食品配送獨角獸DoorDash遭黑客入侵，多名用戶蒙受損失

【獵雲網（微信號：ilieyun）】9月26日報道（編譯：福爾摩望）

食品配送初創公司DoorDash近日收到了許多客戶的投訴，稱他們的帳戶遭到黑客入侵。

數十人在Twitter上@DoorDash，稱他們的帳戶顯示被不當訪問，並向他們的帳戶收取了欺詐性的食品配送費用。在這些案例中，黑客更改了他們的電子郵件地址，從而使用戶在聯繫客戶服務之前無法重新獲得對其帳戶的訪問許可權。然而，許多人說他們從來沒有得到過DoorDash的回復，或者沒有得到解決方案。

幾個Reddit版塊也爆出了類似的抱怨。

在上個月融資2.5億美元之後，DoorDash現在是一家價值40億美元的公司，並為美國和加拿大的1000多個城市提供服務。

在收到舉報後，相關媒體聯繫了一些受影響的客戶。

我們採訪過的四個人發來推文或評論說，他們的帳戶遭到黑客攻擊，並表示自己曾在其他網站上使用過DoorDash密碼。有三個人表示，他們不確定自己是否在其他地方使用過DoorDash密碼。

但我們採訪過的六個人表示，他們的密碼是DoorDash獨有的，有三個人確認他們使用了密碼管理器生成的複雜密碼。

DoorDash表示，並沒有存在數據泄露，可能的罪魁禍首是憑證填充，黑客會獲取被盜用戶名和密碼的列表，並在其他可能使用相同憑證的網站上進行嘗試。

然而，DoorDash無法解釋六個具有唯一密碼的帳戶是如何被破解的。

「我們沒有任何信息表明DoorDash遭遇了數據泄露，」發言人Becky Sosnov在一封電子郵件中表示。「相反，根據我們可獲得的信息，包括內部調查，我們已確定消費者報告的欺詐活動是由憑證填充造成的。」

我們採訪過的受害者表示，他們使用過應用或網站，或者在某些案例下都使用過。有些人只是在信用卡部門與他們聯繫時才了解到可能存在欺詐行為。

一位受害者說：「根本沒有任何意義，因為有很多人會隨意往帳戶中充錢。」

如果事實像DoorDash聲稱的那樣，憑證填充是罪魁禍首，我們詢問該公司是否會改進其密碼政策，該公司目前的密碼政策只需要至少8個字元。我們在測試中發現，新用戶可以輸入「password」或「12345678」作為他們的密碼，這些密碼多年來一直排在最差密碼前列中。

該公司也沒有表示它是否計劃推出防止憑證填充的對策，如雙因素身份驗證。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！