DoorDash, l’un des services de livraison de repas à domicile les plus populaires, a révélé jeudi 26 septembre que les données de près de 5 millions de personnes (clients, livreurs et restaurants) ont été compromises… au mois de mai.
La société basée à San Francisco, qui sur un billet de blog assure prendre « la sécurité de la communauté très au sérieux« , s’est rendue compte récemment d’une activité suspecte. « Plus tôt ce mois-ci, nous avons pris connaissance d’activités inhabituelles impliquant un fournisseur de services tiers. Nous avons immédiatement lancé une enquête et des experts externes en sécurité ont été engagés pour évaluer ce qui s’est passé« , indique-t-elle. Les spécialistes ont découvert qu’une « tierce partie avait accédé à des données des utilisateurs de la plateforme le 4 mai 2019« . La brèche concerne les utilisateurs qui ont fait appel à DoorDash jusqu’au 5 avril de cette année. « Tous les utilisateurs n’étaient pas concernés« , poursuit-elle, mais « 4,9 millions de consommateurs » (sic).
La tierce partie a eu accès aux informations de profil, notamment les noms, les adresses électroniques, les adresses de livraison, l’historique des commandes, les numéros de téléphone, les mots de passe cryptés, ainsi que pour certains clients les 4 derniers chiffres des cartes de crédits et, pour les restaurants et les livreurs, les 4 derniers chiffres des comptes en banque.
Pour environ 100 000 livreurs, les numéros de permis de conduire ont également été utilisés.
DoorDash se veut rassurant en disant que ce n’est pas assez pour une fraude à la carte bancaire ou des retraits sauvages d’un compte en banque. Elle ne donne pas d’autres détails. Et si la société assure que les mots de passe cryptés sont indéchiffrables, elle appelle néanmoins « toutes les personnes concernées à le redéfinir par un mot de passe unique à DoorDash« .
C’est un nouveau coup dur pour l’entreprise qui avait déjà défrayé la chronique cet été quand on a découvert qu’elle ne reversait pas les pourboires à qui de droit mais retirait le montant de la somme qu’elle versait au livreur en guise de rémunération. De facto le client donnait son pourboire à l’entreprise. Devant le tollé, elle a changé sa politique.
DoorDash, fondé en 2013 par Tony Xu et deux autres étudiants de l’université de Stanford, est présente dans quelque 4 000 villes aux Etats-Unis et au Canada. Elle est en féroce compétition avec GrubHub et Uber Eats.
Auteur : Juliette Paoli avec AFP
