Ha sido descubierta una brecha de seguridad en Decathlon España

La ciberseguridad es un tema que cada vez da más de que hablar y, en este caso, las últimas noticias relacionadas al tópico tienen que ver con una brecha de seguridad encontrada en un servidor de Decathlon España que ha dejado en estado de vulnerabilidad la información de sus tiendas, clientes y empleados.

Concretamente, la información ha sido proporcionada por la empresa VPNMentor, especializada en ciberseguridad, quienes han informado que durante este incidente han quedado expuestos aproximadamente más de 123 millones de registros del portal por tiempo indefinido.

Los datos expuestos superan los 9GB

Eso sí, las investigaciones del departamento de IT asegura que solamente el 0,03% de los datos que estuvieron expuestos corresponden a información de sus clientes, lo que podría llegar a afectar directamente a 36.704 clientes.

El otro 99,97% de datos del servidor corresponden a datos técnicos internos de esta empresa que se dedica al comercio de indumentaria y material deportivo.

Más allá de eso, la empresa tampoco ha confirmado que se han puesto en contacto con los posibles usuarios afectados por la brecha de seguridad. Sin embargo, si fueron tajantes al asegurar que en ninguno de los casos se ha extraído la información ni se han filtrado los números de tarjetas de crédito, contraseñas, cuenta bancaria ni ningún dato de información personal relevante para sus clientes.

Los investigadores no dan crédito a la versión de los empleados de Decathlon España

En la otra cara de la moneda, a pesar de que los empleados de Decathlon España aseguran que ningún tipo de información personal se ha visto vulnerada por la brecha de seguridad, los investigadores de VPNMentor no se creen esa versión de los hechos.

Según dichos investigadores, la base de datos vulnerada es un auténtico tesoro de información acerca de los propios empleados, siendo este el grueso de personas afectadas por el problema de seguridad.

En concreto, la información expuesta contendría 20 tipos diferentes de datos entre los que se incluyen sus horarios laborales, el tipo de contrato bajo el que laboran en la empresa y los roles que cumplen dentro de la misma.

Además, aparentemente los atacantes también tuvieron acceso a los correos electrónicos de personal y clientes, además de la información de inicio de sesión en la plataforma sin cifrar, lo que representaría un verdadero peligro para Decathlon.

Aún no se tiene conocimiento de la escala real del problema

Por si fuera poco, este grupo de informáticos aseguró haber accedido a la base de datos de Decathlon al estar completamente desprotegida y sin ningún tipo de encriptación, aunque no se aventuraron a calificar la magnitud del incidente.

Eso sí, el incidente marcará otro precedente para que las empresas y páginas en internet le presten más atención al tema de la protección de los datos del usuario.

En otros sectores se toman más en serio lo relativo a ciberseguridad: empresas de apuestas como Leo Vegas cuentan con un estructurado equipo que se encarga de velar por la privacidad de los datos de sus usuarios, siendo este uno de los principales componentes para establecer confianza entre la página y sus clientes.

Regresando al tema de Decathlon, en dichos registros se encontraba una gran cantidad de información personal fácilmente identificable según estos investigadores. Sin embargo, aclararon que no observaron ni analizaron todos los registros por razones de ética.

En su contraparte, Decathlon España ha declarado que el incidente sólo ha representado un problema de exposición de los datos, más no de extracción y manipulación de los mismos por parte de terceros.

No obstante, los datos expuestos representan información valiosísima para cualquier persona u organización malintencionada que desee lanzar ataques de phishing a los clientes de Decathlon, ya que tendrían la posibilidad de conocer su nombre completo, fecha de nacimiento, número de cuenta bancaria, datos de inicio de sesión en la plataforma, entre otros datos personales.