GrubHub 第三方泄露泄露部分付款信息

在线食品配送平台 GrubHub 透露，通过第三方服务提供商对其系统进行破坏，暴露了食客、商家和司机的敏感信息，包括一些支付信息和哈希密码。

这家总部位于芝加哥的外卖巨头周一在其网站上宣布了“第三方供应商事件”。

“我们最近在我们的环境中检测到异常活动，这些活动可追溯到我们支持团队的第三方服务提供商…识别对与该提供商关联的帐户的未经授权的访问，“该公司表示，但没有透露供应商的名字。

GrubHub 表示，一旦意识到未经授权的活动，它就立即展开了调查，导致“该帐户的访问并从我们的系统中完全删除了该服务提供商”。

供应链检测和响应公司 SecurityScorecard 的首席信息安全官 Steve Cobb 表示，GrubHub 数据泄露凸显了第三方合作伙伴关系中固有的关键漏洞，以及“单个受感染供应商可能对整个生态系统产生的多米诺骨牌效应”。

“攻击者利用服务提供商的帐户渗透到 GrubHub 的系统，泄露了客户、商家和司机的个人信息，包括部分付款信息，”他指出。

Grubhub.com。图片由 Cybernews 提供。

Cobbs 解释说，在第三方泄露越来越普遍的时代，“未能发展其安全策略的企业可能会面临重大运营、财务和声誉损失。

“GrubHub 数据泄露事件呼吁组织采取行动，加强其第三方风险管理实践并采取积极主动的方法进行第三方风险管理，”他说。

GrubHub 在其网站回应中表示，与其客户服务互动的“校园食客以及食客、商家和司机的联系信息”在此次泄露中遭到泄露。但是，目前尚不清楚攻击者是否能够从网络系统中窃取这些数据。

校园用餐者包括位于美国的学院或大学校园内的任何餐饮设施或餐厅的学生、教职员工和访客。从长远来看，根据 BestColleges.com 2023 年的一份报告，美国就有近 6000 所大学和校园。

该公司表示，攻击者访问的具体数据因 GrubHub 系统中的每个人而异，包括：

GrubHub 指出，付款信息仅限于卡类型和卡号的最后四位数字。

该公司确实提供了一份在泄露中未访问的敏感信息清单，还表示它“主动轮换了任何可能面临风险的密码”。未泄露的数据被列为：

GrubHub 敦促所有受害者（和潜在受害者）使用“唯一密码以最大限度地降低风险”更改他们的登录凭据。

虽然没有提到，但客户可以通过为其账户启用多重身份验证或生物识别密钥来进一步保护他们的登录信息。

GrubHub 表示，此后它已采取“果断措施”加强安全措施，以防止将来发生类似攻击，例如引入外部取证专家进行调查，通过更改所有密码来加强凭据安全性，以及在内部服务中部署额外的异常检测机制。

问题仍然存在，这足以保证公司的安全吗？

AI 安全公司 Swimlane 的首席安全自动化架构师 Nick Tausek 表示，在网络攻击不可避免的时代，“弹性取决于准备工作”。

“网络犯罪分子继续利用第三方提供商，这凸显了制定强大的网络安全策略的必要性，”他说，并补充说，虽然 Grubhub 表示在事件发生后加强了监控服务，但“组织必须超越被动措施”。

“通过利用 AI 驱动的安全作，安全团队可以实施持续监控、自动威胁检测和快速事件响应，使他们能够在异常情况升级为全面违规之前检测到异常情况，”他说。

GrubHub 成立于 2004 年，只为美国的客户提供服务，但该公司是 Just Eat Takeaway.com 的一部分，后者是 Wonder Group 去年收购的国际食品配送平台。

原文地址：https://cybernews.com/news/grubhub-breach-exposes-diner-merchant-driver-senstive-data/