DoorDash, bu Ekim ayında yemek dağıtım platformunu etkileyen bir veri ihlalini açıkladı.
ABD, Kanada, Avustralya ve Yeni Zelanda'da milyonlarca müşteriye hizmet veren DoorDash, dün akşamdan itibaren yeni keşfedilen güvenlik olayından etkilenenlere e-posta göndermeye başladı.
DoorDash'ten gelen e-posta bildiriminde, "25 Ekim 2025'te ekibimiz, yetkisiz bir üçüncü tarafın kişilere göre değişen belirli kullanıcı iletişim bilgilerine erişim sağladığı ve bunları aldığı bir siber güvenlik olayı tespit etti." ifadesine yer verildi.
Bilgiler şunları içerebilir:
"Araştırmamız o zamandan beri kişisel bilgilerinizin etkilendiğini doğruladı."
Olay, bir DoorDash çalışanının sosyal mühendislik dolandırıcılığının kurbanı olmasından kaynaklanıyor. Durumun farkına varılması üzerine şirketin olay müdahale ekibi, yetkisiz tarafın erişimini kapattı, bir soruşturma başlattı ve konuyu kolluk kuvvetlerine havale etti.
Açıklamada kaç kullanıcının etkilendiği belirtilmese de şirket, olayın tüketicileri, Dasher'ları ve satıcıları etkilediğini söylüyor.
Bu, teslimat devinin uğradığı üçüncü önemli güvenlik olayıdır.
2019 yılında DoorDash'teki bir veri ihlali, yaklaşık 5 milyon müşterinin, Dasher'ın ve satıcının bilgilerinin yetkisiz bir tarafa ifşa olmasına neden oldu.
Ağustos 2022'de şirket, o yıl Twilio'ya saldıran tehdit aktörleri tarafından başka bir veri ihlaliyle karşılaştı.
İlginç olan, bildirimin Fransızca çevirisinin bu e-postalara eklenmiş olmasıdır:
Şu anda e-postaların öncelikle DoorDash Kanada kullanıcılarına (ben de dahil) gittiği görülüyor. Ancak DoorDash'in web sitesinde yayınlanan tarihsiz bir güvenlik uyarısı, olayın Kanada'nın ötesine geçebileceğini öne sürüyor. DoorDash'in erişilmediğini söylediği Sosyal Güvenlik Numaraları (SSN'ler) gibi ABD'ye özgü veri türlerine referanslar vardır (Kanada'daki karşılığı Sosyal Sigorta Numaraları (SIN'ler) olacaktır).
BleepingComputer, ihlalin ABD'deki veya şirketin faaliyet gösterdiği diğer bölgelerdeki kullanıcıları da etkileyip etkilemediğini açıklığa kavuşturmak için DoorDash basın ekibine başvurdu.
Sosyal medyadaki bazı kullanıcılar DoorDash'i azarlayarak şirketin olayı ele alma şeklini ve bildirimlerin zamanlamasını sorguladı.
Toronto'dan Chris, "Üzgünüm, eğer bu hassas bir bilgi değilse nedir? Kredi kartı veya şifre bilgilerini almadıkları için bunu küçümsemeyin. Sağır oldu" dedi.
Siber güvenlik uzmanı Kostas T. de e-postadaki ifadeye tepki göstererek, "hiçbir hassas bilgiye erişilmedi" ifadesinin, şirketin erişildiğini kabul ettiği kişisel bilgilerle çeliştiğini ifade etti.
X kullanıcısı Ohqay, "DoorDash'in kişisel bilgilerimin sızdırıldığı bir veri ihlalini bana bildirmesi tam 19 gün sürdü. Neyse ki hesabım için sahte bir isim ve yönlendirilmiş e-posta adresi kullandım, ancak gerçek telefon numaram ve fiziksel adresim sızdırıldı" diye yazdı.
"Bu, DoorDash'in son derece profesyonellikten uzak, tehlikeli ve potansiyel olarak yasa dışı davranışıdır... Bu süreç, Kanada veri ihlali yasasını ihlal etmektedir. DoorDash'e karşı eyalet asliye mahkemesinde dava açacağım ve Kanada Gizlilik Komiserliği Ofisine şikayette bulunacağım."
Kullanıcılar, DoorDash'ten geliyormuş gibi görünen istenmeyen iletişimlere veya hedefli kimlik avı e-postalarına karşı dikkatli olmalıdır.
DoorDash, şüpheli e-postalardaki bağlantılara veya eklere tıklamaktan kaçınmanız ve tanımadığınız web sitelerine kişisel bilgilerinizi vermekten kaçınmanız gerektiği konusunda uyarıyor.
Şirket, "Güvenlik sistemlerimizde iyileştirmeler yapmak, çalışanlarımız için ek eğitimler uygulamak, bu konuyla ilgili araştırmamıza yardımcı olması için önde gelen bir siber güvenlik adli tıp firmasını görevlendirmek ve devam eden soruşturma için kolluk kuvvetlerine bilgi vermek de dahil olmak üzere, olaya müdahale etmek için zaten adımlar attık" dedi.
Olayla ilgili soruları olan DoorDash kullanıcıları +1-833-918-8030 numaralı ücretsiz numarayı arayabilir ve referans kodunu gösterebilir: B155060.
BleepingComputer, olayın tam kapsamı hakkında DoorDash'ten herhangi bir yanıt alamadı.
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
Checkout.com, veri ihlali sonrasında bilgisayar korsanlarını fidye bağışlamak için görmezden geliyor
Hyundai AutoEver America veri ihlali SSN'leri ve sürücü ehliyetlerini açığa çıkarıyor
Washington Post veri ihlali yaklaşık 10 bin çalışanı ve yükleniciyi etkiliyor
Synnovis, 2024 fidye yazılımı saldırısının ardından veri ihlalini bildirdi
GlobalLogic, Oracle ihlalinin ardından 10.000 çalışanını veri hırsızlığı konusunda uyardı
Kaynak: Bleeping Computer