Der Sportartikelhändler Decathlon hat 123 Millionen Rekorde einschließlich Passwörtern verloren

Die französische Sportartikelhandelskette Decathlon ist kürzlich in heißem Wasser gelandet, als sich herausstellte, dass aufgrund einer falsch konfigurierten Datenbank satte 123 Millionen Datensätze von Kunden und Mitarbeitern durchgesickert sind.

Es genügt zu sagen, dass Decathlon eine massive Präsenz in der Sportartikelwelt hat - es hat eine solide Präsenz in 69 Ländern und beschäftigt weltweit über 90.000 Mitarbeiter mit über 1600 Filialen auf der ganzen Welt, von Großbritannien bis Bulgarien. Das Unternehmen ist bekannt für den Einsatz von Inventarrobotern und mobilen Kassensystemen im Geschäft. Es zeigt bewundernswertes Engagement für die Praxis, die technologischen Innovationen unserer Zeit so weit wie möglich zu modernisieren und mit ihnen Schritt zu halten.

Leider scheint Decathlon nicht annähernd genug Anstrengungen in die Online-Sicherheit gesteckt zu haben, da bereits am 12. Februar auf einem ungesicherten Elasticsearch-Server eine satte 9-GB-Datenbank entdeckt wurde. Wie die IT-Sicherheitsspezialisten berichteten, die den Fund entdeckt hatten, enthielt die durchgesickerte Datenbank Informationen aus den spanischen und britischen Unternehmen von Decathlon - einschließlich E-Mail- und Anmeldeinformationen von Kunden, Passwörtern, Sozialversicherungsnummern, vollständigen Namen, Adressen, Geburtsdaten, Mobiltelefonnummern, Benutzernamen und Passwörtern von Mitarbeitern usw. - im Klartext.

Alle Daten wurden nicht verschlüsselt oder auf andere Weise geschützt.

VpnMentor, der IT-Sicherheitsspezialist, der das Leck entdeckt hat, hatte folgendes zu dem Thema zu sagen: „Die durchgesickerte Decathlon Spain-Datenbank enthält einen wahren Schatz an Mitarbeiterdaten und mehr. Es hat alles, was ein böswilliger Hacker theoretisch benötigen würde, um Konten zu übernehmen und Zugang zu privaten und sogar proprietären Informationen zu erhalten. “

Der Datenverstoß wurde am 12. Februar entdeckt und Decathlon wurde am 16. Februar darüber informiert. Die Datenbank wurde am 17. Februar abgerufen. Da die Informationen jedoch schon seit einiger Zeit zugänglich sind, gibt es keine Garantie dafür, dass böswillige Akteure keinen Zugriff haben dazu im Moment. So schlimm das auch sein mag, das Gegenteil ist sehr wahrscheinlich.

Decathlon hat seitdem eine beruhigende Erklärung abgegeben, in der behauptet wird, dass sich trotz des Großteils der in der Datenbank enthaltenen Datensätze nur ein kleiner Prozentsatz der darin enthaltenen Informationen auf tatsächliche Kundenprofile und die darin enthaltenen Informationen bezieht. Während dies für einige Benutzer beruhigend sein mag, bedeutet dies, dass Decathlon nicht die Sicherheit ihrer Kunden durch ihre Nachlässigkeit gefährdet hat, sondern die Sicherheit ihrer eigenen Mitarbeiter.

"Die Positionen und Arbeitsorte der Mitarbeiter sind in dieser Datenbank verteilt, ebenso wie ihre eigenen physischen Privatadressen."

Es genügt zu sagen, dass dies eine sehr schwerwiegende Verletzung der Privatsphäre ist, die nicht einfach heruntergespielt werden kann.

Angeblich wird der Verstoß unter die DSGVO fallen und sollte bereits den französischen Datenschutzbehörden gemeldet worden sein. Dies setzt Decathlon der Möglichkeit aus, eine Geldstrafe von bis zu 512 Millionen US-Dollar zu verhängen, basierend auf seinem weltweiten Umsatz von 12,8 Milliarden US-Dollar für 2018.