Home Depot deja expuestos a sus clientes a posibles hackeos

Si has utilizado el servicio MyInstall de Home Depot en el pasado, podría ser conveniente que mires si podrías verte afectado por esta violación.

Home Depot ha estado almacenando montañas de datos de clientes en una página pública, sin cifrar, dejando a muchos de ellos expuestos a numerosas estafas y hackeos de identidad, según publica Consumerist.

Y por si eso fuera poco, algunos de los archivos encontrados en la página eran incluso detectables por los motores de búsqueda, haciéndolos aún más fáciles de encontrar.

Al parecer, no es tan infrecuente descubrir que una gran entidad corporativa u organización esté ejecutando un sitio web con poca seguridad, o incluso dejando la información de sus clientes accesible a los hackers.

En el caso de Home Depot, afortunadamente, esta debacle puede que no afecte, finalmente, a un gran número de personas, pero sigue siendo bastante atroz y demuestra que incluso las grandes empresas pueden contar con una seguridad muy pobre o débil.

Hasta 8,000 detalles de los clientes estaban disponibles en un documento de Excel accesible al público, junto con imágenes de los propios clientes y sus productos.

Publicada dicha información en Consumerist, la fuga no contiene ninguna información financiera, pero todavía hay una gran cantidad de datos personales a disposición de cualquier persona.

El error de seguridad parece provenir del programa MyInstall de Home Depot, un servicio que ayuda a los clientes a comunicarse con los instaladores. Los datos registrados están relacionados con quejas relacionadas con el servicio, incluyendo nombres y direcciones registradas, la naturaleza de la queja y en algunos casos fotos del problema y la compra del producto por parte del cliente.

La respuesta de Home Depot es que aunque no veía los datos como un riesgo alto, no debería haber estado disponible como estaba. Aunque es bastante discutible el hecho de que los datos en esta fuga no sean del tipo más sensible, podrían ser utilizados fácilmente para una estafa de tipo phishing.

De momento, no sabemos todavía por qué esta información estaba tan públicamente disponible, pero es posible que fuera un error de un empleado de Home Depot, o tal vez incluso de alguien que estuviera actuando maliciosamente. Incluso puede ser algo tan simple como que Home Depot no haya invertido en una solución de software potente para su programa MyInstall.

Home Depot dice que no tiene planes de contactar a los consumidores afectados, para evitar una estafa de tipo phishing y que está instando a cualquier persona que piense que pueden estar afectados a ponerse en contacto a través de su número de servicio al cliente.

La preocupación ahora es que, seguramente, Home Depot no será la única empresa que opera servicios complementarios como éste con una seguridad mediocre. Es más, brechas de seguridad como ésta muestran por qué necesitamos tomarnos nuestra propia seguridad muy en serio. No usar contraseñas débiles es un primer paso importante.

Además, no es la primera vez que Home Depot se ve inmersa en un problema de seguridad digital. Recientemente pagó más de 20 millones de dólares para arreglar una fuga que tuvo lugar en 2014, cuando unos hackers robaron información personal y sensible de millones de sus clientes.

Recomendaciones del editor