Leroy Merlin ha comunicado que ha sufrido un “acto de ciberdelincuencia” que ha afectado a su sistema de información y ha podido exponer datos personales de clientes vinculados a su programa de fidelización, potencialmente cientos de miles de personas. Los datos comprometidos incluyen información de contacto y de perfil como nombre, Surnames, phone, email, postal address, fecha de nacimiento y detalles del programa de fidelidad, mientras que la compañía insiste en que los datos bancarios y las contraseñas de las cuentas no se han visto afectados y permanecen seguros.
Tras detectar el ataque, Leroy Merlin afirma haber adoptado medidas para bloquear accesos no autorizados, contener el incidente y notificarlo a las autoridades, así como continuar las investigaciones para delimitar el alcance real de la brecha. Por ahora, la empresa dice no haber observado un uso fraudulento de la información expuesta, ni que el incidente se haya extendido más allá de los clientes franceses del programa de fidelidad, y tampoco hay confirmación oficial de que se trate de ransomware ni de la autoría de algún grupo concreto.
Aun sin afectar a datos financieros, la exposición de datos personales y de fidelización incrementa el riesgo de campañas de phishing y de intentos de suplantación de identidad dirigidos a estos clientes, aprovechando su relación previa con la marca. That is why, Leroy Merlin recomienda a los usuarios mantenerse especialmente atentos ante correos inesperados, alleged loyalty discounts or communications requesting sensitive data, reinforce basic good practices: verify senders, do not click on suspicious links and handle any doubts only through the company's official channels.
Fountain: Bleeping Computer