Dernières nouvelles

La startup Mercato a répandu des années de données, mais ne l’a pas dit à ses clients

La startup Mercato a répandu des années de données, mais ne l a pas dit à ses clients

Un manque de sécurité dans la start-up de livraison d’épicerie en ligne Mercato a révélé des dizaines de milliers de commandes de clients.

Une personne proche de l’incident a déclaré que l’incident s’était produit en janvier après que l’un des compartiments de stockage cloud de l’entreprise, hébergé sur le cloud d’Amazon, ait été laissé ouvert et sans protection.

La société a corrigé le déversement de données, mais n’a pas encore alerté ses clients.

Mercato a été fondée en 2015 et aide plus d’un millier de petits épiciers et magasins d’alimentation spécialisée à se connecter en ligne pour le ramassage ou la livraison, sans avoir à s’inscrire à des services de livraison comme Instacart ou Amazon Fresh. Mercato opère à Boston, Chicago, Los Angeles et New York, où la société a son siège.

L’ensemble de données contenait plus de 70000 commandes datant de septembre 2015 à novembre 2019, et comprenait les noms et adresses e-mail des clients, les adresses personnelles et les détails de la commande. Chaque enregistrement contenait également l’adresse IP de l’utilisateur de l’appareil utilisé pour passer la commande.

L’ensemble de données comprenait également les données personnelles et les détails de commande des dirigeants de l’entreprise.

On ne sait pas exactement comment la faute de sécurité s’est produite puisque les seaux de stockage sur le cloud d’Amazon sont privés par défaut, ou lorsque l’entreprise a appris l’exposition.

Les entreprises sont tenues de divulguer les violations de données ou les manquements à la sécurité aux procureurs généraux des États, mais aucun avis n’a été publié là où la loi l’exige, comme en Californie. L’ensemble de données comptait plus de 1 800 résidents en Californie, soit plus de trois fois le nombre nécessaire pour déclencher une divulgation obligatoire en vertu des lois de l’État sur la notification des violations de données.

On ne sait pas non plus si Mercato a divulgué l’incident aux investisseurs avant son augmentation de 26 millions de dollars en série A au début du mois. Velvet Sea Ventures, qui a mené la ronde, n’a pas répondu aux e-mails demandant des commentaires.

Dans un communiqué, le directeur général du Mercato, Bobby Brannigan, a confirmé l’incident mais a refusé de répondre à nos questions, citant une enquête en cours.

«Nous menons un audit complet en utilisant un tiers et nous contacterons les personnes concernées. Nous sommes convaincus qu’aucune donnée de carte de crédit n’a été consultée car nous ne stockons pas ces informations sur nos serveurs. Nous informerons en permanence tous les organismes et parties prenantes faisant autorité, y compris les investisseurs, des conclusions de notre audit et des mesures nécessaires pour remédier à cette situation », a déclaré Brannigan.

Tags