DoorDash bu Ekim ayında bir başka veri ihlaline daha maruz kaldı

DoorDash, bu Ekim ayında yemek dağıtım platformunu etkileyen bir veri ihlalini açıkladı.

ABD, Kanada, Avustralya ve Yeni Zelanda’da milyonlarca müşteriye hizmet veren DoorDash, dün akşamdan itibaren yeni açıklanan güvenlik olayından etkilenenlere e-posta göndermeye başladı.

Kişisel bilgileriniz etkilendi

DoorDash’ten gelen e-posta bildiriminde, “25 Ekim 2025’te ekibimiz, yetkisiz bir üçüncü tarafın kişilere göre değişen belirli kullanıcı iletişim bilgilerine erişim sağladığı ve bunları aldığı bir siber güvenlik olayı tespit etti.” ifadesine yer verildi.

Bilgiler şunları içermiş olabilir:

• Ad ve soyadı
• Fiziksel adres
• Telefon numarası
• E-posta adresi

“Araştırmamız o zamandan beri kişisel bilgilerinizin etkilendiğini doğruladı.”

Olay, bir DoorDash çalışanının sosyal mühendislik dolandırıcılığının kurbanı olmasından kaynaklanıyor. Durumun farkına varılması üzerine şirketin olay müdahale ekibi, yetkisiz tarafın erişimini kapattı, bir soruşturma başlattı ve konuyu kolluk kuvvetlerine havale etti.

Bu, teslimat devinin uğradığı üçüncü önemli güvenlik olayıdır.

2019’da DoorDash’teki bir veri ihlali, yaklaşık 5 milyon müşterinin, Dasher’ın ve satıcının bilgilerinin yetkisiz bir tarafa ifşa olmasına neden oldu.

Ağustos 2022’de DoorDash, o yıl Twilio’ya saldıran tehdit aktörlerinden bir veri ihlali daha yaşadı.

Fransızca tercümesi şöyledir

İlginç olan, bildirimin Fransızca çevirisinin bu e-postalara eklenmiş olmasıdır:

Şu anda, e-postaların öncelikle DoorDash Kanada kullanıcılarına (ben de dahil) gittiği görülüyor. İhlalin ABD ve DoorDash’in faaliyet gösterdiği diğer bölgelerdeki kullanıcıları da etkileyip etkilemediğini henüz doğrulamadık.

Ancak DoorDash’in web sitesinde yayınlanan tarihsiz bir güvenlik tavsiyesi, DoorDash’in erişilmediğini söylediği Sosyal Güvenlik Numaraları (SSN’ler) gibi ABD’ye özgü veri türlerine yapılan atıflar da dahil olmak üzere, olayın Kanada’nın ötesine geçebileceğini öne süren ifadeler içeriyor. (Kanada’daki karşılığı Sosyal Sigorta Numaraları (SIN’ler) olurdu))

BleepingComputer, konuya açıklık getirmek için DoorDash basın ekibine ek sorularla başvurdu.

’19 gün sürdü’

Sosyal medyadaki bazı kullanıcılar DoorDash’i azarlayarak şirketin olayı nasıl ele aldığını ve bildirimlerin zamanlamasını sorguladı.

Toronto’dan Chris, “Üzgünüm, eğer bu hassas bir bilgi değilse nedir? Kredi kartı veya şifre bilgilerini almadıkları için bunu küçümsemeyin. Sağır oldu” dedi.

Siber güvenlik uzmanı Kostas T. de e-postadaki ifadeye tepki göstererek, “hiçbir hassas bilgiye erişilmedi” ifadesinin, şirketin erişildiğini kabul ettiği kişisel bilgilerle çeliştiğini ifade etti.

X kullanıcısı şunları yazdı: “DoorDash’in kişisel bilgilerimin sızdırıldığı bir veri ihlalini bana bildirmesi tam 19 gün sürdü. Neyse ki hesabım için sahte bir isim kullandım ve e-posta adresini yönlendirdim, ancak gerçek telefon numaram ve fiziksel adresim sızdırıldı.” oohqay.

“Bu, DoorDash’in son derece profesyonellikten uzak, tehlikeli ve potansiyel olarak yasa dışı davranışıdır… Bu süreç, Kanada veri ihlali yasasını ihlal etmektedir. DoorDash’e karşı eyalet asliye mahkemesinde dava açacağım ve Kanada Gizlilik Komiserliği Ofisine şikayette bulunacağım.”

Kullanıcılar, DoorDash’ten geliyormuş gibi görünen istenmeyen iletişimlere veya hedefli kimlik avı e-postalarına karşı dikkatli olmalıdır.

DoorDash, şüpheli e-postalardaki bağlantılara veya eklere tıklamaktan kaçınmanız ve tanımadığınız web sitelerine kişisel bilgilerinizi vermekten kaçınmanız gerektiği konusunda uyarıyor.

Şirket, “Güvenlik sistemlerimizde iyileştirmeler yapmak, çalışanlarımız için ek eğitimler uygulamak, bu konuyla ilgili araştırmamıza yardımcı olması için önde gelen bir siber güvenlik adli tıp firmasını görevlendirmek ve devam eden soruşturma için kolluk kuvvetlerine bilgi vermek de dahil olmak üzere olaya müdahale etmek için zaten adımlar attık” dedi.

Olayla ilgili soruları olan DoorDash kullanıcıları +1-833-918-8030 numaralı ücretsiz numarayı arayabilir ve B155060 referans kodunu gösterebilir.

BleepingComputer, olayın tam kapsamı hakkında DoorDash’ten yanıt bekliyor.