Una de las Bases de datos de clientes de la marca deportiva Decathlon ha sido filtrada
Con sus cajas registradoras automáticas, terminales interactivos, robots de inventario…, el fabricante de equipamiento deportivo ha apostado por la alta tecnología, pero no parece haber integrado aún plenamente la noción de ciberseguridad. Esta es, en cualquier caso, la observación hecha por los investigadores de seguridad de vpnMentor. Acá esta el comunicado oficial de Decathlon al respecto.
Según la información disponible en su sitio web, la filtración se refiere principalmente a la rama española de Decathlon, pero la base de datos también podría contener información del Reino Unido. Los investigadores descubrieron los datos en un servidor web no seguro sin encriptación o incluso sin protección de contraseña. Un simple navegador era todo lo que se necesitaba para ver todos los datos de los clientes y empleados.
Una base de datos no encriptada de libre acceso
Decathlon expuso así el nombre de usuario y la contraseña no encriptados de los clientes de la tienda. Por el lado de los empleados, el caso es mucho más serio. Los investigadores pudieron acceder no sólo a los identificadores y las contraseñas, sino también a una gran cantidad de información personal, como el lugar y el horario de trabajo, sus contratos, direcciones postales y de correo electrónico y números de teléfono. Peor aún, la base de datos también contenía las contraseñas de las cuentas de los administradores, de nuevo sin ningún tipo de cifrado.
Además del acceso a las cuentas de los clientes, esta cantidad de información podría permitir a personas malintencionadas hacerse pasar por empleados. Más seriamente, con esta base de datos, los clientes descontentos podrían identificar a los empleados y atacarlos físicamente. vpnMentor descubrió la fuga el 12 de febrero, y alertó a Decathlon el 16 de febrero. Sin comunicarse sobre el tema, la marca bloqueó el acceso a la base de datos al día siguiente.