DoorDash paket yemek teslimatıyla tanınıyor, ancak geçen ay şirket yanlışlıkla lezzetli bir tabak kişisel veriyi de servis etti. 25 Ekim 2025’te bir çalışanın, saldırganların hesap erişimi elde etmesine olanak tanıyan bir sosyal mühendislik saldırısına maruz kaldığı bir ihlali ortaya çıkardı.
Bunun gibi ihlaller ne yazık ki yaygındır, ancak DoorDash’in başka bir güvenlik sorunuyla birlikte bu ihlali nasıl ele aldığı endişe vericidir.
Esnek ekonomi dağıtım sürücülerini kapılarına yiyecek almak isteyen insanlarla buluşturan DoorDash’e göre, ihlal sırasında çalınan bilgiler kullanıcıya göre değişiklik gösteriyor. Öyle dedi isimler, telefon numaraları, e-posta adresleriVe fiziksel adresler çalındı.
DoorDash, kolluk kuvvetlerine bilgi vermenin yanı sıra, daha fazla çalışan eğitimi ve farkındalığı eklediğini, soruşturmaya yardımcı olması için üçüncü taraf bir şirket kiraladığını ve benzer ihlallerin tekrar yaşanmasını önlemeye yardımcı olmak için güvenlik sistemlerinde belirtilmemiş iyileştirmeler uyguladığını söyledi. Soğudu:
“DoorDash olarak sürekli gelişmeye ve her gün %1 daha iyiye ulaşmaya inanıyoruz.”
Ancak uzmanlar, şirketin ihlalleri ifşa etme konusunda biraz daha iyi olmak isteyebileceği konusunda uyarıyor. 25 Ekim’de olayın keşfedilmesi ile 13 Kasım’da müşterilere bilgi verilmesi arasında neredeyse üç hafta kaldı ve bu da bazı müşterileri kızdırdı.
Şirketin “hiçbir hassas bilgiye erişilmediği” yönündeki ısrarı da bazıları için bir o kadar rahatsız ediciydi. Bunu, Sosyal Güvenlik numaraları veya devlet tarafından verilen diğer kimlik numaraları, sürücü belgesi bilgileri veya banka veya ödeme kartı bilgileri olarak sınıflandırır. Bu veriler alınmamış olsa da isimler, adresler, telefon numaraları ve e-postalar oldukça hassastır.
X’teki Kanadalı bir kullanıcı, Kanada ihlal yasasının ihlal edildiğini iddia edecek kadar öfkeliydi ve daha fazla eylem sözü verdi:
“Sızıntı ve kapsamı konusunda derhal (25 Ekim’de) bilgilendirilmem ve hesabımın etkilenip etkilenmediğini belirlemek için araştırma yapacaklarını söylemem gerekirdi; böylece gizliliğimi ve güvenliğimi korumak için gerekli önlemleri alabilirdim. […] Bu süreç Kanada veri ihlali yasasını ihlal ediyor. DoorDash’e karşı eyalet asliye mahkemesinde dava açacağım ve Kanada Gizlilik Komiserliği Ofisine şikayette bulunacağım.
İhlal bildirimleri ne kadar sürede yapılmalıdır?
İhlal bildirimi söz konusu olduğunda ne kadar süre çok uzundur? Etik açıdan bakıldığında şirketlerin, bireylerin kendilerini koruyabilmelerini sağlamak için bunu müşterilere mümkün olan en kısa sürede bildirmeleri gerekiyor ancak aynı zamanda ne olduğunu anlamak için zamana da ihtiyaçları var. Bu saldırılardan bazıları, aylardır ağların içinde bulunan ve sistemde yer edinmiş kötü aktörlerin dahil olduğu karmaşık olabilir.
Bazı yargı bölgelerinde gizlilik kanunu, bildirimin belirli bir süre içinde yapılmasını zorunlu kılarken, bazılarında ise bu durum belirsizdir. Kanada’nın Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA), mümkün olan en kısa sürede bildirim yapılmasını gerektirmektedir. ABD’de ifşa yasaları şu anda eyalet bazında belirlenmektedir. Örneğin, Kaliforniya kısa süre önce, ihlallerin tüketicilere 1 Ocak 2026’dan itibaren 30 gün içinde bildirilmesini zorunlu kılan 446 sayılı Senato Yasa Tasarısı’nı kabul etti. Bu yine de DoorDash’in en son ihlal raporunun uyumlu olmasını sağlayacaktır.
Bir ifşa tartışması daha
Şu anda DoorDash’i çevreleyen tek açıklama tartışması bu değil. Güvenlik araştırmacısı doublezero7, şirketlerin yemek teslimatlarını yönetme platformu olan DoorDash for Business’ta bir e-posta sahtekarlığı kusuru keşfetti.
Bu kusur, herkesin ücretsiz bir hesap oluşturmasına, sahte çalışanlar eklemesine ve DoorDash sunucularından markalı e-postalar göndermesine olanak tanıyordu. Araştırmacı, bu postaların çeşitli e-posta istemcisi güvenlik testlerini geçeceğini ve e-posta gelen kutularına spam mesajı olmadan düşeceğini söyledi.
Araştırmacı, Temmuz 2024’te hata ödül programı HackerOne’a bir rapor sundu ancak rapor “Bilgilendirici” olarak kapatıldı. Araştırmacının şikayeti üzerine DoorDash bu aya kadar sorunu çözmedi.
Ancak her şey göründüğü gibi olmayabilir. Bleeping Computer’a göre DoorDash, araştırmacının ifşa zaman çizelgeleri etrafında zorlayıcı mali taleplerde bulunduğundan şikayetçi oldu.
Hangi eylemleri gerçekleştirebilirsiniz?
Veri ihlali sorununa geri dönelim. Bu gibi olaylara karşı kendinizi korumak için ne yapabilirsiniz? Kanadalı X kullanıcısı, hesapları için sahte bir isim ve iletilmiş e-posta adresi kullandıklarını, ancak bunun gerçek telefon numarasının ve fiziksel adresinin sızdırılmasını engellemediğini açıklıyor.
Gerçek kredi kartı numaranızı kullanmaktan da kaçınamazsınız; ancak birçok e-ticaret sitesi, kredi kartı ayrıntılarının kaydedilmesini isteğe bağlı hale getirecektir.
Belki de güvende kalmanın en iyi yolu, bir kredi izleme hizmeti kullanmak ve ihlaller hakkında bilgi almak için bunun gibi haber sitelerini izlemektir… şirketler bunları açıklamaya karar verdiğinde.
Yalnızca veri gizliliği hakkında rapor vermiyoruz; kişisel bilgilerinizi kaldırmanıza yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Personal Data Remover ile hangi sitelerin kişisel bilgilerinizi açığa çıkardığını bulmak için tarama yapabilir ve ardından bu hassas verileri internetten silebilirsiniz.