Cambia tu contraseña de Glovo: se han filtrado hasta tarjetas de crédito

A principios de mes conocimos uno de los hackeos más graves de la historia de España, donde un grupo de hackers consiguió acceso completo a ordenadores de Glovo con permisos de administrador. Además de vender el acceso a esos ordenadores, parece que los hackers tuvieron tiempo de obtener toda la base de datos de la aplicación de reparto a domicilio, y ahora la han puesto a la venta.

El hackeo es todavía más grave que el de Phone House, en el que 1 de cada 4 españoles estaba presente. En el caso de Glovo, la base de datos que obtuvieron los hackers es completa, y se incluyen datos peligrosísimos como la contraseña o el número de tarjeta de crédito de los usuarios, así como datos de repartidores, clientes, pedidos, tiendas, empresas asociadas, etc. En concreto, según los hackers, los datos disponibles son:

  • Nombre completo
  • Cumpleaños
  • Correo electrónico
  • Contraseña cifrada con SHA256
  • Número de teléfono
  • Dirección física
  • Código postal
  • Tarjeta de crédito, fecha de caducidad y CVC
  • DNI
  • IBAN de la cuenta bancaria

En la siguiente imagen podemos ver algunos de estos datos conforme aparecen en la base de datos, parte de los cuales hemos censurado los datos. El usuario que aparece contaba con dos tarjetas bancarias registradas, con su correspondiente fecha de caducidad y CVC:

Además de tener esos datos de todos los usuarios, los hackers también cuentan con los usuarios y contraseñas de los administradores, donde las contraseñas están salteadas. En cuanto a los repartidores, los datos que tienen son los siguientes, donde los hackers los enumeran con un «etc» al final, por lo que podría haber aún más información:

  • Nombre completo
  • Email
  • Contraseña cifrada con SHA256
  • Método de transporte
  • Código postal
  • Dirección física
  • IBAN de la cuenta bancaria
  • DNI
  • Fecha de nacimiento
  • Foto del documento de identidad

480 GB datos, contraseñas y tarjetas incluidas

La base de datos cuenta con 480 GB de datos sin comprimir, ofreciéndose en 60 GB comprimidos. Los hackers ofrecen dos muestras de tres usuarios de la app y tres repartidores. También ofrecen pruebas en forma de pantallazo del panel de administrador y de la base de datos si se solicita, pero sólo se ofrecerá a aquellos compradores que demuestren que van en serio. Tampoco comprobarán manualmente el nombre de un usuario, y sólo venden los datos en bloque o de un país específico, siendo España su principal mercado, aunque tiene presencia ya en 28 países.

Hace unos días se puso a la venta una versión reducida de la base de datos que ocupaba sólo 180 GB, pero ahora está ya la base de datos completa. En el caso de Phone House, la base de datos se puso a disposición de cualquier usuario en la web del grupo de hackeo en la Dark Web, pero estos hackers parece que quieren sacarle algo de rédito.

Cambia la contraseña y cancela la tarjeta

Así, a diferencia de lo ocurrido en Phone House, aquí es importantísimo cambiar la contraseña en Glovo y en cualquier otro servicio donde la hayamos utilizado, ya que, aunque usa un cifrado muy robusto, lo más normal en estas situaciones es que consigan deshacer el cifrado y obtengan la contraseña en texto plano.

A su vez, también sería buena idea cambiar el número de la tarjeta de crédito y cancelar la que hayamos usado en Glovo. Con el número de cuenta y todos nuestros datos personales, los hackers pueden hacerse pasar por nosotros para pedir préstamos o realizar cualquier tipo de actividad sospechosa. Por ejemplo, pueden registrar esta tarjeta en Amazon o en cualquier tienda y, con nuestro nombre completo, la fecha y el CVC, pueden llegar a realizar compras, por lo que es importante revisar la actividad en nuestra cuenta bancaria para evitar sustos.

A nivel legal no hay mucho que podamos hacer contra Glovo por exponer los datos, pero en el caso de que nos roben dinero de la cuenta, sí que podría interponerse una demanda. Glovo comunicó el acceso indebido a la AEPD, pero dijo que no se habían robado datos de tarjetas. Por desgracia, parece ser que no ha sido así, y si se producen robos con esos datos, Glovo podría tener que enfrentarse al pago de muchas compensaciones.