Работниците в Shipt Gig са изправени пред вълна от хакове

От 10 юни служители на концерти в цялата страна, които работят в платформата Shipt за доставка, притежавана от Target, съобщават за натиск от хакове, насочени към техните акаунти, които са довели до загуба на до три дни на приходи.

Сега Shipt потвърди пред Motherboard, че платформата за доставка е била атакувана от хакери, които получават имейли и пароли на служителите на концерти другаде, за да проникнат в акаунтите на служителите на концерти и да откраднат доходите им.

„Shipt наскоро откри външно усилие да се опита да използва имейли и пароли, получени другаде, за да се опита да получи достъп до акаунти на купувачи“, каза Даниел Шуман, говорител на Shipt, пред Motherboard. „Искаме да сме ясни, че това не е нарушение на системите на Shipt. Ние приемаме сигурността на данните много сериозно и действахме бързо и задълбочено, за да защитим купувачите и техните акаунти.“

В частни Facebook групи Motherboard прегледа публикации от 20 служители на концерти, които твърдяха, че са получили имейл за повторно задаване на парола или са били заключени от акаунтите си в Shipt от 10 юни. Някои съобщават, че са откраднати доходи, но основният проблем за много работници е, че са бяха заключени от основния си източник на доходи в продължение на дни, защото Shipt временно затвори техните акаунти. Някои работници все още чакат акаунтите им да бъдат активирани отново.

„Побесняла съм“, каза пред Motherboard Лин Лейнг, купувач на Shipt в Хънтсвил, Алабама, чийто акаунт беше деактивиран във вторник, след като някой се опита да добави нова дебитна карта. „Веднага след като предложиха двуфакторно удостоверяване, го получих. Направих всичко, за да запазя акаунта си в безопасност.“

„Те не са изпратили никакво съобщение за цялата компания за това“, продължи тя. „Въпросът ми към Shipt е как ще ни компенсират загубените ни заплати? Защото в момента не печеля нищо. Много от нас разчитат на Shipt като единствен източник на доходи.“

Shipt, нарастващ конкурент на платформата за доставка на хранителни стоки Instacart, има приблизително 300 000 служители в концерти в Съединените щати.

Шуман, говорителят на Shipt, каза, че по-голямата част от служителите на концерти, които са получили имейла за нулиране на паролата си, са били неактивни купувачи или са съвсем нови в платформата и все още не са пазарували.

„Като превантивна мярка, ние временно деактивирахме тези акаунти, като осъзнахме, че е по-малко вероятно тези лица да наблюдават внимателно своите акаунти“, каза Шуман. „Купувачите, които са били деактивирани в този процес, могат да се свържат с екипите за поддръжка, за да активират отново своите акаунти.“

Shipt казва на работниците, че трябва да включат двуфакторно удостоверяване и да потърсят в уебсайта haveibeenpwned.com, за да видят дали техните имейли са били част от нарушения на данните. Не изглежда да има някакво конкретно нарушение в Shipt. Въз основа на това, което Shipt каза за хаковете, изглежда, че или работниците използват повторно идентификационни данни за вход, които са били хакнати от други услуги, или техните имейл акаунти са хакнати, което би позволило на хакерите да променят паролата на Shipt на целта и да влязат в техния акаунт . Дънната платка е видяла публикации в хакерски форуми, които твърдят, че са направили „конфигурационни“ файлове за Shipt акаунти, което би позволило на хакерите бързо да преминат през голям брой идентификационни данни за вход. Няма доказателства, които да показват, че това е начинът, по който се е случила настоящата вълна от хакове, но показва, че хакерите са заинтересовани да се насочат към купувачите на Shipt.

„Видях това да се случва на 10 различни хора през последните няколко дни“, каза пред Motherboard служител на концерт в Лос Анджелис, чийто акаунт беше деактивиран на 10 юни. 'Ядосан съм, защото подобни неща продължават да се случват. Не можех да работя в петък или уикенда. Това е основният ми източник на доходи.'

Тя е настроила двуфакторно удостоверяване и е получила имейл късно през нощта на 10 юни с връзка за възстановяване на паролата си, според документацията, предоставена на Motherboard.

Служителката казва, че не се е опитвала да нулира паролата си - и е била наясно с продължаващите измами, така че незабавно се е свързала с Shipt, който деактивира акаунта й за три пълни дни, включително петък, един от най-натоварените й дни.

Инцидентите предизвикаха гняв към Shipt от служители на концерти специално за нова опция за плащане на всички акаунти, която позволява на работниците и всеки, който получи достъп до техните акаунти, възможността да теглят незабавно. Концертните работници, които са особено уязвими поради статуса си на независими изпълнители, са станали редовни цели на фишинг измами и хакване по време на пандемията на платформи като Пощенски служители и Instacart .

В най-новите случаи служителите на концерти са разбрали за хаковете, когато получават имейли за повторно задаване на парола или имейли, уведомяващи ги, че информацията им за изплащане е променена, често късно през нощта. В други случаи служителите на концерти се опитват да влязат в своите акаунти, за да разберат, че паролите им са променени.

Много работници онлайн твърдят, че хакери са изтеглили всичките им заплати, използвайки функцията за незабавно теглене на Shipt, и докато Shipt обеща да им възстанови сумата, фиаското от повторното отваряне на сметката им все още ги върна към няколко дни приходи.

За разлика от други скорошни схеми, които нападат служители на концерти , включително тези в Шипт и Postmates, където измамници фишират за пароли и идентификационни данни за влизане по телефона, служителите на Shipt, чиито акаунти са били компрометирани през последните дни, казват, че не са се свързвали с измамници и в много случаи са имали настроено двуфакторно удостоверяване, за да предотвратят акаунт кражба.

„Силно насърчаваме нашите купувачи винаги да използват уникални комбинации от имейл и парола и да активират двуфакторно удостоверяване в приложението Shipt Shopper“, каза Шуман, говорител на Shipt. „Ние редовно напомняме на купувачите, че това са критични стъпки, които те могат и трябва да предприемат.“

Джоузеф Кокс допринесе за докладване.