En mayo de 2021, alguien hackeó a la filial española de la compañía de delivery Glovo, accediendo a un antiguo panel de administración de la plataforma y usándolo para extraer datos en propiedad de la compañía. Días después, los 480 GB de datos personales que contenía la base de datos filtrada fueron puestos a la venta en un foro de la Dark Web. Ahora, año y medio después, la historia se repite.
Y es que, si eres cliente, empleado o repartidor de Glovo España, tenemos una mala noticia para ti: tus datos privados vuelven a estar disponibles al mejor postor en la Dark Web. Un usuario llamado ‘k4fk4’, recién dado de alta en Breach Forums —el foro sucesor del popular Raid Forums tras su cierre por el FBI— publicó el pasado sábado un post en los que aportaba pruebas gráficas de que tiene en su poder la base de datos de la compañía, y animaba a contactar con él para adquirirla:
“Importante: esta es una base de datos exclusiva. Voy a venderla una sola vez”.
Esta venta exclusiva significa, en la dinámica habitual de este tipo de mercados ilegales, que el precio se encarecerá… y el hecho de que no haya puesto un precio de referencia, se traduce en que terminará en manos de quien haga la mayor oferta por esta base de datos.
Lo ocurrido ya ha sido denunciado ante la Agencia Española de Protección de Datos, organismo que ya multó hace dos años a Glovo… precisamente por no contar con un Delegado de Protección de Datos:
🔴📣Ante las noticias de esta mañana, acabamos de🗣 #solicitar a la Agencia de Protección de Datos – @AEPD_es, a través de una #denuncia, que #INVESTIGUE la brecha de seguridad de @Glovo_ES 🍔🍕🥗
📌Información filtrada de 5.790.564 pedidos. 👉🏻IBAN, domicilio, email, teléfono.. pic.twitter.com/lA2fkCNJaV
— Gonzalo Oliver (@oliver_martin22) August 3, 2022
McDonald’s, también afectado por asociación
Pero, ¿qué estaría comprando exactamente el propietario final de esta información? Según ‘k4fk4’, incluiría los datos de 5.790.564 pedidos de clientes, 21.379 datos empleados y 37.509 mensajeros: nombres completos, NIF, fechas de nacimiento, números de teléfono, direcciones postales y de correo electrónico e incluso datos bancarios (IBAN).
En el caso de los pedidos, es posible acceder a información sobre quién hizo el pedido, quién se lo llevó, desde qué local se hizo el envío, qué incluía y cuánto tiempo tardó en entregarse.
Además, inesperadamente, la base de datos cuenta también con 3.854 registros de informes de incidentes de McDonald’s. Esto se explica porque McDonald’s mantiene un acuerdo de exclusividad con Glovo para los repartos a domicilio, por lo que es esta compañía quien gestiona este sistema de incidencias que incluye todo tipo de información sobre razón de reclamaciones, soluciones propuestas al cliente, productos implicados, etc.
(function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName(‘head’)[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement(‘script’); instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })();
–
La noticia A la venta en Internet los datos privados de miles de clientes y repartidores de Glovo, tras un nuevo hackeo fue publicada originalmente en Genbeta por Marcos Merino .
