EXCLUSIF | Un hacker a réussi à s’introduire dans les serveurs de la start-up espagnole de livraison Glovo (valorisée à deux milliards de dollars). Le cybercriminel revendait ensuite l’accès aux comptes des clients et des coursiers, avec la possibilité de changer leurs mots de passe. Glovo a précisé à Forbes qu’aucune donnée de carte de crédit n’a été volée.

 

Cette nouvelle intervient un mois à peine après que Glovo, qui ambitionne de devenir le Amazon européen, a annoncé un énorme tour de table de 530 millions de dollars, portant le financement global de la société à plus d’un milliard de dollars. Ce tour de table a également permis de renforcer les projets d’introduction en bourse de Glovo dans les prochaines années.

Alex Holden, directeur de la technologie et fondateur de Hold Security, a alerté Forbes de cette attaque informatique. Alex Holden traque les pirates malveillants dans les recoins les plus sombres du Web. Il a découvert des captures d’écran et des vidéos d’un hacker montrant les accès aux ordinateurs utilisés pour gérer les comptes Glovo. Après avoir transmis ces preuves à Forbes et après avoir identifié l’un des utilisateurs concernés comme un membre de Glovo, Alex Holden en a informé la société rivale d’Amazon, jeudi 29 avril. Lundi 3 mai, Glovo a confirmé le piratage, affirmant avoir corrigé le problème, alors même que le hacker continuait de vendre les accès aux systèmes informatiques de la start-up.

« Le 29 avril, nous avons été informés de l’accès non autorisé à l’un de nos systèmes par une tierce personne malveillante », a déclaré un porte-parole de Glovo. « Cette personne a pu obtenir un accès via une ancienne interface du panneau d’administration. Dès que nous avons découvert cette activité suspecte, nous avons pris des mesures immédiates pour bloquer tout accès ultérieur par cet individu non autorisé et avons mis en place des mesures supplémentaires pour sécuriser notre plateforme. […] Bien que nous menions actuellement une enquête plus approfondie, nous pouvons confirmer qu’aucune donnée de carte bancaire n’a été consultée, car nous ne détenons ni ne stockons de telles informations. »

Glovo a contacté l’Agencia Española de Protección de Datos (AEPD), l’autorité espagnole de protection des données. « Nous allons leur fournir toutes les informations dont ils ont besoin pour leur enquête », a affirmé le porte-parole de Glovo, avant d’ajouter que la société ne pouvait pas divulguer plus d’informations sur la nature de la violation ou les types de données compromis à la suite du piratage.

Alex Holden a déclaré à Forbes qu’il était préoccupé par le fait que, lundi 3 mai, le hacker promettait toujours aux acheteurs d’accéder aux systèmes et aux données de Glovo, et que les informations semblaient ne pas être cryptées pour toute personne extérieure qui pourrait s’y introduire. Le fondateur de Hold Security s’est également inquiété du fait que les numéros de compte bancaire international (ou IBAN) et les numéros d’identification fiscale des coursiers étaient exposés.

Selon un porte-parole de Glovo, ces données étaient « uniquement accessibles via une connexion réussie par un compte disposant des autorisations suffisantes. Toutes les données personnelles conservées dans nos systèmes sont cryptées. » Toujours selon ce porte-parole, la société a bloqué l’accès au système concerné vendredi 30 avril au matin, après avoir mis en place un pare-feu. « En conséquence, le système n’est désormais plus accessible. Nous avons ensuite entrepris une analyse des logs afin de rechercher les signes d’une fuite de données et d’évaluer le volume potentiel d’une telle fuite. Nous avons trouvé des preuves d’un accès non autorisé au système, confirmant la présence du hacker, mais nous n’avons trouvé aucune preuve confirmant une quelconque exportation de données. »

« Durant la pandémie, la livraison de repas, de courses et de médicaments est essentielle pour de nombreuses personnes. Par conséquent, ce piratage de données est bien pire qu’il ne l’aurait été auparavant », a précisé Alex Holden. « De nombreux abus peuvent être soulevés par cette violation de données, mais il faut avant tout retenir qu’il y a eu une violation massive de la vie privée des clients et des coursiers. »

 

<<< À lire également : 3 réflexes en cas de rançongiciel ou ransomware >>>