Hackeo en la base de datos de Pccomponentes

Responder
1, 2

La filtración de la base de datos de PcComponentes contiene:

Identificación personal
NIF/DNI/NIE junto al nombre y apellidos
Datos de contacto
email y teléfono asociado a la cuenta
Dirección y logística
dirección completa, código postal y datos de seguimiento (tracking) de los envíos
Compras y facturación
historial de pedidos y facturas (incluye documentación asociada)
Soporte al cliente
tickets de Zendesk y conversaciones con soporte en esos ticket
Datos de pago (alegados)
tipo de tarjeta usada y fecha de caducidad (se mencionan “otros detalles” sin concretar)
Red/seguridad
dirección IP del usuario
Preferencias y métricas internas
lista de deseos y “estadísticas” del perfil (incluyendo una posible clasificación)




https://elchapuzasinformatico.com/2026/ ... mponentes/
@baronluigi bueno, a ver si se confirma lo primero y lo segundo a ver qué hace Pc Componentes.

No creo que ellos tengan datos de tarjetas y formas de pago.
Acabo de mirar y no tengo ninguna tarjeta vinculada, y eso que llevo hechos varios pedidos, supongo que no se quedan guardadas, no se, pero bueno, despues de lo de la mierda de Endesa, poco importa ya esto de las filtraciones, nos tienen cogidos por los webazos
Kaizack escribió:Acabo de mirar y no tengo ninguna tarjeta vinculada, y eso que llevo hechos varios pedidos, supongo que no se quedan guardadas, no se, pero bueno, despues de lo de la mierda de Endesa, poco importa ya esto de las filtraciones, nos tienen cogidos por los webazos

Yo desde lo del hackeo de psn todas las tarjetas que tengo metidas en algún sitio son de las de prepago, no me fio ya ni de mi sombra y estoy pensando incluso en usar mi segundo número de teléfono para ponerlo en los sitios que lo requieran para evitar que te intenten colar bizums
Usaba la web hace mil años, no se que datos hay mios alli, si los hay

Hoy en dia si no es una web sera otra. No hay datos a salvo al final poniendo info en tantas webs que usamos. Siempre es cuestión de tiempo que roben datos tuyos
https://www.pccomponentes.com/actualiza ... idad-datos

Pc Componentes dice que no.

Información importante sobre la seguridad de tus datos
En las últimas horas han aparecido informaciones en algunos medios y foros de Internet que hablan de un supuesto robo masivo de datos de clientes de PcComponentes. Queremos explicarte con total transparencia qué ha ocurrido realmente y, sobre todo, tranquilizarte.


¿Qué ha ocurrido?
Tras una investigación por parte de nuestros expertos en seguridad, no tenemos constancia de que PcComponentes haya sufrido una brecha de seguridad en sus sistemas.

Lo que hemos detectado es un fenómeno conocido en ciberseguridad como credential stuffing. Esto significa que un tercero ha utilizado direcciones de email y contraseñas obtenidas a partir de filtraciones de seguridad ocurridas en bases de datos comprometidas, ajenas a PcComponentes. A partir de estas bases de datos —que suelen publicarse en foros de internet— los atacantes prueban de forma automática y masiva esas combinaciones de acceso en múltiples plataformas. Cuando un usuario reutiliza la misma contraseña en distintas plataformas, este tipo de ataques puede permitir el acceso no autorizado a su cuenta y la obtención de cierta información en las plataformas en las que tenga cuenta previa.

Es importante aclarar varios puntos clave:

No se ha producido un acceso ilegítimo a nuestras bases de datos ni a nuestros sistemas internos.
La cifra de 16 millones de clientes supuestamente afectados es falsa, ya que el número de cuentas activas en PcComponentes es marcadamente inferior. Asimismo, el acceso ilegítimo no ha sido masivo, es decir, únicamente algunos clientes se han visto afectados.
Los datos bancarios no se han visto comprometidos en ningún caso dado que PcComponentes no los almacena. PcComponentes solo conserva un código de seguridad (token) que sirve para identificar el pago, pero que no permite ver la tarjeta ni realizar cargos por sí solo. Ese código no tiene valor fuera del sistema de pago y no puede usarse de forma fraudulenta. Por este motivo, no existe riesgo de robo de datos bancarios. Tus datos financieros están protegidos en todo momento.
Las contraseñas de clientes nunca se almacenan en nuestra base de datos. En su lugar, se convierte en un código secreto y cifrado (‘hash’). Este código es irreversible, lo que significa que ni nosotros ni nadie más puede ver tu contraseña original.
Las categorías de datos afectados son: nombre, apellidos, DNI (en los supuestos en los que el cliente lo haya introducido), dirección, IP, correo electrónico y teléfono.
Yo intento desde ayer iniciar sesión en pc componentes y no hay manera, el código de seguridad no me llega al email (ni en correo no deseado), y sin eso no puedo iniciar sesión. Tampoco puedo usar el olvidar contraseña, no me llega correo para cambiarla. Vaya basura de web.
Yo sí he podido entrar. Pide el Captcha y te envían un código al correo.
Hace tiempo que no compro nada allí, pero quería comprobar qué datos tengo guardados, por si acaso.
Yo también he entrado sin problemas. Primero tuve que resolver un captcha y luego me mandaron un código al email.
Como suponía, no tengo ninguna tarjeta vinculada porque nunca suelo hacerlo en ninguna web.
@Lloyd Irving a ver si ya no tenías ese correo.
Por cierto, entre los datos de vuestro perfil ¿os aparece el número de teléfono o el DNI?
Es que yo sólo veo mi dirección postal y el email.
[erick] escribió:@Lloyd Irving a ver si ya no tenías ese correo.

Es el correo correcto (un hotmail). He probado de nuevo pero sigue sin llegar el código de seguridad, así que sigo sin poder verificar el código para poder iniciar sesión.
La última vez que compré algo allí fue en 2020 según uno de los emails que tengo guardados de PcComponentes, así que seguramente desde esa fecha que no inicio sesión.
Yo he entrado sin ningún problema, aún así he cambiado la contraseña por si acaso, y como siempre les pago por transferencia bancaria, no tenía ninguna tarjeta puesta.

Saludos.
Este e-mail no está registrado. Pues DPM. Lo que faltaba.... [facepalm] [facepalm] [facepalm]
Esto no llega a portada?

Quizá si Europa fuese la dueña de PcComponentes habría salido inmediatamente. [sonrisa]
Qué horror, habrá qué entrar y mirar que tengo puesto por allí por si acaso.
@[erick]

https://elchapuzasinformatico.com/2026/ ... -de-datos/

Y es que el hacker ruso daghetiaw se ha hecho eco de que PcComponentes ha negado la filtración de la información. Y por desgracia para PcComponentes, este hacker ha liberado muchísima información para confirmar su filtración. Incluso filtrando los los email de acceso y contraseña de sus trabajadores para información tan sensible como el sistema de fichajes para lo empleados, el panel de administración, hasta el sistema interno que tienen para los seguimientos (tracking) de los pedidos de los usuarios.


@El_Harto @AlterNathan @Kenway2017 @VanSouls @Lloyd Irving @Nilin @rubo_astur @chuckyflame @Plage @Kaizack
El_Harto escribió:Esto no llega a portada?

Quizá si Europa fuese la dueña de PcComponentes habría salido inmediatamente. [sonrisa]


Aún no hay aviso oficial de PCComponentes. Que, por cierto, se meterían en un lío gordo si no avisan a sus usuarios directamente. Tienen la obligación de hacer públicos estos delitos.
@Manint

¿ El aviso no sería que lo han negado?


https://www.pccomponentes.com/actualiza ... idad-datos
El_Harto escribió:Esto no llega a portada?

Quizá si Europa fuese la dueña de PcComponentes habría salido inmediatamente. [sonrisa]

Acaba de salir PcComponentes en portada

noticias/internet/pccomponentes-rebajas-enero-2026
@baronluigi
Gracias por avisar.
Seguiremos esperando a ver si es cierto o no. Yo entiendo que el aviso al que se refiere @Manint es el que tienen que hacer a la AEPD y a los clientes o se les puede caer el pelo por el RGPD. Vamos, el aviso que hizo endesa y han hecho otras tantas.
Ya veremos en que acaba, pero si pcc lo niega y el hacker dice que si, y al final resulta que si, me da que más de uno va a dejar de comprar en pcc
rubo_astur escribió:@baronluigi
Gracias por avisar.
Seguiremos esperando a ver si es cierto o no. Yo entiendo que el aviso al que se refiere @Manint es el que tienen que hacer a la AEPD y a los clientes o se les puede caer el pelo por el RGPD. Vamos, el aviso que hizo endesa y han hecho otras tantas.


@Plage


Y justo en portada ponen ahora una noticia publicitaria de Pccomponentes xD
baronluigi escribió:@Manint

¿ El aviso no sería que lo han negado?


https://www.pccomponentes.com/actualiza ... idad-datos


Pues el lío de PCComponentes va a ser gordo como sea al final que sí. Tienen la obligación legal de transparencia.
Manint escribió:
baronluigi escribió:@Manint

¿ El aviso no sería que lo han negado?


https://www.pccomponentes.com/actualiza ... idad-datos


Pues el lío de PCComponentes va a ser gordo como sea al final que sí. Tienen la obligación legal de transparencia.


@Plage

@rubo_astur

Esque en teoría, el jodio cracker ha colgado los login y pass de los admin.

Imagen

En twitter está rulando la versión sin censura y el enlace al foro donde se han colgado los datos, con los datos públicos. Algo bastante gordo, la verdad.

Y según este comentario de menéame


https://www.meneame.net/story/pccompone ... /c045#c-45

Ya lo dije en otro comentario, hace un año, podías ver el host, usuario y password de la base de datos (postgre) si provocabas una excepción de Symfony, muy bien hecho no estaba la verdad...


Lo mas irónico es que el cracker va de digno xD
@baronluigi Pinta bastante feo para pcc, que lo mismo luego esto es un triple del hacker y como dicen desde pcc son datos cruzados de usuarios que les han pillado los datos de otros sitios, pero lo suyo con el tema de los datos de login suyo ya es más difícil de decir que no es fallo de seguridad
Plage escribió:@baronluigi Pinta bastante feo para pcc, que lo mismo luego esto es un triple del hacker y como dicen desde pcc son datos cruzados de usuarios que les han pillado los datos de otros sitios, pero lo suyo con el tema de los datos de login suyo ya es más difícil de decir que no es fallo de seguridad


Yo he visto una de esas capturas y en ellas se ve al tipo logueado en el panel admin de la web.
baronluigi escribió:
Plage escribió:@baronluigi Pinta bastante feo para pcc, que lo mismo luego esto es un triple del hacker y como dicen desde pcc son datos cruzados de usuarios que les han pillado los datos de otros sitios, pero lo suyo con el tema de los datos de login suyo ya es más difícil de decir que no es fallo de seguridad


Yo he visto una de esas capturas y en ellas se ve al tipo logueado en el panel admin de la web.


Pues o no han visto nada en los logs, que me parece raro, o no quieren decirlo por miedo a que les afecte a las ventas. Pero si no lo dicen y se descubre, va a ser peor.
Plage escribió:Ya veremos en que acaba, pero si pcc lo niega y el hacker dice que si, y al final resulta que si, me da que más de uno va a dejar de comprar en pcc

Si realmente la han hackeado, y se han dado cuenta, están obligados por ley a avisar a las autoridades y a los clientes, en caso de no hacerlo pueden enfrentarse a multas muy contundentes.
@rubo_astur @Plage @fer5

Imagen
Kaizack escribió:Acabo de mirar y no tengo ninguna tarjeta vinculada, y eso que llevo hechos varios pedidos, supongo que no se quedan guardadas, no se, pero bueno, despues de lo de la mierda de Endesa, poco importa ya esto de las filtraciones, nos tienen cogidos por los webazos

Eso mismo he pensado yo al ver el hilo, que después de lo de Endesa, esto son minucias.

Creo que podemos dar por hecho que los criminales tienen absolutamente todos nuestros datos personales, y que debemos estar preparados en consecuencia.
Yo no se si es casualidad, pero desde que recibi el mail de endesa, sufro llamadas constantes desde diferentes sitios de españa. Bloqueo y spam, pero siguen llamando. Me tiene mosca
Ya me acabo de logear, no compro allí desde 2017 así que supongo que no debería preocuparme demasiado, el día que hackeen Amazon entonces si estaré jodido XD
estoy viendo desde hace tiempo con todo este tema de las filtraciones que es bastante facil que datos personales nuestros queden expuestos en los hackeos a estos proveedores de servicios :-|

entonces cuando nosotros metemos datos reales para acceder a un servicio, en mi opinion, algo que nosotros deberiamos empezar a hacer es que mientras estemos utilizando el servicio, ok. metemos datos y que se nos proporcione el servicio. y cuando terminamos, no dejar la cuenta colgada con nuestros datos por ahi, sino detonarla, borrarla entera, o al menos eliminar los datos mas sensibles.

esto para nosotros es un coñazo, pero que anden circulando nuestros datos por ahi es peor.
edammamme escribió:Yo no se si es casualidad, pero desde que recibi el mail de endesa, sufro llamadas constantes desde diferentes sitios de españa. Bloqueo y spam, pero siguen llamando. Me tiene mosca


Yo he llegado a un punto en que bloqueo automáticamente las llamadas que no están en mis contactos, y cada vez que se lo explico a una nueva persona que pueda necesitar su número en el futuro lo entienden perfectamente.
@GXY Y si el tío no dice nada, porque a veces lo que buscan es popularidad chulesca [sati]
Que el tío monitorice todo... en un caso de estos ¿cuanto tiempo pasa desde que entran y roban datos hasta que lo hacen público (los hackers)?
anabela111023 escribió: ¿cuanto tiempo pasa desde que entran y roban datos hasta que lo hacen público (los hackers)?


semanas, meses... depende.

el 99% de veces el hacker lo que busca es notoriedad, que a su vez se traduce a dinero (un contrato jugoso con una empresa grande o un organismo publico), o directamente, dinero. en muchos casos el hacker se pone en contacto de algun modo con la empresa/organismo hackeada y de un modo u otro, les pide dinero/rescate/etc.

en algunos casos la empresa cede a las pretensiones del hacker y en la mayoria no. entonces el hacker publica la informacion que tiene (aqui es cuando se produce la noticia) y ya que ocurran consecuencias.

muy probablemente ya la empresa desde hace dias esta depurando o tirando abajo sus servidores/bases de datos, para "sacar al hacker" y respecto al control de daños de lo sacado... pues ya depende del caso. :-|

en el caso concreto de pccomponentes, muchos hemos comprado ahi en un momento puntual, pero somos relativamente pocos los que lo hacemos con frecuencia o constantemente. por eso digo que en casos como estos una medida de "profilaxis" es que despues de haber usado el servicio, vaciemos esa cuenta de nuestras vinculaciones personales, y si no se puede hacer porque el sistema exige mantener datos comprobables, "detonarla" (cerrarla, o pedir cerrarla)

si no lo hacemos, pues "en principio no pasa nada", pccom nos mandara un mail de vez en cuando o algo asi. el problema es cuando les hackean y los datos pululan por ahi, o cuando a pccom la compra otra empresa y esa otra empresa cede o vende los datos... o que lo haga la propia pccom por algun otro motivo.

en todos esos casos, cuando nuestra aparicion de datos personales corresponde a algo que hicimos hace 2, 3, 4, 5, 10 años y es algo que podriamos evitar... pues es bastante fastidio. sobre todo si son datos que no podemos cambiar, como nuestro numero de DNI, la cuenta del banco si la estamos usando, la direccion de casa, el numero de telefono, etc. [angelito]
pepeizq3 escribió:
edammamme escribió:Yo no se si es casualidad, pero desde que recibi el mail de endesa, sufro llamadas constantes desde diferentes sitios de españa. Bloqueo y spam, pero siguen llamando. Me tiene mosca


Yo he llegado a un punto en que bloqueo automáticamente las llamadas que no están en mis contactos, y cada vez que se lo explico a una nueva persona que pueda necesitar su número en el futuro lo entienden perfectamente.

Ostia, pero es que a mi antes de ese email me llavaban si acaso dos o tres veces al mes. En el momento que me apunte a la lista robinson hace unos años, las llamadas se redujeron enormemente. Pero yo no se que carajo ha pasado desde que me enviaron el puto email de Endesa
Me acabo de intentar logear y directamente me mandan un correo para cambiar la contraseña, no es que no me acuerde de la contraseña es que directamente me dicen que cambie la contraseña, así que indirectamente lo están reconociendo, otra cosa es que se hayan hecho con todos los datos. No tengo la tarjeta guardada pero... ¿no la tuve o me la borraron?
Kenway2017 escribió:el día que hackeen Amazon entonces si estaré jodido

Es que ahí está el gran problema, que nadie sabe cuál será la próxima web que sufrirá un ciberataque.
No sé vosotros, pero yo no puedo evitar emparanoiarme al pensar en la cantidad de datos personales que tenemos esparcidos en diferentes sitios y lo aparentemente fácil que resulta conserguirlos (Endesa, InfoJobs, ECI, Telefónica, ING).
Plage escribió:
Kaizack escribió:Acabo de mirar y no tengo ninguna tarjeta vinculada, y eso que llevo hechos varios pedidos, supongo que no se quedan guardadas, no se, pero bueno, despues de lo de la mierda de Endesa, poco importa ya esto de las filtraciones, nos tienen cogidos por los webazos

Yo desde lo del hackeo de psn todas las tarjetas que tengo metidas en algún sitio son de las de prepago, no me fio ya ni de mi sombra y estoy pensando incluso en usar mi segundo número de teléfono para ponerlo en los sitios que lo requieran para evitar que te intenten colar bizums


Haces muy bien. Yo llevo años con esa política y sin nada vinculado a dinero en el tlfno.
Lo de dejar la tarjeta guardada para futuras compras, en mi entorno no me canso de repetir que no lo hagan, pero ni caso.
Argumentan que es más cómodo porque así evitan volver a meter los datos de la tarjeta cada vez.
¿En serio? ¿Tanto les cuesta hacerlo en cada compra?
Nilin escribió:Lo de dejar la tarjeta guardada para futuras compras, en mi entorno no me canso de repetir que no lo hagan, pero ni caso.
Argumentan que es más cómodo porque así evitan volver a meter los datos de la tarjeta cada vez.
¿En serio? ¿Tanto les cuesta hacerlo en cada compra?


Yo en Amazon la tengo así, aunque a veces la quito.

Lo malo que ni mi banco no tiene tarjeta virtual, si no, sería lo único que usaría.
Sí, en Amazon también la genía guardada, pero por el tema de los ciberataques decidí quitarla y meter los datos cada vez.

Y la opción de una tarjeta prepago también es buena idea. Estuve mirando la de Correos pero tiene unas comisiones muy altas.
Nilin escribió:Sí, en Amazon también la genía guardada, pero por el tema de los ciberataques decidí quitarla y meter los datos cada vez.

Y la opción de una tarjeta prepago también es buena idea. Estuve mirando la de Correos pero tiene unas comisiones muy altas.

Amazon = 2FA en login + pide pin tarjeta si cambias direccion de entrega + OTP al recogerlo enviado a tu correo personal, creemente que si alguien es capar de saltarse esas tres el mundo como lo conocemos hoy dia se habría ido a la mierda ya xD
alextgd escribió:
Nilin escribió:Sí, en Amazon también la genía guardada, pero por el tema de los ciberataques decidí quitarla y meter los datos cada vez.

Y la opción de una tarjeta prepago también es buena idea. Estuve mirando la de Correos pero tiene unas comisiones muy altas.

Amazon = 2FA en login + pide pin tarjeta si cambias direccion de entrega + OTP al recogerlo enviado a tu correo personal, creemente que si alguien es capar de saltarse esas tres el mundo como lo conocemos hoy dia se habría ido a la mierda ya xD

qué es OTP?
Nilin escribió:Sí, en Amazon también la genía guardada, pero por el tema de los ciberataques decidí quitarla y meter los datos cada vez.

Y la opción de una tarjeta prepago también es buena idea. Estuve mirando la de Correos pero tiene unas comisiones muy altas.


En mi caso la app del banco me deja hacer y deshacer tarjetas prepado/virtuales con 2 clicks y cargarlas a mano, es lo que uso para hacer compras actualmente (aunque tampoco compro mucho). Mano de santo
korchopan escribió:
alextgd escribió:
Nilin escribió:Sí, en Amazon también la genía guardada, pero por el tema de los ciberataques decidí quitarla y meter los datos cada vez.

Y la opción de una tarjeta prepago también es buena idea. Estuve mirando la de Correos pero tiene unas comisiones muy altas.

Amazon = 2FA en login + pide pin tarjeta si cambias direccion de entrega + OTP al recogerlo enviado a tu correo personal, creemente que si alguien es capar de saltarse esas tres el mundo como lo conocemos hoy dia se habría ido a la mierda ya xD

qué es OTP?

One Time Password, el codigo que te piden al recoger el envio.
@alextgd pero eso no se aplica a todas las compras que hagas. es un nivel de proteccion adicional para cuando el valor (que ademas, tiene que estar declarado y asegurado) pasa de una cantidad. y eso no lo determinas tu, lo determina el vendedor (amazon, etc).

quiero decir, que esta muy bien como garantia adicional, pero no es un parametro de seguridad de la informacion que has proporcionado a amazon. y antes de dar el codigo el dinero ya ha cambiado de manos, con lo cual tampoco es una garantia para ti de la legitimidad ni de la transaccion ni del producto.

eso lo unico que hace es asegurar de que el producto lo recibes tu, y no otro alguien. :o
GXY escribió:@alextgd pero eso no se aplica a todas las compras que hagas. es un nivel de proteccion adicional para cuando el valor (que ademas, tiene que estar declarado y asegurado) pasa de una cantidad. y eso no lo determinas tu, lo determina el vendedor (amazon, etc).

quiero decir, que esta muy bien como garantia adicional, pero no es un parametro de seguridad de la informacion que has proporcionado a amazon. y antes de dar el codigo el dinero ya ha cambiado de manos, con lo cual tampoco es una garantia para ti de la legitimidad ni de la transaccion ni del producto.

eso lo unico que hace es asegurar de que el producto lo recibes tu, y no otro alguien. :o

Si lo pones en punto de recogida (que es cuando no pide el pin de la tarjeta si es nuevo el punto de recogida y siempre que no consideren 'producto de alto valor' porque en ese caso no deja ponerlo en recogida) aplica a todas las compras. Si cambias la dirección de entrega si pide el pin de la tarjeta siempre.
53 respuestas
Responder
1, 2
Volver a Miscelánea