Yarix è una delle società italiane più quotate in termini di sicurezza IT, tanto nel nostro Paese quanto nel resto del mondo. Ha sede a Empoli e nei giorni scorsi ha scoperto un fatto piuttosto grave. Nel bollettino informativo pubblicato con data 11 maggio scrive: “Il team di Cyber Intelligence di Yarix, linea di business Digital Security di Var Group, ha individuato sul dark web un leak pari a circa 160 GB di credenziali, password e dati di pagamento riconducibili alla multinazionale spagnola Glovo”. 160 gigabyte di dati corrispondo a informazioni, anche personali e private, di oltre 100 milioni di utenti. Bastano 85mila dollari per acquistarlo. Ecco cosa sta succedendo nella ricostruzione fatta da Yarix e attraverso le dichiarazioni ufficiali di Glovo.
La violazione dei server Glovo dagli hacker
Alla fine di aprile 2021, i sistemi di Glovo sono stati violati da un gruppo di hacker. Quest’ultimo ha avuto accesso ai dati sensibili contenuti nel database dell’azienda. Informata l’agenzia spagnola per la protezione dei dati (Aepd), Glovo ha dichiarato di avere tempestivamente messo in atto le opportune contromisure. L’azienda ha anche sottolineato che non sono stati violati i dati relativi ai sistemi di pagamento utilizzati dai clienti, in quanto i sistemi informatici non ne tengono traccia né memoria. Nello specifico Yarix cita questa frase ufficiale di Glovo: “We can confirm that no customer card data was accessed, as we do not hold or store such information”. In italiano: “Possiamo confermare che non c’è stato alcun accesso ai dati delle carte di credito degli utenti, dato che non tratteniamo o memorizziamo tali informazioni”.
Peccato che sul dark web, già ad aprile e nel giro di pochi giorni, è stato messo in vendita il risultato dell’accesso ai dati di una grossa catena di “food delivery”, senza che il nome di Glovo fosse palesato.
Il “Glovo Leak” e i dati di pagamento in chiaro
Spiega Yarix:
“A 15 giorni di distanza dall’attacco hacker, il 10 maggio, si scopre su un noto market underground un’attività illecita di compravendita di un database di 160 GB esplicitamente attribuito a Glovo”.
Con una serie di indicazioni aggiuntive pubblicate nell’annuncio di vendita da parte del venditore, tra cui il fatto che in questo archivio sono disponibili i dati sensibili di oltre 100 milioni di utenti in tutto il mondo.
Il pacchetto di informazioni sarebbe dunque completo di dati personali (nome e cognome, data di nascita, email, telefono, password cifrata e riferimenti dei sistemi di pagamento) di utenti e corrieri di Glovo, in Spagna e a livello internazionale.
Di più, perché Yarix sostiene anche che siano coinvolti i “cosiddetti deliveryboy” o glover dei quali “sono disponibili nel database anche le foto dei documenti di riconoscimento”.
Yarix: “Sono dati validi e attuali. Cambiate la password”
Spiega Mirko Gatto, ceo di Yarix: “Il data leak è al momento in vendita sul dark web per una cifra pari a circa 85.000 dollari. Subito dopo la scoperta, abbiamo immediatamente allertato il Cnaipic (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). Il threat actor che sta attualmente vendendo sul dark web i dati di Glovo risulta sconosciuto e, di fatto, privo di una ‘reputazione criminale’. Ciò nonostante, abbiamo avuto modo di verificare che le credenziali di accesso alle carte di credito sono effettivamente valide, come confermato dagli estratti del database trafugato disponibili a corredo dell’annuncio sul market. Il venditore dichiara, inoltre, di essere in possesso dell’archivio relativo a tutto lo storico ordini, oltre alle email e password degli amministratori della piattaforma Glovo. Questo quadro ci induce a ritenere che le informazioni in vendita sul dark web siano effettivamente riconducibili all’attacco hacker subito dall’azienda. Per questa ragione, ci sentiamo di raccomandare agli utenti di Glovo di cambiare la password (soprattutto se riutilizzata per altri siti) e di tenere sotto controllo le carte di credito, per verificare che non risultino addebiti anomali. Altrettanto utile sarà attivare le feature di sicurezza disponibili per la carta di credito: validazioni delle transazioni, disabilitazione dell’utilizzo in paesi non frequentati e così via”.
La risposta di Glovo
A fronte di questa analisi di Yarix, su Bloomberg è apparsa la dichiarazione di un portavoce di Glovo, per la verità in linea con la posizione ufficiale dello scorso aprile. La scarna spiegazione è questa: “While the unauthorized third party was able to access Iban and Tax ID numbers for a short period of time, we can confirm no credit/debit card data was accessed”. In italiano: “Sebbene terze parti non autorizzate siano state in grado di accedere ai dati Iban e di identificativo fiscale (nel caso italiano, il codice fiscale – ndr) per un breve periodo di tempo, possiamo confermare che non è stato effettuato l’accesso ai dati della carta di credito/debito”. Nel momento in cui si scrive, sul sito e sui canali ufficiali di Glovo non compaiono informazioni ufficiali relative alla vicenda.
