Как стало известно TechCrunch, из-за нарушения безопасности в стартапе по онлайн-доставке продуктов Mercato были обнаружены десятки тысяч заказов клиентов.
Человек, осведомленный об инциденте, сказал TechCrunch, что инцидент произошел в январе после того, как одна из корзин облачного хранилища компании, размещенная на Amazonоблако, осталось открытым и незащищенным.
Компания устранила утечку данных, но пока не предупредила своих клиентов.
Компания Mercato была основана в 2015 году и помогает более чем тысячам более мелких бакалейных лавок и специализированных продуктовых магазинов подключиться к Интернету для самовывоза или доставки без необходимости подписываться на службы доставки, такие как Instacart или Amazon Свежий. Mercato работает в Бостоне, Чикаго, Лос-Анджелесе и Нью-Йорке, где расположена штаб-квартира компании.
TechCrunch получил копию открытых данных и проверил часть записей, сопоставив имена и адреса с известными существующими учетными записями и общедоступными записями. Набор данных содержал более 70000 заказов, датированных периодом с сентября 2015 года по ноябрь 2019 года, и включал имена клиентов и адреса электронной почты, домашние адреса и детали заказа. Каждая запись также имела IP-адрес пользователя устройства, которое они использовали для размещения заказа.
Набор данных также включал личные данные и детали заказов руководителей компании.
Непонятно, как произошел сбой в системе безопасности, так как ведра хранения на Amazon«Облако» является частным по умолчанию или когда компания узнала о разоблачении.
Компании должны сообщать об утечках данных или нарушениях безопасности генеральным прокурорам штата, но никаких уведомлений не публиковалось там, где это требуется по закону, например, в Калифорнии. В наборе данных было более 1800 жителей Калифорнии, что более чем в три раза превышает количество, необходимое для инициирования обязательного раскрытия информации согласно законам штата об уведомлении об утечке данных.
Также неизвестно, раскрыла ли Mercato об этом инциденте инвесторам в преддверии своего повышения на сумму 26 миллионов долларов в рамках серии A в начале этого месяца. Velvet Sea Ventures, возглавлявшая раунд, не ответила на электронные письма с просьбой прокомментировать ситуацию.
В своем заявлении генеральный директор Mercato Бобби Брэнниган подтвердил инцидент, но отказался отвечать на наши вопросы, сославшись на продолжающееся расследование.
«Мы проводим полный аудит с привлечением третьей стороны и будем связываться с лицами, которые были затронуты. Мы уверены, что не было доступа к данным кредитной карты, потому что мы не храним эти данные на наших серверах. Мы будем постоянно информировать все авторитетные органы и заинтересованные стороны, включая инвесторов, о выводах нашего аудита и любых шагах, необходимых для исправления этой ситуации », – сказал Брэнниган.
Что-нибудь знать, что-нибудь сказать. Безопасно отправляйте советы через Signal и WhatsApp на номер +1 646-755-8849. Вы также можете отправлять файлы или документы с помощью нашего SecureDrop. Учить больше.