Hackeo a Decathlon: 123 millones de datos han sido filtrados

Grave hackeo el que ha sufrido la empresa francesa Decathlon. Hoy se ha conocido que la compañía sufrió una brecha de seguridad en la que se han visto expuestos 123 millones de registros, incluyendo todo tipo de datos personales que permiten a quien los tenga en su poder suplantar la identidad de los afectados.

La compañía que ha revelado el hackeo ha sido vpnMentor, que afirma que la filtración de datos afecta a un servidor de Decathlon España, y que también podría haber afectado a la red de la cadena en Reino Unido. La compañía descubrió el hackeo el 12 de febrero, y lo notificó a la empresa cuatro días después de haber analizado los datos.

decathlon hackeo

En total, hay unos 9 GB de datos que incluyen datos muy sensibles. Este tipo de datos, en manos de hackers, pueden generar una gran cantidad de problemas, ya que por ejemplo pueden lanzar ataques de phishing a los usuarios cuyo correo electrónico tengan y hacerse pasar por Decathlon, pudiendo robarles más datos como sus contraseñas o tarjetas bancarias. También pueden sufrir suplantaciones de identidad los propios usuarios o amenazas físicas, ya que tienen sus direcciones y lugares de trabajo.

Usuarios, contraseñas, teléfonos, emails: filtrados todo tipo de datos de Decathlon

Decathlon España afirma que los datos que se han filtrado no son sensibles, y que “sólo el 0,03% son datos de usuarios, mientras que el 99,97% restante pertenece a datos técnicos a nivel interno”. También se han apresurado en aclarar que ningún dato personal de clientes como contraseñas, números de tarjetas de crédito u otros datos se han visto afectados.

vpnMentor, por el contrario, afirma que los datos que han analizado sí incluyen usuarios y contraseñas sin cifrar de los empleados, número de la Seguridad Social, números de teléfono, direcciones, nombres completos, nacionalidades, fechas de nacimiento, nivel de estudios, correos corporativos, cargos en la empresa, tiempo en la empresa, direcciones de correo de clientes, etc. Los datos estaban alojados en un servidor de ElasticSearch, el cual era de libre acceso sin ningún tipo de contraseña segura.

También hay cuentas de administradores sin proteger

Además, también han encontrado logins de administradores sin cifrar, y si no se apresuran en cambiarlos, un atacante podría acceder con estas credenciales y obtener información confidencial sobre tiendas, empleados y clientes de la cadena.

La clave del asunto radica también en si Decathlon informó a las autoridades de protección de datos del caso, ya que según el Reglamento General de Protección de Datos (RGPD), es necesario notificar a las autoridades 72 horas después de conocer la brecha de seguridad, y si Decathlon se enteró el 16 de febrero, han pasado más días de lo permitido. El servidor con los datos fue cerrado el 17 de febrero.

Más allá de Decathlon España y Decathlon Reino Unido, es posible que también haya más localizaciones afectadas. No se sabe todavía si entre los datos hackeados se encuentran también datos de las tarjetas del Decathlon Club que la cadena pone a disposición de los usuarios para beneficiarse de descuentos y otras ventajas.