Una brecha de seguridad expuso los datos personales de clientes de la tienda española de juguetes sexuales Platanomelón. En este contexto quedaron comprometidos los nombres, apellidos, correos, domicilio, números de teléfono y productos adquiridos por cada cliente han sido comprometidos.
La brecha afectó puntualmente al sitio de comercio electrónico Shopify que es el sitio a través del cual Platanomelón comercializa sus productos. El incidente no se produjo por una vulnerabilidad técnica de la plataforma sino por el accionar de dos empleados de Shopify.
“Nuestra investigación determinó que dos miembros deshonestos de nuestro equipo de soporte estaban involucrados en un plan para obtener registros de transacciones de clientes de ciertos comerciantes. Inmediatamente terminamos el acceso de estas personas a nuestra red de Shopify y remitimos el incidente a la policía”, informaron desde Shopify cuando dieron a conocer este incidente, en septiembre de 2020.
En esa oportunidad se comunicó que esta situación habría afectado a 200 comercios que utilizan Shopify pero recién el 30 de diciembre Platanomelón se enteró que fue uno de esos sitios.
Luego de que se conociese el robo de información, Shopify y las autoridades locales de los Estados Unidos iniciaron una investigación. “Actualmente estamos trabajando con el FBI y otras agencias internacionales en su investigación de estos actos criminales”; comunicaron en su momento. Este incidente también fue reportado a la Agencia Española de Protección de Datos.
“Aquellos cuyas tiendas fueron accedidas ilegítimamente pueden haber tenido datos de clientes expuestos”, informó en aquel entonces Shopify. Cabe destacar que no se filtraron los datos de tarjetas de crédito ni ninguna información financiera, según explicaron. Los únicos datos comprometidos fueron los mencionados anteriormente. De todos modos esto no le quita relevancia al hecho porque son datos personales que podrían ser utilizados por los ciberdelincuentes para extorsionar a sus víctimas.
Usualmente se pide a cambio el pago en criptomonedas para evitar la difusión de información personal y sensible. En este sentido, hay que recordar que ante una situación de este tipo los especialistas recomiendan no ceder a las presiones y hacer la denuncia de inmediato.
Por el momento no se han reportado incidentes de este tipo en relación a la información filtrada pero lo cierto es que muchas veces estos datos circulan durante mucho tiempo en la dark web hasta que alguien decide hacer uso de ellos para cometer este tipo de extorsiones.