Gaming Club
Regístrate
españaESPAÑAméxicoMÉXICOusaUSA
Betech
Ciencia y tecnología

Decathlon España pirateada: filtrados los datos de trabajadores, tiendas y clientes

La división española de la minorista deportiva ha sido hackeada y han expuesto los datos de sus trabajadores.

Cesar Otero
Decathlon España pirateada: filtrados los datos de trabajadores, tiendas y clientes

Fundada en 1976 y con su sede en el Norte de Francia, Decathlon es una de las cadenas de productos deportivos más conocidas, con un total de 93.000 empleados repartidos en 49 tiendas por todo el mundo, incluyendo en países como Reino Unido y España. Y es precisamente la división española la que ha sido protagonista hoy por haber sufrido una grave brecha de seguridad grave que ha expuesto más de 123 millones de registros.

Brecha de seguridad en Decathlon

El equipo de investigación de ciberseguridad vpnMentor descubrió una base de datos activa con más de 123 millones de registros y más de 9 GB de tamaño en un servidor de ElasticSearch, perteneciente a Decathlon España (y posiblemente también a Decathlon Reino Unido). Según vpnMentor, “la base de datos filtrada de Decathlon España contiene un verdadero tesoro de datos de empleados y más. Tiene todo lo que un hacker malintencionado, en teoría, necesitaría usar para hacerse cargo de las cuentas y acceder a información privada e incluso propietaria”.

Normalmente, en un fallo de seguridad de este tipo sólo suelen filtrarse los datos de los clientes registrados en la base de datos de la compañía. Pero la brecha de Decathlon ha revelado también registros de sus propios empleados. Estos son los datos que han sido comprometido:

  • Los nombres de usuario de los empleados
  • Contraseñas no encriptadas
  • Registros de la API
  • Nombre de usuario de la API y contraseña no encriptada
  • Los números de la seguridad social
  • Nombres completos
  • Nacionalidades
  • Números de teléfono móvil
  • Direcciones completas
  • Fechas de nacimiento
  • Educación
  • Direcciones de correo electrónico del trabajo
  • Información sobre el contrato de trabajo
  • Horas de trabajo
  • Ubicación
  • Calificaciones
  • Período de contrato
  • Roles
  • El correo electrónico del cliente y la información de acceso, sin codificar
  • Direcciones IP privadas

Ningún dato bancario filtrado

Localizada por vpnMentor el pasado 12 de febrero, la brecha sucedió en un servidor de libre acceso, sin ningún tipo de contraseña, fue notificada a Decathlon el 16 de febrero, y la minorista cerró esa base de datos al día siguiente, 17 de febrero. Desde Decathlon España aseguran que "este incidente no ha afectado a datos sensibles. Según nuestros análisis, de la totalidad de datos expuestos en el incidente, solo el 0,03% son datos de usuarios, y el 99,97% restantes son datos técnicos internos".

La compañía asegura que la seguridad de sus sistemas informáticos "es una prioridad para Decathlon", y que el incidente compartido por vpnMentor "fue solucionado de forma inmediata". "En ningún caso se han visto afectados ni contraseñas, ni números de tarjetas de crédito, ni información personal sensible", reiteran.