Tu DNI, teléfono y dirección están en manos de hackers si has usado Glovo

Una enorme base de datos con información extraída de Glovo está a la venta en un conocido foro de hacking. Esta base de datos contiene información personal tanto de clientes como de empleados de la empresa en España. Si eres cliente de esta app de pedir comida a domicilio, atento a la información tuya que puede estar circulando por la Dark Web.

Glovo ha reconocido la filtración de estos datos, aunque ha querido tranquilizar a clientes y empleados explicando que no se trataría de un nuevo hackeo, sino de una nueva venta de su base de datos hackeada en abril de 2021.

A la venta en la Dark Web

La peor parte se la llevan los propios empleados de Glovo, o aquellos que operan para la start-up española en condición de autónomo. Los datos sobre repartidores que figuran en esta base de datos incluyen nombre completo de los repartidores, así como sus DNIs, números de teléfono, correos electrónicos, números de cuenta bancaria, direcciones donde residen, tipos de contrato e incluso el tipo transporte que usan para llevar los pedidos de un lado a otro.

Como es evidente, estos datos no deberían de haber pasado más allá del departamento de derechos humanos, pero acabará en malas manos si alguien compra dicha base de datos en la Dark Web.

La base de datos incluye información sobre 5.790.563 pedidos de clientes, con información sobre sus descripciones, su cliente, el repartidor o su tiempo de entrega. En este apartado no parece haber tanta información sensible en esta ocasión, pero si los datos hacen referencia a los del 2021, entonces sí se vendieron considerando que incluían todo tipo de información registrada por los clientes, como:

  • Nombre completo
  • Fecha de nacimiento
  • Correo electrónico
  • Contraseña cifrada con SHA256
  • Número de teléfono
  • Dirección física
  • Código postal
  • Tarjeta de crédito, fecha de caducidad y CVC
  • DNI
  • IBAN de la cuenta bancaria

Datos del hackeo de 2021

Glovo ha reconocido que esta filtración es real, pero ha querido aclarar que corresponde al ciberataque que sufrió el año pasado y que os contamos en ADSLZone, cuando un atacante logró acceso privilegiado y no autorizado a uno de sistemas debido a un panel de administración viejo. Según la compañía, se trataría solamente de una reaparición de estos mismos datos.

La persona que está ofreciendo esta base de datos en la dark web no ha puesto ningún precio, pero sí una dirección de correo de ProtonMail encriptada para que se pongan en contacto con ofertas. Asegura ser una base de datos única: «Importante: esta es una base de datos exclusiva. Voy a venderla una sola vez».

«Tras el hallazgo de la brecha en abril de 2021, todos los accesos a la información fueron bloqueados. Aunque el atacante logró acceder a detalles como el IBAN por un pequeño período de tiempo, no se expuso ningún dato relacionado con las tarjetas de crédito y débito, ya que no almacenamos ese tipo de información y las contraseñas son cifradas», explica la compañía.

«En Glovo nos tomamos la seguridad muy en serio. La investigación sobre este asunto concluyó en 2021 y fue acompañada de una auditoría completa sobre la integridad de nuestros sistemas. También contactamos la Agencia Española de Protección de Datos y les ofrecimos toda la información que requirieron para su investigación».