Amerikan Gıda dağıtım platformu DoorDash, yetkisiz bir üçüncü tarafın hedefli bir sosyal mühendislik saldırısı yoluyla belirli kullanıcı bilgilerine erişmesinin ardından bir DoorDash siber güvenlik olayını açıkladı. Şirket, DoorDash veri ihlalinin belirtilmemiş sayıda kullanıcıyı etkilediğini doğruladı ancak hiçbir hassas veya finansal bilgiye erişilmediğini açıkladı.
DoorDash’in kamuoyuna yaptığı açıklamaya göre olay, bir şirket çalışanının sosyal mühendislik dolandırıcılığı yoluyla erişim izni vermeye yönlendirilmesiyle başladı. Bu, saldırganların sistem zayıflıklarından ziyade insan davranışlarından yararlandığı ve olgun siber güvenlik programlarına sahip şirketler için bile önemli riskler oluşturduğu artan bir eğilimi yansıtıyor.
DoorDash Siber Güvenlik Olayı: Temel Sebep Olarak Sosyal Mühendislik Tespit Edildi
Şirket, tehdit aktörlerinin kötü amaçlı yazılımlara güvenmediğini veya yazılımdaki güvenlik açıklarından yararlanmadığını ortaya çıkardı. Bunun yerine, bir çalışanı etkilemek ve ilk erişim elde etmek için aldatıcı taktikler kullandılar. Teknik güvenlik kontrolleri çoğu zaman insan hatalarını önleyemediğinden, bu tür saldırılar kuruluşlara zorluk çıkarmaya devam ediyor.
DoorDash, müdahale ekibinin veri ihlalini hızlı bir şekilde tespit ettiğini, yetkisiz erişimi kapattığını ve dahili bir soruşturma başlattığını belirtti. Şirket konuyu adli mercilere de iletti.
DoorDash Veri İhlalinde Hangi Bilgilere Erişildi?
DoorDash, tüketiciler, Dashers ve tüccarlar dahil olmak üzere bazı kullanıcıların etkilendiğini doğruladı. Erişilen kullanıcı bilgilerinin türü değişiklik göstermektedir ve şunları içermiş olabilir:
- Ad ve soyadı
- Telefon numarası
- E-posta adresi
- Fiziksel adres
Şirket, DoorDash siber güvenlik olayında Sosyal Güvenlik numaraları, devlet tarafından verilen kimlikler, sürücü belgesi ayrıntıları, banka bilgileri veya ödeme kartı verileri gibi hiçbir hassas bilginin tehlikeye atılmadığını vurguladı. DoorDash, dolandırıcılık, kimlik hırsızlığı veya erişilen bilgilerin kötüye kullanıldığına dair herhangi bir kanıt bulunmadığını da sözlerine ekledi.
DoorDash Yanıtı ve Güvenlik İyileştirmeleri
DoorDash siber güvenlik olayının ardından şirket, siber güvenlik duruşunu güçlendirmek için çeşitli önlemler uygulamaya koydu. Bu adımlar şunları içerir:
- Benzer kötü amaçlı etkinlikleri tespit etmek ve engellemek için yeni güvenlik sistemi geliştirmelerinin dağıtılması
- Sosyal mühendislik tehditlerine odaklanan çalışan güvenliği farkındalığı eğitimlerinin artırılması
- Soruşturmaya yardımcı olması ve uzman rehberliği sağlaması için harici bir siber güvenlik firmasıyla çalışmak
- Devam eden soruşturma için kolluk kuvvetleriyle koordinasyon sağlanması
DoorDash, “her gün %1 daha iyiye ulaşmaya” ve sürekli iyileştirmelerle kullanıcı gizliliğini korumaya çabaladığını belirterek, kullanıcı güvenliğini iyileştirme konusundaki kararlılığını yineledi.
Kullanıcı Bildirimleri ve Desteği
Şirket, etkilenen kullanıcılara geçerli yasaların gerektirdiği durumlarda bilgi verildiğini belirtti. DoorDash, endişeleri ve soruları ele almak amacıyla ABD, Kanada ve uluslararası bölgelerdeki kullanıcılar için İngilizce ve Fransızca dillerinde sunulan özel bir çağrı merkezi kurmuştur. Daha fazla bilgi almak isteyen kullanıcılar B155060 referans kodunu kullanarak yardım hattına başvurabilirler.
DoorDash ayrıca, ihlalin yalnızca DoorDash sistemleri ve verileriyle sınırlı olması nedeniyle Wolt veya Deliveroo müşterilerinin bu olaydan etkilenmediğini de açıkladı.
Kullanıcılar için Rehberlik
Hiçbir hassas veri tehlikeye atılmazken DoorDash, kullanıcılara kişisel bilgi talep eden istenmeyen iletişimlere karşı dikkatli olmalarını tavsiye etti. Şirket, bu tür taktiklerin sosyal mühendislik saldırılarında yaygın olarak kullanıldığı için kullanıcıları şüpheli bağlantılara tıklamaktan veya beklenmedik ekleri indirmekten kaçınmaları konusunda uyardı.
DoorDash, ele geçirilen bilgilerin temel iletişim bilgileriyle sınırlı olması ve herhangi bir suiistimal kanıtının bulunmaması nedeniyle kullanıcıların hesaplarını korumak için herhangi bir acil işlem yapmasına gerek olmadığını belirtti.