Glovo sufre un hackeo: filtrados los datos de los usuarios

Glovo sufre un hackeo: filtrados los datos de los usuarios

Alberto García

Cuando todavía estábamos recuperándonos del hackeo a Phone House, donde los datos de un cuarto de la población de España han sido publicados, ahora la empresa de reparto Glovo ha sufrido un hackeo. El acceso a la base de datos de Glovo ha estado a la venta en Internet, y no tardarán en llegar a manos de otros hackers o hacerse públicos en Internet.

El hackeo, revelado hoy por Forbes, ha sido descubierto después de que un hacker esté vendiendo datos tanto de los clientes como de los repartidores. En el hackeo, por tanto, se habrían visto afectados todos los datos personales que la aplicación pide para el registro, como nombre, correo electrónico, teléfono móvil y dirección física.

Glovo confirma el hackeo: no hay tarjetas filtradas

Glovo ha confirmado el hackeo, aunque afirman que no se han robado datos relacionados con medios de pago o tarjetas de crédito, confirmando indirectamente que los demás datos personales sí que han sido accesibles.

El CTO y fundador de la empresa Hold Security ha sido quien ha descubierto el hackeo, y procedió a comunicarlo a Forbes. Este investigador analiza las partes más oscuras de Internet en busca de filtraciones para alertar a los usuarios en el caso de que se produzcan. En este caso, ha visto imágenes y vídeos de un hacker accediendo a los ordenadores usados por Glovo para gestionar las cuentas. Se pusieron en contacto con usuarios cuyos datos aparecían en la filtración, y efectivamente la información que ahí aparecía era real.

Por ello, Alex y Forbes comunicaron a Glovo el hackeo el pasado jueves, y este lunes Glovo confirmó el hackeo, afirmando que habían arreglado el fallo de seguridad que permitió el acceso del hacker. Este hacker, no obstante, seguía vendiendo acceso a los ordenadores de la compañía. El fallo parece ser que afectó al antiguo panel de administración de la compañía, donde los datos estaban en texto plano para cualquier que consiguiese acceder a esa información. Entre los datos se encontraban incluso el IBAN y números de seguridad social de los repartidores. Tal es el nivel de acceso que tenían los hackers, que incluso podían cambiar las contraseñas de los usuarios a placer.

Ya lo han comunicado a la AEPD

Además de confirmar el fallo, Glovo ha comunicado ya a la Agencia Española de Protección de Datos (AEPD) la filtración, ya que por el RGPD están obligados a comunicarla con un máximo de 72 horas de margen desde que conocen el acceso indebido.

Glovo está valorada actualmente en unos 2.000 millones de euros, después de haber recibido más de 1.000 millones de euros en financiación, y de tener la intención de cotizar en bolsa en los próximos años. De momento no sabemos el alcance del hackeo ni la cantidad de usuarios afectados, pero teniendo en cuenta la cantidad de personas que usan Glovo en España seguro que son millones de personas.