2025年11月17日,据TechCrunch报道,外卖平台DoorDash正式确认发生数据泄露事件。此次泄露影响了数量未明确的用户,包括消费者、配送员及商家,导致用户姓名、电子邮箱地址、手机号码和物理地址等个人信息被非法获取。不过DoorDash强调,目前尚无证据表明这些数据被用于欺诈或身份盗窃,且敏感信息未被泄露。
泄露信息范围明确:敏感金融数据未受影响
根据DoorDash上周发布的公告,此次数据泄露中,未授权第三方获取的信息集中在非敏感个人信息范畴,具体包括用户姓名、电子邮箱地址、手机号码以及物理地址。值得庆幸的是,平台明确表示,用户的社会保障号码、其他政府签发的身份证明文件编号、驾照信息,以及银行账户或支付卡信息等核心敏感数据未被窃取,这在一定程度上降低了用户遭遇财产损失或深度身份盗用的风险。
尽管如此,手机号与物理地址的泄露仍可能给用户带来困扰。例如,不法分子可能利用这些信息实施精准骚扰、诈骗诱导,或结合其他公开信息拼凑用户完整个人档案,对用户隐私造成潜在威胁。目前,DoorDash尚未回应媒体关于“具体受影响用户数量”的问询,仅表示已向确认受影响的用户发送了通知。
事件起因:员工遭遇社会工程学攻击
DoorDash在公告中披露,此次数据泄露的根源并非平台系统存在重大技术漏洞,而是一名员工遭遇了社会工程学攻击。社会工程学攻击通常指攻击者通过欺骗、诱导等非技术手段,获取受害者信任并套取敏感信息或权限,此次事件中,黑客正是通过这种方式突破了DoorDash的安全防线,获取了访问平台内部系统的权限。
在发现数据泄露后,DoorDash迅速采取应对措施:第一时间切断了黑客对系统的访问权限,防止信息进一步泄露;随即启动内部调查,追溯事件全貌与信息泄露范围;同时已将此次事件上报至相关执法部门,寻求官方协助。不过,平台未透露调查的具体进展,也未说明是否已对涉事员工进行相应处理或加强内部安全培训。
用户需警惕后续风险,平台安全措施待完善
对于此次数据泄露,安全专家提醒受影响用户提高警惕:一方面,需留意陌生来电、短信及邮件,避免轻信以“订单异常”“账户安全”为由的诈骗信息,切勿随意点击不明链接或提供验证码;另一方面,可定期检查个人银行账户、支付平台的交易记录,及时发现并拦截异常交易。若收到DoorDash的官方通知,应按照指引查看自身信息是否泄露,并根据建议采取防护措施。
此次事件也暴露了外卖平台在员工安全管理方面的漏洞。作为高频处理用户个人信息的平台,DoorDash不仅需强化系统技术安全,更应加强员工安全意识培训,提升对社会工程学攻击的识别与防范能力,从源头降低数据泄露风险。目前,外界仍在关注DoorDash后续是否会公布更详细的调查结果,以及是否会推出针对性的用户安全保障措施。
