dữ liệu khoảng 5 triệu khách hàng, tài xế và đối tác. Năm 2022: Bị ảnh hưởng bởi chiến dịch tấn công liên quan đến dịch vụ Twilio.

‘Mất trọn 19 ngày’: người dùng chỉ trích DoorDash

Trên mạng xã hội, nhiều người dùng chỉ trích DoorDash vì chậm thông báo.

Chris, một người dùng ở Toronto, viết:

“Nếu đây không phải thông tin nhạy cảm thì là gì? Đừng xem nhẹ chuyện này chỉ vì họ không lấy được thông tin thẻ tín dụng hay mật khẩu.”

Chuyên gia an ninh mạng Kostas T. cũng cho rằng tuyên bố “không có thông tin nhạy cảm nào bị truy cập” là mâu thuẫn với loại dữ liệu mà DoorDash thừa nhận đã bị lộ.

Người dùng X có nickname là Ohqay thì bức xúc:

“DoorDash mất trọn 19 ngày mới thông báo cho tôi về vụ rò rỉ khiến thông tin cá nhân bị lộ. Tôi dùng tên giả và email chuyển tiếp, nhưng số điện thoại và địa chỉ thật thì họ đã làm lộ.”

Người này cũng cho biết sẽ đệ đơn kiện DoorDash lên tòa án cấp tỉnh tại Canada và gửi đơn khiếu nại tới Văn phòng Ủy viên Bảo vệ Quyền riêng tư Canada, cáo buộc công ty “thiếu chuyên nghiệp, nguy hiểm và có thể vi phạm luật bảo vệ dữ liệu”.

DoorDash cảnh báo người dùng nguy cơ bị tấn công lừa đảo

Trong email gửi khách hàng, công ty khuyến nghị:

Người dùng cần cảnh giác với các tin nhắn hoặc điện thoại không mong muốn hay những email dường như đến từ DoorDash có mục tiêu lừa đảo có mục tiêu. Không nhấp vào các liên kết hoặc tệp đính kèm trong email đáng ngờ và không cung cấp bất kỳ thông tin cá nhân nào cho các trang web lạ.

"Chúng tôi đã thực hiện các bước để ứng phó với sự cố, bao gồm triển khai các biện pháp nâng cao cho hệ thống bảo mật, đào tạo an ninh mạng cho nhân viên, thuê một công ty giám định an ninh mạng hàng đầu để hỗ trợ điều tra sự cố này và thông báo cho cơ quan thực thi pháp luật để tiếp tục điều tra", công ty tuyên bố.

An Lâm (Theo Bleeping Computer)