Decathlon España se enfrenta a un importante reto digital. Una brecha de seguridad ha expuesto de un solo golpe a más de 123 millones de registros de un servidor propiedad de la empresa, con datos de tiendas, empleados y usuarios, aunque desde la compañía aseguran que no ha afectado a información personal sensible.
La compañía de ciberseguridad vpnMentor ha identificado una filtración de datos que se corresponde con un servidor vinculado a Decathlon España, y puede que también a Decathlon Reino Unido.
El descubrimiento se realizó el 12 de febrero, por parte del equipo de seguridad que dirigen de Noam Rotem y Ran Locar, y se notificó a Decathlon cuatro días después de los hallazgos, tras su análisis.
Un “verdadero tesoro”
La filtración contiene «un verdadero tesoro» de datos, según vpnMentor, entre los que los investigadores de pudieron «encontrar y verificar» usuarios y contraseñas sin encriptar de empleados, números de la Seguridad Social, teléfonos móviles, direcciones, periodos de contratación y correos de clientes, entre otros.
En total, más de 123 millones de registros, que ocupan 9GB, y que se corresponden con Decathlon España, «con una fuerte posibilidad de que incluya información de Decathlon Reino Unido también». No descartan que haya más localizaciones afectadas.
Esta brecha de información, como explican desde vpnMentor, en manos de cibercriminales puede ser usada para realizar ataques de ‘phishing’ -suplantación de la identidad de una fuente legítima-, espionaje corporativo o robo de identidad. También puede dar lugar a amenazas físicas a los afectados, dado que se ha filtrado el lugar de trabajo y el domicilio.
Bajo control
Desde Decathlon España han asegurado que «este incidente no ha afectado a datos sensibles». «Según nuestros análisis, de la totalidad de datos expuestos en el incidente, solo el 0,03% son datos de usuarios, y el 99,97% restantes son datos técnicos internos», detallan.
La compañía asegura que la seguridad de sus sistemas informáticos «es una prioridad para Decathlon», y que el incidente compartido por vpnMentor «fue solucionado de forma inmediata». «En ningún caso se han visto afectados ni contraseñas, ni números de tarjetas de crédito, ni información personal sensible», reiteran.
