【猎云网(微信号:)】9月26日报道(编译:福尔摩望)
食品配送初创公司DoorDash近日收到了许多客户的投诉,称他们的帐户遭到黑客入侵。
数十人在Twitter上@DoorDash,称他们的帐户显示被不当访问,并向他们的帐户收取了欺诈性的食品配送费用。在这些案例中,黑客更改了他们的电子邮件地址,从而使用户在联系客户服务之前无法重新获得对其帐户的访问权限。然而,许多人说他们从来没有得到过DoorDash的回复,或者没有得到解决方案。
几个Reddit版块也爆出了类似的抱怨。
在上个月融资2.5亿美元之后,DoorDash现在是一家价值40亿美元的公司,并为美国和加拿大的1000多个城市提供服务。
在收到举报后,相关媒体联系了一些受影响的客户。
我们采访过的四个人发来推文或评论说,他们的帐户遭到黑客攻击,并表示自己曾在其他网站上使用过DoorDash密码。有三个人表示,他们不确定自己是否在其他地方使用过DoorDash密码。
但我们采访过的六个人表示,他们的密码是DoorDash独有的,有三个人确认他们使用了密码管理器生成的复杂密码。
DoorDash表示,并没有存在数据泄露,可能的罪魁祸首是凭证填充,黑客会获取被盗用户名和密码的列表,并在其他可能使用相同凭证的网站上进行尝试。
然而,DoorDash无法解释六个具有唯一密码的帐户是如何被破解的。
“我们没有任何信息表明DoorDash遭遇了数据泄露,”发言人Becky Sosnov在一封电子邮件中表示。“相反,根据我们可获得的信息,包括内部调查,我们已确定消费者报告的欺诈活动是由凭证填充造成的。”
我们采访过的受害者表示,他们使用过应用或网站,或者在某些案例下都使用过。有些人只是在信用卡部门与他们联系时才了解到可能存在欺诈行为。
一位受害者说:“根本没有任何意义,因为有很多人会随意往帐户中充钱。”
如果事实像DoorDash声称的那样,凭证填充是罪魁祸首,我们询问该公司是否会改进其密码政策,该公司目前的密码政策只需要至少8个字符。我们在测试中发现,新用户可以输入“password”或“12345678”作为他们的密码,这些密码多年来一直排在最差密码前列中。
该公司也没有表示它是否计划推出防止凭证填充的对策,如双因素身份验证。