Brecha de seguridad en Decathlon España: 123 millones de registros hackeados

La firma de material deportivo Decathlon España ha sufrido una brecha de seguridad, que ha supuesto el hackeo de 123 millones de registros alojados en un servidor de su propiedad.

Tal y como señala la organización de consumidores FACUA, la brecha fue descubierta por la compañía de ciberseguridad vpnMentor, que la comunicó a la firma Decathlon el pasado 16 de febrero. En principio se cree que el hackeo afecta a la compañía de material deportivo en su sede de España y posiblemente en Reino Unido, aunque según los descubridores “puede afectar a otras localizaciones”.

En concreto esta brecha de seguridad ha expuesto un total de 123 millones de registro que ocupan 9GB. Según ha señalado Decathlon a la agencia de noticias Europa Press, esta brecha “no ha afectado a datos sensibles”. Según los análisis realizados, solo el 0,03% de los datos expuesto son de usuarios, frente al 99,97% que son datos técnicos internos. Además, han remarcado que ya se ha puesto solución al problema.

Los datos expuestos de Decathlon

El diario deportivo AS señala que los datos hackeados son: “los nombres de usuario de los empleados, contraseñas no encriptadas, registros de la API, nombre de usuario de la API y contraseña no encriptada, los números de la seguridad social, nombres completos, nacionalidades, números de teléfono móvil, direcciones completas, fechas de nacimiento, educación, direcciones de correo electrónico del trabajo, información sobre el contrato de trabajo, horas de trabajo, ubicación, calificaciones, período de contrato, roles, el correo electrónico del cliente y la información de acceso, sin codificar, direcciones IP privadas”.

Datos que si caen en manos de ciberdelincuentes, según indica FACUA en su comunicado, citando fuentes de vpnMentor pueden usarse para “realizar ataques de phishing (suplantación de la identidad de una fuente legítima), espionaje corporativo o robo de identidad. También puede dar lugar a amenazas físicas a los afectados, dado que se ha filtrado el lugar de trabajo y el domicilio”.

Normativa sobre brechas de seguridad

Desde la entrada en vigor del Reglamento Europeo de Protección de Datos en mayo de 2018, es obligatorio para los responsables del tratamiento de datos personales, informar de las brechas de seguridad sufridas. Concretamente, la Ley establece un plazo máximo de 72 horas desde que es detectada e identificada la brecha. En ese plazo se debe comunicar la incidencia a la Agencia Española de Protección de Datos.

Es indispensable documentar todo el proceso de análisis y detección, identificación, con el fin de que la Agencia dictamine que se ha actuado correctamente y por tanto no supone sanción alguna. En caso de no haberse tomado las precauciones necesarias o no haber cumplido con el Reglamento, si cabe sanción.

En Cumple Protección de Datos podemos guiarte y asesorarte para cumplir con la normativa nacional y europea en materia de Protección de Datos. Solicita presupuesto sin compromiso.

Esta entrada fue publicada en Protección de Datos y etiquetada , , , , . Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.