Una brecha de seguridad ha provocado la exposición de datos personales de clientes de la tienda de juguetes sexuales Platanomelón. Los nombres, apellidos, correos, dirección del domicilio, números de teléfono y productos comprados por cada cliente han sido comprometidos, abriendo la puerta a posibles extorsiones por parte de los atacantes.
Platanomelón es un conocido sex-shop online español, donde se venden experiencias y juguetes para todos los gustos a través de la plataforma de comercio electrónico Shopify. Es precisamente a través de esta herramienta donde se ha producido la brecha. Si bien no se ha producido un robo de los datos bancarios, la propia tienda ha informado a los clientes afectados de los hechos.
Dos trabajadores de Shopify comprometen la privacidad de los clientes de Platanomelón
El correo enviado por Platanomelón, al que ha tenido acceso Xataka, expone con bastante detalle lo ocurrido. El pasado 30 de diciembre de 2020, Shopify, empresa que administra su plataforma de comercio electrónico, les comunicó de una brecha de datos interna que afectó a más de 200 empresas de todo el mundo, entre ellas la suya.
Shopify comunicó públicamente la brecha en julio del año pasado, pero no fue hasta finales de año cuando se puso en contacto con Platanomelón para informarles que ellos habían sido uno de los afectados. El problema surge a raíz de "dos empleados deshonestos que obtuvieron, sin autorización, registros de transacciones de clientes en junio de 2020".
Entre los datos comprometidos se encuentran los datos personales de los clientes de Platanomelón, pero no así datos financieros ni contraseñas. Ya que por seguridad, estos dos datos no se almacenan en Shopify.
Conocido portal de venta de juguetes sexuales notificando brecha de seguridad, datos comprometidos: nombre, apellidos, email, dirección de clientes y productos comprados por cada cliente. ¿Comenzará una ola de extorsiones para no difundir esos datos?
— Samuel Parra ️️🇪🇺 RGPD - GDPR (@Samuel_Parra) January 25, 2021
Samuel Parra, jurista especializado en ciberseguridad y protección de datos, explica a Xataka que los clientes afectados tampoco pueden hacer gran cosa, ya que "estos datos personales robados no se pueden cambiar". El experto sí recomienda que de vez en cuando, echen "un vistazo al buscador para ver si aparecen sus datos personales" y que tengan "cuidado si les contacta alguien a través de redes sociales".
"Si fuera una tienda de verduras, difícilmente utilizarían estos datos. Pero si los atacantes se enteran que los datos son de una tienda de juguetes sexuales, podrían querer utilizarlos para extorsionar. Es una práctica muy habitual", asegura Parra.
En los casos de que un cliente sea extorsionado con estos datos, lo mejor según Parra es "no hacer caso y denunciar".
Después del robo, Shopify y las autoridades locales de los Estados Unidos iniciaron una investigación, que derivó en descubrir entre otros aspectos quiénes habían sido afectados.
A raíz de la brecha de seguridad, tanto Shopify como Platanomelón han "adoptado contundentes medidas correctoras, incluida una denuncia al FBI". En el momento de conocer la brecha de seguridad, desde el sex-shop online se notificó a la Agencia Española de Protección de Datos.
La tienda online no prevé que "se produzcan más consecuencias negativas", ya que no fue tanto un fallo de seguridad como una acción imprevista de sus trabajadores.
"La AEPD podría iniciar una investigación y llegar a multarles por esta brecha de datos", explica Parra. Shopify está ubicada en los EE.UU, fuera de la Unión Europea y la Agencia de Protección de Datos podría "multarles por no utilizar un servicio confiable", apunta Parra. Shopify es una herramienta utilizada por miles de tiendas en España, pero según el experto "las multas caen cuando pasan los problemas". Desde Xataka hemos consultado con la AEPD para conocer su postura.
Desde Platanomelón recuerdan que "esta brecha de seguridad no se debe a una vulnerabilidad o fallo de los sistemas de protección y seguridad de Shopify, sino que tiene origen en la actuación intencionada de dos personas que eran empleadas de Shopify y sobre las que Platanomelón no tiene control".
Ver 29 comentarios