Les données volées comprenaient les noms des clients, les adresses e-mail, les adresses de livraison et les numéros de téléphone. Un plus petit nombre de clients disposaient également de données de commande de base et d’un avis partiel publié sur le site Web de la société de livraison de nourriture jeudi. Les informations plus sensibles, telles que les numéros de carte de crédit complets et les mots de passe des comptes, n’ont pas été compromises, indique l’avis.

Les voleurs se sont également enfuis avec les noms, numéros de téléphone et adresses e-mail des livreurs DoorDash. L’entreprise n’a pas précisé combien de clients et de livreurs au total se sont fait voler leurs informations, juste qu' »un petit pourcentage » de personnes dont les données sont conservées par DoorDash ont été affectées.

DoorDash a déclaré avoir découvert la violation après avoir détecté « une activité inhabituelle et suspecte » sur le réseau informatique d’un fournisseur tiers, qu’il n’a pas nommé. En réponse, il a déclaré avoir coupé l’accès du fournisseur à son système et pris des mesures pour contenir l’incident.

DoorDash a déclaré qu’il semble que le fournisseur ait été compromis par une attaque de phishing sophistiquée qui a permis aux cybercriminels de voler les informations d’identification des employés qui leur ont donné accès à certains des outils internes de DoorDash. La société a ajouté que l’attaque de phishing contre le fournisseur semble faire partie d’une campagne plus large qui a également ciblé d’autres entreprises et attiré l’attention des forces de l’ordre.

En réponse à la violation, DoorDash a déclaré qu’il avait pris des mesures pour renforcer sa propre sécurité et celle de ses fournisseurs tiers. Il a déclaré qu’il aidait également les responsables de l’application des lois dans leur enquête sur la campagne de phishing plus large.