La startup de viajes compartidos para estudiantes HopSkipDrive ha confirmado una violación de datos que involucra los datos personales de más de 155.000 conductores.
HopSkipDrive, con sede en Los Ángeles, ofrece un servicio de viaje compartido estilo Uber para niños y adolescentes. La startup, que ha recaudado al menos 90 millones de dólares desde su fundación en 2014, se asocia con distritos escolares para transportar a los estudiantes que viven fuera de las rutas tradicionales de autobús o que necesitan ayuda adicional para llegar a la escuela.
En una presentación ante el fiscal general de Maine la semana pasada, HopSkipDrive confirmó que había experimentado un incidente de ciberseguridad en junio que resultó en una violación de datos que afectó a 155,394 conductores. HopSkipDrive dijo que los datos robados incluían nombres, direcciones postales y de correo electrónico, números de licencia de conducir y otros números de tarjetas de identificación que no son de conductor.
El portavoz de HopSkipDrive, Campbell Millum, dijo a TechCrunch que los afectados incluyen «personas que conducen en nuestra plataforma o que solicitaron conducir en nuestra plataforma». Millum agregó que durante la infracción no se accedió a datos de empleados o clientes.
La compañía confirmó a TechCrunch que descubrió la infracción por primera vez el 12 de junio de 2023, cuando «descubrió actividad sospechosa en ciertas aplicaciones de terceros utilizadas por nuestra organización». La empresa se negó a nombrar las aplicaciones comprometidas.
En una carta enviada a los afectados, HopSkipDrive dijo que se dio cuenta del problema por primera vez después de recibir un correo electrónico de un actor de amenazas desconocido.
Cuando TechCrunch preguntó por qué la empresa tardó meses en notificar a los conductores afectados, el portavoz de HopSkipDrive rechazó las afirmaciones de un retraso en las comunicaciones de la empresa y añadió que la empresa notificó por primera vez a las personas afectadas en la primera semana de julio y ha «continuado las comunicaciones desde entonces».
«Iniciamos rápidamente una investigación, contratamos a expertos para que nos ayudaran a evaluar el alcance del incidente y tomamos medidas para mitigar el impacto potencial en nuestra comunidad», se lee en la carta enviada a los conductores afectados. «Una investigación forense de terceros determinó que el incidente ocurrió entre el 31 de mayo de 2023 y el 10 de junio de 2023».
HopSkipDrive dijo que está «comprometido a fortalecer la seguridad de nuestros sistemas para evitar que vuelva a ocurrir un evento similar en el futuro», pero no dio más detalles sobre qué salvaguardas adicionales está implementando.
TechCrunch preguntó a HopSkipDrive, cuya página de liderazgo no incluye un director de seguridad, si tiene un ejecutivo de la empresa dedicado a manejar la ciberseguridad en la empresa. HopSkipDrive dijo que cuenta con «expertos en seguridad de la información tanto en nuestro equipo legal como en nuestro equipo tecnológico».