Τα προσωπικά δεδομένα εκατοντάδων χιλιάδων πελατών της Instacart, πωλούνται σε sites του Dark Web. Περιλαμβάνουν ονόματα, τα τελευταία τέσσερα ψηφία των αριθμών πιστωτικών καρτών και το ιστορικό παραγγελιών των πελατών.
Όπως έγινε γνωστό την Τετάρτη, δύο ιστότοποι στο Dark Web διέθεταν προς πώληση πληροφορίες από 278.531 λογαριασμούς, αν και ορισμένοι από αυτούς ενδέχεται να είναι διπλότυπα ή μη γνήσιοι. Εν των μεταξύ όπως είχε δηλώσει η Instacart τον Απρίλιο, έχει «εκατομμύρια πελάτες στις ΗΠΑ και τον Καναδά».
Ωστόσο η εταιρεία αρνήθηκε ότι υπέστη παραβίαση των δεδομένων της.
“Δεν έχουν ανακαλύψει αυτήν την στιγμή κάποια παραβίαση δεδομένων. Λαμβάνουμε πολύ σοβαρά την προστασία των δεδομένων και το απόρρητο”, δήλωσε εκπρόσωπος της Instacart στο BuzzFeed News. “Εκτός της πλατφόρμας Instacart, οι εισβολείς ενδέχεται να στοχεύουν άτομα χρησιμοποιώντας τεχνικές phishing ή credential stuffing. Σε περιπτώσεις όπου αντιληφθούμε ότι ο λογαριασμός ενός πελάτη ενδέχεται να έχει παραβιαστεί μέσω μιας εξωτερικής απάτης ηλεκτρονικού ψαρέματος (phishing) εκτός της πλατφόρμας Instacart ή άλλης ενέργειας, συμβουλεύουμε τους πελάτες μας να να ενημερώσουν τον κωδικό πρόσβασής τους.”
Η πηγή των πληροφοριών, η οποία περιλάμβανε επίσης διευθύνσεις ηλεκτρονικού ταχυδρομείου και δεδομένα αγορών, ήταν άγνωστη, αλλά φαίνεται να έχει μεταφορτωθεί από τον Ιούνιο μέχρι σήμερα.
«Φαίνεται πρόσφατο και εντελώς νόμιμο», δήλωσε ο Nick Espinosa, επικεφαλής της εταιρείας ασφάλειας Fanatics της κυβερνοασφάλειας, στο BuzzFeed News, αφού εξέτασε τους λογαριασμούς που πωλούνται.
Δύο γυναίκες των οποίων τα προσωπικά στοιχεία ήταν προς πώληση, επιβεβαίωσαν ότι ήταν πελάτες της Instacart, ότι η ημερομηνία και το ποσό της τελευταίας παραγγελίας τους ταίριαζε με αυτά που εμφανίστηκαν στο Dark Web και ότι τα στοιχεία της πιστωτικής κάρτας ανήκαν σε αυτές.
Τα στοιχεία του λογαριασμού πωλούνταν για περίπου 2 $ ανά πελάτη. Σύμφωνα με έναν από τους ιστότοπους όπου πωλούνταν οι πληροφορίες, τα προσωπικά δεδομένα των ατόμων που χρησιμοποιούν λογαριασμούς Instacart είχαν προστεθεί όλο τον Ιούνιο και τον Ιούλιο, με την πιο πρόσφατη μεταφόρτωση να είναι στις 22 Ιουλίου.
Δεν γνωρίζουμε τα ονόματα των ιστότοπων που πωλούν αυτές τις πληροφορίες Σε περιστατικά κλοπής ταυτότητας, υπάρχουν ορισμένα βήματα που πρέπει να ακολουθούν όλοι οι χρήστες. Αρχικά είναι απαραίτητη η αλλαγή του κωδικού τους, η χρήση password manager και η ενεργοποίηση επαλήθευσης ταυτότητας δύο παραγόντων, όπου αυτό είναι δυνατό. Επιπλέον σε περίπτωση που παρατηρήσουν οποιαδήποτε ύποπτη κίνηση στις συναλλαγές τους, θα πρέπει να επικοινωνούν άμεσα με την τράπεζα ή την εταιρεία πιστωτικών καρτών τους.
