Una brecha de seguridad ha provocado la exposición de datos personales de clientes de la tienda de juguetes sexuales Platanomelón. Los nombres, apellidos, correos, dirección del domicilio, números de teléfono y productos comprados por cada cliente han sido comprometidos, abriendo la puerta a posibles extorsiones por parte de los atacantes.
Platanomelón es un conocido sex-shop online español, donde se venden experiencias y juguetes para todos los gustos a través de la plataforma de comercio electrónico Shopify. Es precisamente a través de esta herramienta donde se ha producido la brecha. Si bien no se ha producido un robo de los datos bancarios, la propia tienda ha informado a los clientes afectados de los hechos.
Dos trabajadores de Shopify comprometen la privacidad de los clientes de Platanomelón
El correo enviado por Platanomelón, al que ha tenido acceso Xataka, expone con bastante detalle lo ocurrido. El pasado 30 de diciembre de 2020, Shopify, empresa que administra su plataforma de comercio electrónico, les comunicó de una brecha de datos interna que afectó a más de 200 empresas de todo el mundo, entre ellas la suya.
Shopify comunicó públicamente la brecha en julio del año pasado, pero no fue hasta finales de año cuando se puso en contacto con Platanomelón para informarles que ellos habían sido uno de los afectados. El problema surge a raíz de "dos empleados deshonestos que obtuvieron, sin autorización, registros de transacciones de clientes en junio de 2020".
Entre los datos comprometidos se encuentran los datos personales de los clientes de Platanomelón, pero no así datos financieros ni contraseñas. Ya que por seguridad, estos dos datos no se almacenan en Shopify.
Conocido portal de venta de juguetes sexuales notificando brecha de seguridad, datos comprometidos: nombre, apellidos, email, dirección de clientes y productos comprados por cada cliente. ¿Comenzará una ola de extorsiones para no difundir esos datos?
— Samuel Parra ️️🇪🇺 RGPD - GDPR (@Samuel_Parra) January 25, 2021
Samuel Parra, jurista especializado en ciberseguridad y protección de datos, explica a Xataka que los clientes afectados tampoco pueden hacer gran cosa, ya que "estos datos personales robados no se pueden cambiar". El experto sí recomienda que de vez en cuando, echen "un vistazo al buscador para ver si aparecen sus datos personales" y que tengan "cuidado si les contacta alguien a través de redes sociales".
"Si fuera una tienda de verduras, difícilmente utilizarían estos datos. Pero si los atacantes se enteran que los datos son de una tienda de juguetes sexuales, podrían querer utilizarlos para extorsionar. Es una práctica muy habitual", asegura Parra.
En los casos de que un cliente sea extorsionado con estos datos, lo mejor según Parra es "no hacer caso y denunciar".
Después del robo, Shopify y las autoridades locales de los Estados Unidos iniciaron una investigación, que derivó en descubrir entre otros aspectos quiénes habían sido afectados.
A raíz de la brecha de seguridad, tanto Shopify como Platanomelón han "adoptado contundentes medidas correctoras, incluida una denuncia al FBI". En el momento de conocer la brecha de seguridad, desde el sex-shop online se notificó a la Agencia Española de Protección de Datos.
La tienda online no prevé que "se produzcan más consecuencias negativas", ya que no fue tanto un fallo de seguridad como una acción imprevista de sus trabajadores.
"La AEPD podría iniciar una investigación y llegar a multarles por esta brecha de datos", explica Parra. Shopify está ubicada en los EE.UU, fuera de la Unión Europea y la Agencia de Protección de Datos podría "multarles por no utilizar un servicio confiable", apunta Parra. Shopify es una herramienta utilizada por miles de tiendas en España, pero según el experto "las multas caen cuando pasan los problemas". Desde Xataka hemos consultado con la AEPD para conocer su postura.
Desde Platanomelón recuerdan que "esta brecha de seguridad no se debe a una vulnerabilidad o fallo de los sistemas de protección y seguridad de Shopify, sino que tiene origen en la actuación intencionada de dos personas que eran empleadas de Shopify y sobre las que Platanomelón no tiene control".
Ver 27 comentarios
27 comentarios
Usuario desactivado
A ver, lo de que especificamente se usen para extorsionar los datos por ser una tienda de juguetes sexuales es una tonteria y algo que diria un señor con mucha caspa
A dia de hoy, y menos mal, ya es tan normal regalar un Mambo como una camiseta
Lo que si deberia de caerles es una multa de las de no olvidarte, porque que filtren tu nombre o el correo mira, pero que se filtre tu direccion, eso ya es otro nivel y me parece algo muy grave
niwghx
Espero que la multa vaya dirección Shopify, y no el ecommerce en cuestión que ni pincha ni corta.
Usuario desactivado
"Danos tu dinero o le diremos a todo el mundo lo que compras en esta sex shop"
No, por favor, no, no quiero que la gente sepa que disfruto del sexo como la mayoría de personas y que uso juguetes sexuales en mi intimidad como hace muchísima más gente. No por dios, no quiero que la gente sepa que soy como la inmensa mayoría en pleno siglo XXI.
Chocobodorado
¡Madre mia! Como hagan público que uso condones especiales talla XXXL no sé que van a pensar todas mis amigas...
l0ck0
el dia que el sexo deje de ser algo """sucio""" dejaran de poder extorsionar a la gente por lo que haya podido comprar en un sex-shop. antes era algo sucio para la derecha, ahora para derecha e izquierda :(
o00o
Que me roben los datos que quieran, mientras no me roben el satisfyer...
Gustavo Woltmann
Vaya, pues yo se más de uno que aparecerá en esa lista. Pero lo de las direcciones ya es pasarse. Vaya multa les puede caer.
N3RD
Que mundo! Ya ni los sex-shop están a salvo.
Usuario desactivado
Pero entonces ¿la responsabilidad es de Shopify o del sex shop? Es lo único que no me queda claro del todo