Un fallo de seguridad en la startup de entrega de comestibles en línea Mercato expuso a decenas de miles de pedidos de clientes, según ha aprendido TechCrunch.
Una persona con conocimiento del incidente le dijo a TechCrunch que el incidente ocurrió en enero después de que uno de los depósitos de almacenamiento en la nube de la compañía, alojado en la nube de Amazon, quedara abierto y desprotegido.
La compañía arregló el derrame de datos, pero aún no ha alertado a sus clientes.
Mercato se fundó en 2015 y ayuda a más de mil pequeños supermercados y tiendas de alimentos especializados a conectarse en línea para recoger o entregar, sin tener que suscribirse a servicios de entrega como Instacart o Amazon Fresh. Mercato opera en Boston, Chicago, Los Ángeles y Nueva York, donde tiene su sede la empresa.
TechCrunch obtuvo una copia de los datos expuestos y verificó una parte de los registros comparando nombres y direcciones con cuentas y registros públicos conocidos existentes. El conjunto de datos contenía más de 70.000 pedidos entre septiembre de 2015 y noviembre de 2019 e incluía nombres de clientes y direcciones de correo electrónico, domicilios particulares y detalles de pedidos. Cada registro también tenía la dirección IP del usuario del dispositivo que utilizaron para realizar el pedido.
El conjunto de datos también incluía los datos personales y los detalles de los pedidos de los ejecutivos de la empresa.
No está claro cómo ocurrió el fallo de seguridad, ya que los depósitos de almacenamiento en la nube de Amazon son privados de forma predeterminada, o cuándo la empresa se enteró de la exposición.
Las empresas están obligadas a revelar las violaciones de datos o las fallas de seguridad a los fiscales generales del estado, pero no se han publicado avisos donde lo exija la ley, como California. El conjunto de datos tenía más de 1.800 residentes en California, más de tres veces el número necesario para activar la divulgación obligatoria según las leyes de notificación de violación de datos del estado.
Tampoco se sabe si Mercato reveló el incidente a los inversores antes de su aumento de 26 millones de dólares en la Serie A a principios de este mes. Velvet Sea Ventures, que lideró la ronda, no respondió a los correos electrónicos solicitando comentarios.
En un comunicado, el director ejecutivo de Mercato, Bobby Brannigan, confirmó el incidente, pero se negó a responder nuestras preguntas, citando una investigación en curso.
“Estamos realizando una auditoría completa con un tercero y nos pondremos en contacto con las personas que se han visto afectadas. Estamos seguros de que no se accedió a los datos de la tarjeta de crédito porque no almacenamos esos datos en nuestros servidores. Informaremos continuamente a todos los organismos autorizados y partes interesadas, incluidos los inversores, sobre los hallazgos de nuestra auditoría y cualquier paso necesario para remediar esta situación ”, dijo Brannigan.
Sepa algo, diga algo. Envíe sugerencias de forma segura a través de Signal y WhatsApp al + 1646-755-8849. También puede enviar archivos o documentos utilizando nuestro SecureDrop. Aprende más.
Source link