El 25 de juny de 2026, el compte Hackmanac a X va alertar que el grup de ciberdelinqüents conegut com Saturne havia publicat de forma graüita en fors de hacking una base de dades que afirma haver extret de leroymerlin.es, la web oficial de Leroy Merlin Espanya. Segons la informació publicada, el paquet conté 54.723 registres de clients espanyols amb dades personals que inclouen el número de DNI. La publicació es va fer de forma graüita, sense posar-la a la venda, cosa que indica que l'objectiu no és la monetització directa sinó l'exposició pública. L'incident està pendent de verificació forense per part de Leroy Merlin. És a més el segon incident de seguretat que afecta Leroy Merlin en menys de set mesos.

Què se sap del hackeig a Leroy Merlin Espanya?

  • Actor: el grup Saturne, amb historial documentat d'atacs a empreses de gran consum.
  • Data de publicació: 25 de juny de 2026, primer avís detectat en fors de hacking.
  • Objectiu: leroymerlin.es. La informació extreta correspondria al juny de 2026.
  • Dades exposades: noms i cognoms complets, dades de contacte, adreces físiques d'enviament, historial i detalls de facturació, codis de targeta de fidelització i número de DNI espanyol. El DNI és un identificador personal permanent que habilita la suplantació d'identitat.
  • Dades no exposades: dades bancàries ni contrasenyes de comptes d'usuari.
  • índex de gravetat ESIX: 4,86 sobre 5.
  • Antecedent: al desembre de 2025, Leroy Merlin va reconeixement un ciberatac a França notificat a la CNIL. Les investigacions d'aquell incident continuen en curs.

Per què el sector retail amb programes de fidelització és un objectiu prioritari

  1. Les bases de dades de fidelització són un actiu d'alt valor per al cibercrim. Un perfil complet de client amb DNI permet campanyes de phishing hipersegmentades i intents de suplantació d'identitat.
  2. El DNI és la dada més valuosa de la filtració. És permanent i inalterable. Amb nom, DNI, adreça i correu electrònic, un atacant pot intentar contractar serveis financers.
  3. L'arquitectura d'ecommerce de gran consum té una gran superfície d'atac. Múltiples integracions de tercers: CRM, logística, màrqueting digital i API de tercers.
  4. El volum de dades acumulat fa que l'impacte d'una bretxa sigui massiu per les dades exposades, no pel volum.

Com es produeixen aquest tipus d'atacs contra plataformes d'ecommerce

  1. Explotació de vulnerabilitats al stack d'ecommerce o les seves integracions.
  2. Accés via proveïdor extern (atac de cadena de subministrament). L'antecedent del desembre de 2025 a França va ser originat per un proveïdor tecnològic extern.
  3. Exfiltració i publicació en fors. El grup Saturne opta per la publicació graüita. L'efecte pràctic és idèntic: les dades estàn disponibles públi-cament.

Lliçons clau per a empreses i directius

  • El DNI en bases de dades de clients exigeix protecció de primer nivell. Xifrat en repòs, accés auditat i política de retenció mínima.
  • L'obligació de notificació a l'AEPD no és opcional. RGPD i LOPDGDD: màxim 72 hores des que l'organització té coneixement de l'incident.
  • La verificació forense no pot trigar dies. Quan les dades de 54.000 clients estàn disponibles en fors de hacking, el termini es mesura en hores.
  • Els programes de fidelització requereixen una auditoria de dades específica. Moltes empreses no auditen els seus sistemes CRM amb el mateix rigor que els sistemes de pagament.

La ciberseguretat com a prioritat estratègica

Leroy Merlin es converteix en el segon gran retailer de bricolatge amb presència a Espanya afectat per una bretxa de dades el 2026. Ahorramas al maig, Leroy Merlin ara. Les dades del client són l'actiu més valuos del cibercrim el 2026, i les plataformes de fidelització i ecommerce són el repositori on es concentren amb menor protecció relativa que els sistemes financers.

Apolo Cybersecurity: avaluació de la seguretat de plataformes d'ecommerce i dades de fidelització

A Apolo Cybersecurity ajudem empreses de retail i ecommerce a avaluar i reforçar la protecció de les seves bases de dades de clients: auditoria de seguretat de plataformes d'ecommerce i sistemes CRM, revisió de la política de recollida i retenció de dades personals sensibles, anàlisi del compliment dels terminis de notificació del RGPD i la LOPDGDD, i disseny del protocol de resposta a incidents.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity