Ancora falle sulla privacy di Glovo: dati personali di milioni di utenti dell’app di food delivery in vendita nel Dark Web
Grave violazione di sicurezza per la società di consegne Glovo, che ha subìto un accesso non autorizzato da parte di un hacker che avrebbe potuto trafugare dati riservati e credenziali di accesso di decine di milioni di clienti, driver e dipendenti. Già da tempo Federprivacy aveva sollevato varie perplessità sulla conformità al Gdpr dei trattamenti di dati personali effettuati da Glovo e da altre app di food delivery, e non a caso lo scorso anno la stessa Glovo era stata sanzionata dal garante spagnolo perché aveva "dimenticato" di nominare il data protection officer.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
A diramare adesso l'informazione del data breach è Bloomberg, che cita come fonte la società italiana di sicurezza Yarix, la quale ha affermato di avere le prove che i cyber criminali hanno già messo in vendita le nel Dark Web: si tratterebbe di un volume complessivo di circa 160GB di dati che includono nomi, numeri di telefono, password e informazioni legate a sistemi di pagamento. L'archivio sarebbe in vendita ad una cifra di circa 85 mila dollari.
Un portavoce della spagnola Glovo ha dichiarato in modo non troppo rassicurante che "sebbene la terza parte non autorizzata sia stata in grado di accedere a numeri IBAN e ad identificativi fiscali, possiamo confermare che non è stato effettuato alcun accesso a dati di carte di credito o debito". Lo scorso 4 maggio sono circolate informazioni relative ad una violazione di sicurezza sempre ai danni di Glovo, ma non è chiaro se i due episodi coincidano o se si tratti di due incidenti differenti.
In attesa di vedere gli sviluppi della vicenda e quali saranno gli interventi delle autorità di controllo, non è noto se sono coinvolti utenti italiani, ma il consiglio per chi utilizza Glovo è come sempre quello di cambiare la password del proprio account e di controllare i movimenti delle carte di credito per verificare che non vi siano addebiti anomali, sempre che ci si fidi di fornire i dati personali e le proprie informazioni bancarie ad una società a cui pare che la privacy degli utenti interessi davvero poco.