La popular cadena de artículos deportivos Decathlon ha sido "pillada" con una base de datos mal configurada, lo que habría permitido a cualquier atacante acceder a los datos de los usuarios de su red.
Es el descubrimiento de los investigadores de vpnMentor, que han podido asociar la base de datos con Decathlon España, además de posiblemente la rama británica de la empresa. Aunque Decathlon está presente en decenas de países alrededor del mundo, la rama española parece la más afectada.
Es importante recalcar que Decathlon no ha sido "hackeada", aunque podríamos decir que el problema es más grave que eso; porque lejos de sufrir un ataque, todo indica que ha sido un error propio de la compañía lo que ha llevado a poner en peligro los datos de sus trabajadores.
Fallo de seguridad en Decathlon
El problema concreto es que la base de datos no estaba debidamente asegurada, y por lo tanto extraños podrían haber accedido libremente a la información almacenada. Aunque la cantidad de datos almacenados de esta manera insegura es grande, Decathlon ha aclarado que la información más sensible de sus clientes, como el número de la tarjeta de crédito o la contraseña de usuario, no han sido filtrados.
En vez de eso, la información almacenada en la base de datos era más bien de carácter técnico, pero aún así servía para identificar al usuario y conseguir información relativamente importante.
Entre los datos que los investigadores de vpnMentor han podido verificar se encuentran los nombres de los trabajadores y su número de Seguridad Social, por ejemplo. También estaba disponible información como la dirección de la vivienda del trabajador, su correo electrónico e incluso su número de teléfono.
No solo eso, sino que también se incluía información sobre el puesto de trabajo y su rendimiento, como la cantidad de horas trabajadas, la experiencia y detalles del contrato con Decathlon. Más preocupante es que las contraseñas e información sobre el inicio de sesión estaban sin cifrar.
Aunque esta filtración no parece afectar a los clientes de Decathlon, sus trabajadores sí que deberían tener cuidado a partir de ahora. Con la información personal tan detallada que se podría haber obtenido, estas personas pueden sufrir ataques de phishing, en los que el atacante se hace pasar por alguien conocido, por ejemplo.
Unos 123 millones de registros estaban disponibles en la base de datos, que ya ha sido cerrada al público, pero no se sabe si un atacante podría haber accedido a ella.