DoorDash, l'un des services de livraison de repas à domicile les plus populaires, a révélé jeudi que les données de près de 5 millions de personnes (clients, livreurs et restaurants) ont été compromises... au mois de mai.
La société basée à San Francisco, qui sur un billet de blog assure prendre "la sécurité de la communauté très au sérieux", s'est rendu compte récemment d'une activité suspecte.
Les experts qu'elle a embauchés ont découvert qu'une "tierce partie avait accédé à des données des utilisateurs de la plateforme le 4 mai 2019".
La brèche concerne les utilisateurs qui ont fait appel à DoorDash jusqu'au 5 avril de cette année.
Outre le nom, le numéro de téléphone, cette tierce partie a aussi eu accès aux adresses email (mais pas au mot de passe) et aux adresses de livraison ainsi qu'aux 4 derniers chiffres des cartes de crédits des clients ou au 4 derniers chiffres des comptes en banques des restaurants et des livreurs.
DoorDash se veut rassurant en disant que ce n'est pas assez pour une fraude à la carte bancaire ou des retraits sauvages d'un compte en banque.
Elle ne donne pas d'autres détails.
C'est un nouveau coup dur pour l'entreprise qui avait déjà défrayé la chronique cet été quand on a découvert qu'elle ne reversait pas les pourboires à qui de droit mais retirait le montant de la somme qu'elle versait au livreur en guise de rémunération. De facto le client donnait son pourboire à l'entreprise.
Devant le tollé, elle a changé sa politique.
DoorDash, fondé en 2013 par Tony Xu et deux autres étudiants de l'université de Stanford, est présente dans quelque 4.000 villes aux Etats-Unis et au Canada.
Elle est en féroce compétition avec GrubHub et Uber Eats.