TechCrunch a appris qu’une faille de sécurité dans la start-up de livraison de produits d’épicerie en ligne Mercato a révélé des dizaines de milliers de commandes de clients.

Une personne au courant de l’incident a déclaré à TechCrunch que l’incident s’est produit en janvier après que l’un des compartiments de stockage cloud de l’entreprise, hébergé sur le cloud d’Amazon, ait été laissé ouvert et sans protection.

La société a corrigé le déversement de données, mais n’a pas encore alerté ses clients.

Mercato a été fondée en 2015 et aide plus d’un millier de petits épiciers et magasins d’alimentation spécialisés à se connecter en ligne pour le ramassage ou la livraison, sans avoir à s’inscrire à des services de livraison comme Instacart ou Amazon Fresh. Mercato opère à Boston, Chicago, Los Angeles et New York, où la société a son siège.

TechCrunch a obtenu une copie des données exposées et a vérifié une partie des enregistrements en faisant correspondre les noms et adresses avec les comptes existants connus et les registres publics. L’ensemble de données contenait plus de 70000 commandes datant de septembre 2015 à novembre 2019, et comprenait les noms et adresses e-mail des clients, les adresses personnelles et les détails de la commande. Chaque enregistrement contenait également l’adresse IP de l’utilisateur de l’appareil utilisé pour passer la commande.

L’ensemble de données comprenait également les données personnelles et les détails de commande des dirigeants de l’entreprise.

On ne sait pas exactement comment la faute de sécurité s’est produite puisque les seaux de stockage sur le cloud d’Amazon sont privés par défaut, ou lorsque l’entreprise a appris l’exposition.

Les entreprises sont tenues de divulguer les violations de données ou les manquements à la sécurité aux procureurs généraux des États, mais aucun avis n’a été publié là où la loi l’exige, comme en Californie. L’ensemble de données comptait plus de 1 800 résidents en Californie, soit plus de trois fois le nombre nécessaire pour déclencher une divulgation obligatoire en vertu des lois de l’État sur la notification des violations de données.

On ne sait pas non plus si Mercato a divulgué l’incident aux investisseurs avant son augmentation de 26 millions de dollars en série A au début du mois. Velvet Sea Ventures, qui a mené la ronde, n’a pas répondu aux e-mails demandant des commentaires.

Dans un…

Voir la source de cette publication