Sportsforhandler Decathlon lækkede 123 millioner poster, inklusive adgangskoder

Den franske detailhandelskæde for sportsudstyr Decathlon er landet i varmt vand for nylig, da det kom frem, at det lækker 123 millioner rekorder for både kunder og ansatte på grund af en forkert konfigureret database.

Det er tilstrækkeligt at sige, at Decathlon er en massiv tilstedeværelse i sportsudstyrsverdenen - den har en solid tilstedeværelse i 69 lande og beskæftiger over 90.000 globalt med over 1600 butikker overalt i verden, fra Det Forenede Kongerige til Bulgarien. Virksomheden er kendt for at bruge lagerrobotter og mobile kassasystemer i butikken og viser beundringsværdig dedikation til praksis med at modernisere og holde trit med vores tids teknologiske innovationer så meget som det kan.

Desværre ser det ikke ud til, at Decathlon ikke har lagt næsten nok indsats i onlinesikkerhed, da der blev opdaget en kæmpestor 9GB-database på en usikret Elasticsearch-server den 12. februar. Som rapporteret af IT-sikkerhedspecialister, der opdagede troven, indeholdt den lækkede database information fra Decathlons spanske og britiske virksomheder - inklusive kunde-e-mail og login-oplysninger, adgangskoder, personnummer, fulde navne, adresser, fødselsdatoer, mobiltelefonnummer, medarbejderes brugernavne og adgangskoder osv. - alt sammen i klartekst.

Alle dataene blev ikke krypteret eller på nogen måde beskyttet på en anden måde.

VpnMentor, it-sikkerhedsspecialister, der opdagede lækagen, havde dette at sige om emnet ”Den lækkede Decathlon Spain-database indeholder en veritabel skattekiste af medarbejderdata og mere. Det har alt, hvad en ondsindet hacker i teorien skulle bruge til at overtage konti og få adgang til privat og endda proprietær information ”.

Dataovertrædelsen blev opdaget den 12. februar, og Decathlon blev underrettet om det den 16. februar. Databasen blev trukket den 17. februar - men da oplysningerne havde været tilgængelige i ganske lang tid, er der ingen garanti for, at ondsindede skuespillere ikke har adgang til det i øjeblikket. Faktisk, så slemt som det kan være, er det modsatte sandsynligvis.

Decathlon er siden kommet med en betryggende erklæring og hævder, at til trods for den store mængde poster, der er indeholdt i databasen, kun en lille procentdel af informationen deri vedrører faktiske kundeprofiler og oplysningerne deri. Selvom dette kan være betryggende for nogle brugere, betyder det, at det ikke er deres kundes sikkerhed, at Decathlon har kompromitteret gennem deres uagtsomhed, men sikkerheden for deres eget personale.

”Medarbejders positioner og arbejdspladser er spredt i denne database såvel som deres egne fysiske hjemmeadresser.”

Det er tilstrækkeligt at sige, at dette er et meget alvorligt brud på privatlivets fred, som ikke let kan bagatelliseres.

Angiveligt vil overtrædelsen være omfattet af GDPR og skulle allerede være rapporteret til de franske databeskyttelsesmyndigheder. Dette udsætter Decathlon for muligheden for at blive bøderet op til $ 512 millioner, baseret på dens globale indtægter på $ 12,8 milliarder for 2018.