Ciberseguridad

A la venta en Internet los datos de 58.000 “riders” y empleados de Glovo y de casi seis millones de pedidos

La información, que ha sido puesta a la venta en un foro de “hacking”, corresponde a los datos filtrados en la brecha de seguridad que la compañía sufrió en abril de 2021

"Rider" de Glovo.
"Rider" de Glovo.La RazónCortesía de Shashank Verma / Unsplash.

La filtración de datos que la empresa de recogida y envío de pedidos Glovo sufrió en abril de 2021 ha vuelto a salir a la luz. Según ha informado el medio social especializado en la web profunda Daily Dark Web, los datos de 5.790.563 pedidos, 21.379 empleados, 37.509 ridersy 3.854 informes de incidencias de McDonald, una de las empresas con las que trabaja Glovo, se encuentran a la venta en un foro de Internet desde el pasado sábado.

El poseedor de la base de datos de Glovo ha publicado la oferta de venta en Breach Forums, el sucesor del foro Raid Forums clausurado por el FBI el pasado mes de abril, bajo la identidad de k4fk4. Lo ha hecho sin establecer un precio y señalando que es una venta exclusiva a un solo postor. Glovo ha confirmado que la información puesta a la venta corresponde a la filtración de 2021 y ha señalado a El Periódico que “tras la reaparición de estos datos estamos tomando medidas adicionales para eliminarlos”.

La información más sensible es la que corresponde a los riders, en la que se incluye datos como el nombre completo, DNI, número de teléfono, correo electrónico, domicilio, medio de transporte empleado en el trabajo y el número de cuenta bancaria. En el caso de los casi seis millones de pedidos que afectan a los clientes de Glovo, según las pruebas gráficas mostradas por k4fk4, se facilita el nombre del cliente y del rider que entregó el pedido, hora de entrega, ciudad y puntuación otorgada, pero no la información de pago. De los empleados se indica el nombre completo, nombre de usuario, dirección de correo electrónico y cargo.

La compañía ha explicado que “tras el hallazgo de la brecha en abril de 2021, todos los accesos a la información fueron bloqueados. Aunque el atacante logró acceder a detalles como el IBAN [de algunos riders] por un pequeño período de tiempo, no se expuso ningún dato relacionado con las tarjetas de crédito y débito, ya que no almacenamos ese tipo de información y las contraseñas son cifradas”, según recoge Business Insider.

Esa brecha de seguridad fue puesta en conocimiento de la Agencia Española de Protección de Datos que tras el suceso realizó una auditoría completa de la integridad de los sistemas de la plataforma.