El pasado 29 de abril de 2021, Glovo fue hackeada y accedieron a sus sistemas a través de la interfaz de un antiguo panel de administración. La brecha fue reconocida por la entidad y la base de datos de Glovo fue puesta a la venta y encontrada por Alex Holden, responsable de Tecnología y fundador de Hold Security.
En mayo 480GB de datos personales de usuarios fueron puestos a la venta y ahora volvemos a tener otra base de datos a la venta con 5.790.563 pedidos de clientes, 21.379 datos empleados, 37.509 mensajeros y 3.854 registros de informes de incidentes de McDonalds.
Dentro de los pedidos encontramos los siguientes datos:
- Código interno.
- Nombre del Cliente
- Nombre del Mensajero
- Descripción del pedido.
- Estado del pedido.
- Tienda.
- Código de ciudad.
- Tiempo de activación
- Tiempo de entrega
Lo más impactante es que en los 37.509 mensajeros de Glovo se incluyen los siguientes datos personales sobre los mismos:
- Nombre completo
- Dirección completa
- NIF
- Código postal
- IBAN
- Fecha Nacimiento
Nos hemos puesto en contacto con Glovo para verificar la información contenida en la filtración. Actualizaremos la información con los datos que nos proporcionen.
[Actualización]
Desde Glovo se han puesto con nosotros para aclararnos que no se trata de una nueva filtración de datos, sino que los datos que se encuentran contenidos en la base de datos pertenecen a la brecha que tuvo lugar en 2021.
Os dejamos literalmente lo que nos ha trasladado el portavoz de Glovo: “La información relativa a la puesta en venta de datos se refiere a un acceso no autorizado a uno de nuestros sistemas el pasado abril de 2021.
Tan pronto como fuimos conocedores del caso, tomamos medidas de forma inmediata, bloqueando el acceso no autorizado. Aunque este pudo acceder a los números de IBAN durante un breve período de tiempo, no accedió a ningún dato de tarjeta de clientes ya que Glovo no guarda ni almacena dicha información y todas las contraseñas están encriptadas.
En Glovo nos tomamos muy en serio la seguridad de los datos. La investigación de este caso finalizó en 2021 y, a continuación, se realizó una auditoría completa de la integridad de nuestros sistemas. También nos pusimos en contacto con la Agencia Española de Protección de Datos (AEPD), principal Autoridad de Protección de Datos en este caso, y les facilitamos toda la información necesaria para su investigación, que también concluyó en 2021.
Tras la reaparición de estos datos, estamos tomando medidas adicionales para eliminarlos”.