Perusahaan bahan makanan, Mercato, menumpahkan data bertahun-tahun, tetapi tidak memberi tahu pelanggannya – TechCrunch

0
30


Kesalahan keamanan pada startup pengiriman bahan makanan online Mercato mengungkap puluhan ribu pesanan pelanggan, TechCrunch telah belajar.

Seseorang yang mengetahui insiden tersebut mengatakan kepada TechCrunch bahwa insiden tersebut terjadi pada bulan Januari setelah salah satu bucket penyimpanan cloud perusahaan, yang dihosting di cloud Amazon, dibiarkan terbuka dan tidak terlindungi.

Perusahaan memperbaiki tumpahan data, tetapi belum memberi tahu pelanggannya.

Mercato didirikan pada tahun 2015 dan membantu lebih dari seribu pedagang kecil dan toko makanan khusus online untuk pengambilan atau pengiriman, tanpa harus mendaftar untuk layanan pengiriman seperti Instacart atau Amazon Fresh. Mercato beroperasi di Boston, Chicago, Los Angeles, dan New York, tempat perusahaan berkantor pusat.

TechCrunch memperoleh salinan data yang terpapar dan memverifikasi sebagian catatan dengan mencocokkan nama dan alamat dengan akun dan catatan publik yang sudah ada dan diketahui. Kumpulan data berisi lebih dari 70.000 pesanan yang berasal dari antara September 2015 dan November 2019, dan termasuk nama pelanggan dan alamat email, alamat rumah, dan detail pesanan. Setiap catatan juga memiliki alamat IP pengguna dari perangkat yang mereka gunakan untuk melakukan pemesanan.

Kumpulan data juga termasuk data pribadi dan detail pesanan para eksekutif perusahaan.

Tidak jelas bagaimana penyimpangan keamanan terjadi karena bucket penyimpanan di cloud Amazon bersifat pribadi secara default, atau ketika perusahaan mengetahui eksposur tersebut.

Perusahaan diharuskan untuk mengungkapkan pelanggaran data atau penyimpangan keamanan kepada jaksa agung negara bagian, tetapi tidak ada pemberitahuan yang dipublikasikan jika diwajibkan oleh hukum, seperti California. Kumpulan data memiliki lebih dari 1.800 penduduk di California, lebih dari tiga kali jumlah yang dibutuhkan untuk memicu pengungkapan wajib di bawah undang-undang pemberitahuan pelanggaran data negara bagian.

Juga tidak diketahui apakah Mercato mengungkapkan insiden tersebut kepada investor sebelumnya kenaikan Seri A sebesar $ 26 juta awal bulan ini. Velvet Sea Ventures, yang memimpin putaran tersebut, tidak menanggapi email yang meminta komentar.

Dalam sebuah pernyataan, kepala eksekutif Mercato Bobby Brannigan mengkonfirmasi insiden tersebut tetapi menolak untuk menjawab pertanyaan kami, mengutip penyelidikan yang sedang berlangsung.

“Kami sedang melakukan audit lengkap menggunakan pihak ketiga dan akan menghubungi individu yang terkena dampak. Kami yakin bahwa tidak ada data kartu kredit yang diakses karena kami tidak menyimpan detail tersebut di server kami. Kami akan terus menginformasikan semua badan otoritatif dan pemangku kepentingan, termasuk investor, mengenai temuan audit kami dan langkah apa pun yang diperlukan untuk memperbaiki situasi ini, ”kata Brannigan.


Tahu sesuatu, katakan sesuatu. Kirim tip dengan aman melalui Signal dan WhatsApp ke +1 646-755-8849. Anda juga dapat mengirim file atau dokumen menggunakan SecureDrop kami. Belajarlah lagi.



Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here