jueves, 27 de febrero de 2020

Decathlon España reconoce que una brecha de seguridad dejó expuestos los datos de más de 36 mil clientes


     Una brecha de seguridad en un servidor de Decathlon España ha dejado desprotegida una base de datos con información de tiendas, empleados y cliente. Según la investigación realizada por parte de la empresa de ciberseguridad israelí vpnMentor, se han visto expuestos 123 millones de registros.

Según los investigadores, este conjunto de datos contiene todo tipo de información privada, desde nombre de usuarios de los empleados y contraseñas sin cifrar, a sus números de seguridad social y de teléfono, etc. Decathlon afirma que no se ha visto expuesta información sensible y asegura que este fallo solo ha afectado a la compañía en España.

En un comunicado publicado este martes, Decathlon asegura que el 99,97% son datos técnicos internos y el 0,03% restante son de clientes de My Decathlon. Según la compañía, este 0,03% afecta a 36.704 clientes. Indicaron que, en ningún caso se ha extraído información ni se han filtrado números de tarjetas de crédito, contraseñas, números de cuenta u otros detalles sensibles.

Los investigadores que han descubierto el fallo afirman que, la base de datos de Decathlon España contiene un verdadero tesoro de información de empleados. Detallan que se han encontrado más de 20 tipos diferentes de datos. Además de los ya citados, indican que también se han hecho públicas las horas laborales de los empleados, el periodo de contrato o sus roles en la empresa, correos electrónicos de clientes e información de inicio de sesión sin cifrar, tanto de compradores como administradores.

También explican que con las claves de acceso de los administradores, un ciberdelincuente podría obtener información confidencial sobre tiendas, inventarios, empleados y clientes. 

En esta ocasión, se descubrió la brecha como parte de un enorme proyecto de mapeo web en busca de agujeros de seguridad

Los expertos de ciberseguridad descubrieron el fallo el pasado 12 de febrero. Se lo notificaron a Decathlon cuatro días más tarde. La compañía cerró la base de datos un día después, el 17 de febrero, y ha tomado medidas. Entre ellas afirma, haber solicitado el apoyo externo a dos proveedores especializados para corroborar el buen estado de seguridad de sus sistemas. También está realizando un análisis exhaustivo para intentar que este incidente no se vuelva a producir.

No hay comentarios:

Publicar un comentario