I dati di decine di milioni di clienti Glovo sono in vendita nel dark web: lo rivela, con tanto di documentazione a supporto, la società di sicurezza Yarix che ha trovato in vendita dati riservati, ma anche credenziali di accesso "scappati" dall'app spagnola di delivery. Il dataset in vendita pesa circa 160 GB e contiene nomi e cognomi, numeri di telefono, password, dati relativi ai sistemi di banking / pagamento degli utenti ed è attualmente in vendita per circa 85.000 dollari.

Un evento che ribadisce la problematicità del trattamento dati di Glovo, già sanzionata lo scorso anno dal garante spagnolo per essersi addirittura dimenticata di nominare il data protection officer.

Glovo ha negato ripetutamente il data breach, fin quando Bloomberg ha ripreso l'alert di Yarix e portato alla ribalta la notizia: è a questo punto che un portavoce di Glovo ha fatto sapere che

"sebbene la terza parte non autorizzata sia stata in grado di accedere a numeri IBAN e ad identificativi fiscali, possiamo confermare che non è stato effettuato alcun accesso a dati di carte di credito o debito", confermando il breach subito e che sono stati violati dati sensibili, pur cercando di "alleviare" le proprie responsabilità negando furti di dati relative alle carte di credito.

Ad ora, comunque, la vicenda rimane poco chiara, come poco chiara è la modalità con la quale Glovo sta gestendo il breach: non è chiaro, ad esempio, quanti utenti siano stati riguardati e se vi siano anche vittime italiane. Inoltre le prime notizie relative ad una vendita di dati rubati da Glovo nel dark web sono datate 4 Maggio, ma non è chiaro se le notizie riferiscano a due eventi distinti o allo stesso breach. 

Il consiglio per i clienti Glovo, indipendentemente che abbiano o meno ricevuto comunicazioni da parte dell'azienda spagnola, è quello di:

• cambiare la password del proprio account;
• se la password del proprio account Glovo è la stessa in uso per altri servizi online, è necessario cambiare anche quelle;
• verificare eventuali addebiti anomali sulle proprie carte di debito / credito. 

Non resta che vedere come proseguirà la vicenda, ad ora arenata su un muro contro muro: Glovo, dopo aver negato il data breach, lo ha ammesso ma escludendo l'esposizione di dati collegati alle carte di credito dei clienti. Yarix, al contrario ribadisce che così non è e di aver perfino proceduto a verificare i dettagli finanziari e delle carte di credito / debito in vendita sul dark web: gli esperti di sicurezza confermano la validità dei dati in vendita.