Toys “R” Us Canada ha enviado avisos de violación de datos a los clientes informándoles de un incidente de seguridad en el que actores de amenazas filtraron registros de clientes que habían robado previamente de sus sistemas.
La compañía descubrió la filtración de datos el 30 de julio de 2025, cuando un actor de amenazas publicó en la web oscura lo que afirmaba ser datos de clientes de Toys “R” Us.
La investigación posterior de las afirmaciones del autor de la amenaza, realizada con la ayuda de expertos externos, confirmado que la información era realmente auténtica.
«El 30 de julio de 2025, nos enteramos a través de una publicación en Internet no indexada de que un tercero afirmaba haber robado información de nuestra base de datos». lee la carta enviada a los clientes.
«Inmediatamente contratamos a expertos en ciberseguridad externos para ayudar con la contención e investigar el incidente».
«La investigación reveló que el tercero no autorizado copió ciertos registros de nuestra base de datos de clientes que contienen información personal».
Los tipos de datos que se filtraron varían según el individuo y pueden contener uno o más de los siguientes:
- nombre completo
- Dirección física
- Dirección de correo electrónico
- Número de teléfono
Toys “R” Us subraya que las contraseñas de las cuentas, la información de las tarjetas de crédito u otros “datos confidenciales similares” no fueron expuestos.
Toys “R” Us Canada, una subsidiaria de Toys “R” Us, es una cadena de jugueterías que opera en 40 sucursales en todo el país y vende juguetes, videojuegos y ropa.
Tras el descubrimiento de la infracción, la empresa mejoró la seguridad de sus sistemas de TI bajo la dirección de expertos en ciberseguridad.
La firma también declaró que está en el proceso de notificar a las autoridades reguladoras de privacidad aplicables en Canadá sobre la violación de datos.
Mientras tanto, se recomienda a los destinatarios de la notificación que ignoren las comunicaciones no solicitadas y permanezcan alerta a los mensajes de phishing que se hacen pasar por Toys “R” Us y solicitan información personal.
BleepingComputer se ha puesto en contacto con la empresa para pedir más información sobre el actor de amenazas que filtró los datos, cuántos clientes están expuestos por este incidente y si se exigió un rescate, pero no hemos recibido respuesta mediante publicación.
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
