Le hack est encore plus grave que celui de Phone House, dans lequel 1 Espagnol sur 4 était présent. Dans le cas de Glovo, la base de données obtenue par les pirates est complète et comprend des données extrêmement dangereuses telles que le mot de passe ou la numéro de carte de crédit d’utilisateurs, ainsi que les données des distributeurs, des clients, des commandes, des magasins, des entreprises associées, etc. Plus précisément, selon les pirates, les données disponibles sont:
- Nom complet
- Date d’anniversaire
- Courrier électronique
- Mot de passe crypté avec SHA256
- Numéro de téléphone
- La direction physique
- Code postal
- Carte de crédit, date d’expiration et CVC
- DNI
- IBAN du compte bancaire
Dans l’image suivante, nous pouvons voir certaines de ces données telles qu’elles apparaissent dans la base de données, dont une partie nous avons censuré les données. L’utilisateur qui apparaît avait deux cartes bancaires enregistrés, avec leur date d’expiration et CVC correspondants:
En plus d’avoir ces données de tous les utilisateurs, les pirates ont également le utilisateurs et mots de passe administrateur, où les mots de passe sont ignorés. En ce qui concerne la concessionnaires, les données dont ils disposent sont les suivantes, où les pirates les listent avec un « etc » à la fin, donc il pourrait y avoir encore plus d’informations:
- Nom complet
- Mot de passe crypté avec SHA256
- Méthode de transport
- Code postal
- La direction physique
- IBAN du compte bancaire
- DNI
- Date de naissance
- Photo de la pièce d’identité
480 Go de données, mots de passe et cartes inclus
La base de données a 480 Go de données non compressées, offrant dans 60 Go compressés. Les hackers proposent deux échantillons de trois utilisateurs de l’application et de trois livreurs. Ils proposent également des tests de capture d’écran du panneau d’administration et de la base de données sur demande, mais ne seront proposés qu’aux acheteurs qui prouvent qu’ils sont sérieux. Ils ne vérifieront pas non plus manuellement le nom d’un utilisateur et ne vendront que des données en vrac ou provenant d’un pays spécifique, l’Espagne étant son principal marché, bien qu’elle soit déjà présente dans 28 pays.
Il y a quelques jours, une version réduite de la base de données a été mise en vente, n’occupant que 180 Go, mais maintenant la base de données complète est disponible. Dans le cas de Phone House, la base de données a été mise à la disposition de tout utilisateur du site Web du groupe de piratage sur le Dark Web, mais ces pirates semblent vouloir en tirer des revenus.
Changer le mot de passe et annuler la carte
Ainsi, contrairement à ce qui s’est passé dans Phone House, il est ici très important de changer le mot de passe dans Glovo et dans tout autre service où nous l’avons utilisé, car, bien qu’il utilise un cryptage très robuste, la chose la plus normale dans ces situations est qu’ils obtenir annuler le cryptage et obtenez le mot de passe en texte brut.
Dans le même temps, ce serait également une bonne idée de changer le numéro de carte de crédit et d’annuler celui que nous avons utilisé dans Glovo. Avec lui numéro de compte et tous nos Informations personnelles, les pirates peuvent nous faire passer pour Emprunter de l’argent ou effectuer tout type d’activité suspecte. Par exemple, ils peuvent enregistrer cette carte dans Amazone ou dans n’importe quel magasin et, avec notre nom complet, date et CVC, ils peuvent effectuer achats, il est donc important de revoir l’activité de notre compte bancaire pour éviter les pannes.
Sur le plan juridique, nous ne pouvons pas faire grand-chose contre Glovo pour avoir exposé les données, mais en cas de vol d’argent sur le compte, une poursuite pourrait être intentée. Glovo a signalé l’accès inapproprié à l’AEPD, mais a déclaré qu’aucune donnée de carte n’avait été volée. Malheureusement, il semble que cela n’ait pas été le cas, et si le vol se produit avec ces données, Glovo pourrait faire face au paiement de nombreuses compensations.