Утечки информации из сервисов доставки еды

Популярность сервисов доставки связана с угрозами ИБ и утечками информации. ЭАЦ составил дайджест утечек информации из сервисов доставки еды в различных странах.

Бразильское приложение для доставки еды iFood подтвердило, что стало жертвой утечки данных, которая затронула 1,2 млн пользователей (примерно 2% клиентской базы компании). Хакеры похитили такие персональные данные, как имена, номера телефонов, адреса и бразильские индивидуальные номера налогоплательщиков (CPF). Как и номера социального страхования (SSN) в США, номера CPF по сути являются бразильскими налоговыми идентификаторами, используемыми повсеместно для таких задач, как открытие банковских счетов, покупки и подтверждение личности. Хакеры утверждают, что им удалось завладеть 43 млн записей персональных данных клиентов iFood. Известно, что приложение iFood для Android скачали более 100 млн бразильцев. Приложение этого сервиса для iOS также чрезвычайно популярно в республике. Злоумышленники потребовали от компании внести выкуп, угрожая в обратном случае опубликовать украденные данные.

Сервис доставки еды Grubhub в начале 2026 года признал факт утечки данных после того, как хакеры получили доступ к ее системам. Компания не стала приводить подробности инцидента, но несколько источников рассказали журналистам, что ее атаковали злоумышленники из группировки ShinyHunters, после чего стали вымогать деньги. Хакеры смогли взломать систему поддержки клиентов Zendesk. До этого сервис Grubhub становился жертвой крупного инцидента ИБ, связанного с кражей данных, в феврале 2025 г.

Крупнейшая американская платформа по доставке еды, DoorDash, в ноябре 2025 г. уведомила клиентов, курьеров и продавцов об утечке данных, в результате которой были скомпрометированы персональные данные. К инциденту привела атака с использованием методов социальной инженерии. Она была направлена на сотрудника DoorDash. В руки хакеров попали имена, адреса, адреса электронной почты и номера телефонов. О количестве пострадавших компания не сообщила. Поскольку DoorDash работает не только в США, но также в Канаде, Австралии и Новой Зеландии, то, вероятно, могли пострадать пользователи в разных странах.

Китайская компания 99, одна из ведущих платформ для заказа такси и доставки еды, принадлежащая холдингу Didi Chuxing, провела расследование утечки данных в бразильском подразделении. Компания заявила, что стратегические сведения и конфиденциальная информация клиентов могли быть скомпрометированы несколькими способами. По сообщениям 99, многие сотрудники регулярно получали фишинговые письма, что указывает на скоординированные действия злоумышленников по проникновению во внутренние системы компании. Также были зафиксированы кражи корпоративных ноутбуков, принадлежащих ключевым сотрудникам, в том числе тем, кто напрямую связан с высшим руководством. Компания утверждает, что ежедневно выявляла попытки взлома своих внутренних систем и приложений, что побудило к принятию более строгих мер кибербезопасности.

Осенью 2025 г. злоумышленники заявили, что им удалось получить доступ к внутренней сети компании Getir, турецкой платформе для заказов на доставку еды. Изучив образцы данных, предоставленные хакерами, исследователи проекта Cybernews пришли к выводу, что украденная информация представляет набор метаданных из внутренних приложений Getir: URL-адреса репозиториев Bitbucket, права пользователей, названия проектов, идентификаторы рабочих пространств, адреса электронной почты сотрудников. Эти образцы свидетельствовали, что злоумышленники не добрались до конфиденциальной информации платформы. Более того, команда Cybernews считает, что злоумышленники, вероятно, не имели доступа к системам компании и получили данные посредством атаки на ее поставщика сервисов. Несмотря на это, инцидент может негативно повлиять на работу Getir. Например, злоумышленники могут использовать полученную информацию для проведения атак с использованием методов социальной инженерии против сотрудников компании. Успешная фишинговая кампания способна предоставить злоумышленникам расширенные права доступа. Например, утекшие URL-адреса репозиториев и ID рабочих пространств облегчают злоумышленникам поиск незащищенных конечных точек или других случайных ошибок конфигурации в проекте, пояснили исследователи.

Серьезную угрозу для информационной безопасности сервисов доставки представляют действия сотрудников. Так, в мае 2025 г. произошел инцидент в индийском стартапе KiranaPro. Злоумышленники получили доступ к корневым учетным записям KiranaPro на AWS и GitHub. Установлено, что взлом произошел после того, как кто-то получил доступ к системам через учетную запись бывшего сотрудника.