TechCrunch a appris qu’une faille de sécurité dans la start-up de livraison de produits d’épicerie en ligne Mercato a révélé des dizaines de milliers de commandes de clients.
Une personne au courant de l’incident a déclaré à TechCrunch que l’incident s’est produit en janvier après que l’un des compartiments de stockage cloud de l’entreprise, hébergé sur le cloud d’Amazon, ait été laissé ouvert et sans protection.
La société a corrigé le déversement de données, mais n’a pas encore alerté ses clients.
Mercato a été fondée en 2015 et aide plus d’un millier de petits épiciers et magasins d’alimentation spécialisée à se connecter en ligne pour le ramassage ou la livraison, sans avoir à s’inscrire à des services de livraison comme Instacart ou Amazon Fresh. Mercato opère à Boston, Chicago, Los Angeles et New York, où la société a son siège.
TechCrunch a obtenu une copie des données exposées et a vérifié une partie des enregistrements en faisant correspondre les noms et adresses avec les comptes existants connus et les registres publics. L’ensemble de données contenait plus de 70000 commandes datant de septembre 2015 à novembre 2019, et comprenait les noms et adresses e-mail des clients, les adresses personnelles et les détails de la commande. Chaque enregistrement comportait également l’adresse IP de l’utilisateur de l’appareil utilisé pour passer la commande.
L’ensemble de données comprenait également les données personnelles et les détails de commande des dirigeants de l’entreprise.
On ne sait pas comment la faute de sécurité s’est produite puisque les compartiments de stockage sur le cloud d’Amazon sont privés par défaut, ou lorsque l’entreprise a appris l’exposition.
Les entreprises sont tenues de divulguer les violations de données ou les défaillances de sécurité aux procureurs généraux des États, mais aucun avis n’a été publié là où la loi l’exige, comme en Californie. L’ensemble de données comptait plus de 1 800 résidents en Californie, soit plus de trois fois le nombre nécessaire pour déclencher une divulgation obligatoire en vertu des lois de l’État sur la notification des violations de données.
On ne sait pas non plus si Mercato a divulgué l’incident aux investisseurs avant son augmentation de 26 millions de dollars en série A au début du mois. Velvet Sea Ventures, qui a mené la ronde, n’a pas répondu aux e-mails demandant des commentaires.
Dans un communiqué, le directeur général du Mercato, Bobby Brannigan, a confirmé l’incident mais a refusé de répondre à nos questions, citant une enquête en cours.
«Nous menons un audit complet avec un tiers et nous contacterons les personnes concernées. Nous sommes convaincus qu’aucune donnée de carte de crédit n’a été consultée car nous ne stockons pas ces informations sur nos serveurs. Nous informerons en permanence tous les organismes et parties prenantes faisant autorité, y compris les investisseurs, des conclusions de notre audit et des mesures nécessaires pour remédier à cette situation », a déclaré Brannigan.
Sachez quelque chose, dites quelque chose. Envoyez des conseils en toute sécurité via Signal et WhatsApp au + 1646-755-8849. Vous pouvez également envoyer des fichiers ou des documents à l’aide de notre SecureDrop. Apprendre encore plus.