Una brecha de seguridad en un servidor de Decathlon España
ha dejado desprotegida una base de datos con información de tiendas, empleados
y cliente. Según la investigación realizada por parte de la empresa de ciberseguridad israelí
vpnMentor, se han visto expuestos 123 millones de registros.
Según los
investigadores, este conjunto de datos contiene todo tipo de información
privada, desde nombre de usuarios de los empleados y contraseñas sin cifrar, a
sus números de seguridad social y de teléfono, etc. Decathlon afirma que no se ha
visto expuesta información sensible y asegura que este fallo solo ha afectado a
la compañía en España.
En un comunicado publicado este martes, Decathlon asegura que
el 99,97% son datos técnicos internos y el 0,03% restante son de clientes de My
Decathlon. Según la compañía, este 0,03% afecta a 36.704 clientes. Indicaron que, en ningún caso se ha extraído información ni se han filtrado números
de tarjetas de crédito, contraseñas, números de cuenta u otros detalles
sensibles.
Los investigadores que han descubierto el fallo afirman que, la
base de datos de Decathlon España contiene un verdadero tesoro de información
de empleados. Detallan que se han encontrado más de 20 tipos
diferentes de datos. Además de los ya citados, indican que también se han hecho
públicas las horas laborales de los empleados, el periodo de contrato o sus
roles en la empresa, correos electrónicos de clientes e información de inicio
de sesión sin cifrar, tanto de compradores como administradores.
También explican que con las claves de acceso de
los administradores, un ciberdelincuente podría obtener información
confidencial sobre tiendas, inventarios, empleados y clientes.
En esta ocasión, se descubrió la brecha como parte de un
enorme proyecto de mapeo web en busca de agujeros de seguridad
Los expertos de ciberseguridad descubrieron el fallo el
pasado 12 de febrero. Se lo notificaron a Decathlon cuatro días más tarde. La
compañía cerró la base de datos un día después, el 17 de febrero, y ha tomado
medidas. Entre ellas afirma, haber solicitado el apoyo externo a dos
proveedores especializados para corroborar el buen estado de seguridad de sus
sistemas. También está realizando un análisis exhaustivo para intentar que este
incidente no se vuelva a producir.