Un nuevo incidente de seguridad informática ha afectado a una cadena deportiva. La firma francesa Decathlon ha dado a conocer que una brecha de datos ha expuesto alrededor de 123 millones de registros almacenados en una base de datos de Elasticsearch no asegurada. La base de datos podría contener información de la firma en Francia, España y Reino Unido.
Entre la información comprometida se encuentran datos de acceso a la plataforma en línea de la compañía, como nombres de usuario, contraseñas sin cifrar, registros de API e información de identificación personal de los empleados de la firma, incluyendo:
- Nombres completos
- Direcciones email
- Fechas de nacimiento
- Formación académica
El hallazgo fue reportado el 12 de febrero, además, la compañía recibió el reporte el 16 de febrero. Horas después, la firma reconoció el reporte y clausuró el acceso indebido a la base de datos.
Activa en casi 50 países, Decathlon es una de las firmas deportivas con mayor presencia en Europa, Asia, Sudamérica y parte de África, por lo que su planta laboral es considerable. Es por ello que el incidente ha llamado la atención, pues una potencial brecha de datos afectaría a cientos de personas en todo el mundo.
Especialistas en seguridad informática consideran que las compañías deben ofrecer a sus empleados todos los medios necesarios para proteger adecuadamente su información laboral y personal. El hallazgo es serio, puesto que la base de datos estaba al alcance de cualquier usuario que supiera dónde buscar, además no contaba con cifrado alguno.
Aunque el acceso a la base de datos ya fue inhabilitado, los problemas para Decathlon podrían estar por comenzar. Debido a que opera en territorio europeo, la firma podría ser investigada bajo los términos del Reglamento General de Protección de Datos de la Unión Europea (GDPR), que establece altas multas y un riguroso protocolo de reporte de incidentes para las compañías que padecen brechas de datos y otros problemas de seguridad de la información.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.