Öğrenci araç paylaşımı girişimi HopSkipDrive, 155.000’den fazla sürücünün kişisel verilerini içeren bir veri ihlalini doğruladı.
Los Angeles merkezli HopSkipDrive, çocuklar ve gençler için Uber tarzı bir araç paylaşımı hizmeti sunuyor. 2014 yılında kurulduğundan bu yana en az 90 milyon dolar toplayan girişim, geleneksel otobüs güzergahlarının dışında yaşayan veya okula giderken ekstra yardıma ihtiyaç duyan öğrencileri taşımak için okul bölgeleriyle ortaklık kuruyor.
Geçtiğimiz hafta Maine başsavcılığına yapılan bir başvuruda HopSkipDrive, Haziran ayında 155.394 sürücüyü etkileyen bir veri ihlaliyle sonuçlanan bir siber güvenlik olayı yaşadığını doğruladı. HopSkipDrive, çalınan verilerin isimleri, e-posta ve posta adreslerini, sürücü belgesi numaralarını ve sürücüye ait olmayan diğer kimlik kartı numaralarını içerdiğini söyledi.
HopSkipDrive sözcüsü Campbell Millum, TechCrunch’a, etkilenenlerin arasında “platformumuzda araç kullanan veya platformumuzda araç kullanmak için başvuran kişiler” bulunduğunu söyledi. Millum, ihlalde hiçbir çalışan veya müşteri verisine erişilmediğini ekledi.
Şirket, TechCrunch’a ihlali ilk kez 12 Haziran 2023’te “kuruluşumuz tarafından kullanılan bazı üçüncü taraf uygulamalarda şüpheli etkinlik keşfettiğinde” keşfettiğini doğruladı. Şirket, güvenliği ihlal edilen uygulamaların adını vermeyi reddetti.
Etkilenenlere gönderilen bir mektupta HopSkipDrive, sorundan ilk olarak bilinmeyen bir tehdit aktöründen bir e-posta aldıktan sonra haberdar olduğunu söyledi.
TechCrunch, şirketin etkilenen sürücüleri bilgilendirmesinin neden aylar sürdüğünü sorduğunda HopSkipDrive’ın sözcüsü, şirketin iletişimlerinde gecikme olduğu yönündeki iddiaları reddetti ve şirketin etkilenen kişileri ilk olarak Temmuz ayının ilk haftasında bilgilendirdiğini ve “o zamandan beri iletişimleri sürdürdüğünü” ekledi.
Etkilenen sürücülere gönderilen mektupta, “Derhal bir soruşturma başlattık, olayın kapsamının değerlendirilmesine yardımcı olması için uzmanları görevlendirdik ve toplumumuz üzerindeki olası etkiyi azaltmak için adımlar attık” deniyor. “Üçüncü taraf adli tıp soruşturması, olayın 31 Mayıs 2023 ile 10 Haziran 2023 arasında meydana geldiğini belirledi.”
HopSkipDrive, “gelecekte benzer bir olayın tekrar yaşanmasını önlemek için sistemlerimizin güvenliğini güçlendirmeye kararlı olduğunu” söyledi ancak hangi ek önlemlerin uygulandığı konusunda ayrıntılı bilgi vermedi.
TechCrunch, liderlik sayfasında bir güvenlik şefi listelenmeyen HopSkipDrive’a, şirkette siber güvenliği yönetmeye adanmış bir şirket yöneticisinin olup olmadığını sordu. HopSkipDrive, “hem hukuk hem de teknoloji ekiplerimizde bilgi güvenliği uzmanlarının” bulunduğunu söyledi.
Kaynak: https://techcrunch.com/2024/02/05/hopskipdrive-says-personal-data-of-155000-drivers-stolen-in-data-breach/