Usuarios de Glovo denuncian el robo de cuentas
El servicio que pone en contacto clientes con restaurantes y mensajeros autónomos ha sufrido un problema de seguridad que obliga a actualizar la aplicación
A los problemas legales de Glovo y la presunta situación irregular de los miles de riders que tienen contratados en España se añade un agujero de seguridad que ha permitido robar cuentas de usuarios en España, Argentina, Inglaterra y Perú.
@Glovo_ES me ha cargado un pedido a mi cuenta en moneda egipcia que no he hecho yo. Al principio pensaba que me habian hackeado la cuenta de Glovo pero creo que simplemente la han cagado en su sistema. Y os explico por qué.
— Eneko Muñoz (@enekomh) 27 de enero de 2019
Los primeros indicios saltaron en redes sociales a principios de enero, especialmente entre usuarios de Argentina cuando empezaron a recibir notificaciones de nuevos pedidos entregados en Egipto. Los afectados intentaron comunicarse con las cuentas locales de Glovo en Twitter, con muy poca actividad desde finales de 2018.
Ninguno de los afectados se encuentra en Egipto, un territorio en el que Glovo se expandió a mediados de 2018. Algunos de estos usuarios indican que sus cuentas cambiaron de idioma, nombre de usuario y contraseña.
Luis Herreras publicó el pasado domingo su propia experiencia con capturas de pantalla. En ellas se puede ver como el nombre de su cuenta cambió a “Ahmed” y que se realizaron varios pedidos de tabaco.
⚠️ MÁXIMA DIFUSIÓN ⚠️
Ayer pedí unas hamburguesas de @GoikoGrill para cenar con @Glovo_ES. Me acabo de dar cuenta de que me han hackeado y han hecho 11 pedidos de tabaco en Egipto.
Borrar vuestras tarjetas de la app y no la uséis, tienen una brecha de seguridad masiva mundial. pic.twitter.com/WfkTtLgwFD
— Luis Herreras (@yuiso) 10 de febrero de 2019
El pasado 27 de enero otro usuario de Glovo, Eneko Muñoz, relataba en Twitter como le habían realizado un cargo en Egipto, pero en su caso la contraseña no había cambiado. Glovo tardó cinco días en contactarle, disculpándose por el cargo y asegurando la devolución del dinero.
Muñoz teoriza sobre cómo el error puede estar en los sistemas internos de Glovo que gestionan el cambio de correo electrónico para recuperar la contraseña y cambiarla.
En un comunicado de Glovo enviado a Economía Digital la compañía asegura que «se trata de casos aislados y que el uso no autorizado detectado no es debido a una brecha de seguridad en Glovo. En todos los casos analizados se trata de cuentas que utilizan el mismo usuario y contraseña en otras plataformas y cuyas credenciales han podido ser obtenidas por terceros vulnerando la seguridad de otras plataformas.» Algún usuario afectado han expresado su extrañeza dado que utilizan la cuenta de Facebook para acceder al servicio.
Si se confirma que Glovo ha sufrido un ataque dejando expuestas las cuentas de sus usuarios, estarían obligados a avisar a la Agencia Española de Protección de Datos, ya que, con la llegada de la RGPD en 2018, la empresa podría ser objeto de sanciones.
Será trabajo de la AEPD juzgar si se ha incumplido la ley europea de protección de datos, la que obliga a informar de lo sucedido si los datos de sus usuarios se han visto afectados. Si se demuestra que no se ha informado o se ha ocultado pruebas, la AEPD podría imponer una multa de entre el 2% y el 4% del volumen del negocio de Glovo.
Actualizado para añadir el comunicado de Glovo.