Nuevamente la seguridad de las grandes empresas queda en entredicho y en este caso afecta a una de las grandes compañías españolas. Según recogen desde Forbes, el popular servicio de reparto a domicilio Glovo habría visto hackeado su sistema por un atacante que estaría vendiendo la información al mejor postor. Este hackeo fue reportado por Alex Holden, director de tecnología y fundador de Hold Security, quien pudo ver como el hacker mostraba en capturas y video el acceso a esta información.
Desde Forbes pudieron comprobar la veracidad de la información ofrecida y se pusieron en contacto con Glovo para conocer la opinión de la compañía. Estos les han confirmado que en efecto el hackeo había existido y que se habría producido al usar el hacker una «antigua interfaz de panel de administración». Nada mas conocer este hecho desde la compañía tomaron medidas para bloquear este acceso e implementaron medidas de control adicionales.
Una filtración que no ha afectado a las tarjetas de los usuarios
Por supuesto la principal preocupación que puede surgir entre los usuarios es el uso de los datos de sus tarjetas, algo que la compañía se ha apresurado a desmentir «podemos confirmar que no se accedió a los datos de la tarjeta del cliente, ya que no guardamos ni almacenamos dicha información«.
Con la seguridad de Glovo en entredicho se vuelve a poner sobre el tapete el esfuerzo que las empresas realizan o no para garantizar la seguridad de la información que almacenan. Tal y como afirma Luis Corrons, Security Evangelist de Avast, esto es un ejemplo de negligencia y podría acarrear problemas a la compañía.
Si todos los sistemas estuvieran correctamente protegidos con las medidas y políticas de seguridad adecuadas, los atacantes no podrían haber accedido a la base de datos. La aplicación de la autenticación de dos factores (2FA) lo habría evitado. Ahora podrían enfrentarse a una multa relacionada con el Reglamento General de Protección de Datos.
Esta filtración abre la puerta a otros problemas para los usuarios afectados, al ver expuestas sus credenciales. Sigue siendo muy común que se usen las mismas credenciales en otros servicios, por lo que los atacantes podría usar esta información para tratar de acceder a las cuentas de otros servicios. Si eres usuarios de Glovo y estas en esta situación sería conveniente que cambiaras las contraseñas para evitar problemas.
Tras contactar con la compañía para conocer el estado actual de este brecha, desde Glovo nos han confirmado el ataque y comunicado que ya están en contacto con la Agencia Española de Protección de Datos para tratar este tema.
Actualmente seguimos investigando pero podemos confirmar que no se accedió a ningún dato de tarjeta de clientes, ya que Glovo no guarda ni almacena dicha información. En Glovo nos tomamos muy en serio la seguridad de los datos y pedimos disculpas por la preocupación y los inconvenientes que lo sucedido haya podido causar. Hemos contactado con la Agencia Española de Protección de Datos (AEPD), como principal Autoridad de Protección de Datos en este caso, quien esta dando la segundad.