Ο Decathlon λιανικής πώλησης αθλητικών ειδών ξεπέρασε τα 123 εκατομμύρια αρχεία, συμπεριλαμβανομένων των κωδικών πρόσβασης

Η γαλλική αλυσίδα λιανικής πώλησης αθλητικών ειδών Decathlon προσγειώθηκε πρόσφατα στο ζεστό νερό, καθώς ανακαλύφθηκε ότι έχει διαρρεύσει ένα επιβλητικό 123 εκατομμυρίων αρχείων τόσο των πελατών όσο και των εργαζομένων λόγω μιας λανθασμένης ρύθμισης της βάσης δεδομένων.

Αρκεί να πούμε ότι η Decathlon είναι μια τεράστια παρουσία στον κόσμο των αθλητικών ειδών - έχει μια ισχυρή παρουσία σε 69 χώρες, απασχολώντας πάνω από 90.000 παγκοσμίως, με πάνω από 1600 καταστήματα σε όλο τον κόσμο, από το Ηνωμένο Βασίλειο μέχρι τη Βουλγαρία. Η εταιρεία είναι γνωστή για τη χρήση ρομπότ απογραφής και συστημάτων αποθήκευσης στο χώρο αποθήκευσης, που δείχνουν αξιοθαύμαστη αφοσίωση στην πρακτική του εκσυγχρονισμού και διατήρησης των τεχνολογικών καινοτομιών της εποχής μας όσο το δυνατόν περισσότερο.

Δυστυχώς, η Decathlon δεν φαίνεται να έχει καταβάλει σχεδόν αρκετή προσπάθεια για την ασφάλεια στο διαδίκτυο, καθώς ανακαλύφθηκε μια επιβλητική βάση δεδομένων 9GB σε έναν μη ασφαλισμένο διακομιστή Elasticsearch στις 12 Φεβρουαρίου. Όπως αναφέρθηκε από τους ειδικούς ασφαλείας IT που ανακάλυψαν τη βάση δεδομένων, πληροφορίες από τις ισπανικές και βρετανικές επιχειρήσεις της Decathlon - συμπεριλαμβανομένων των ηλεκτρονικών μηνυμάτων ηλεκτρονικού ταχυδρομείου και των στοιχείων σύνδεσης, κωδικοί πρόσβασης, αριθμοί κοινωνικής ασφάλισης, πλήρη ονόματα, διευθύνσεις, ημερομηνίες γέννησης, αριθμούς κινητού τηλεφώνου, ονόματα χρηστών και κωδικοί πρόσβασης εργαζομένων κλπ.

Όλα τα δεδομένα δεν ήταν κρυπτογραφημένα ή με οποιονδήποτε τρόπο προστατευμένα με άλλο τρόπο.

Ο VpnMentor, οι ειδικοί ασφαλείας της πληροφορικής που ανακάλυψαν τη διαρροή, το έλεγαν σχετικά με το θέμα: "Η βάση δεδομένων της Decathlon Ισπανίας που διαρρέει περιέχει έναν πραγματικό θησαυρό των δεδομένων των εργαζομένων και πολλά άλλα. Έχει όλα όσα ένας κακόβουλος χάκερ, θεωρητικά, θα έπρεπε να χρησιμοποιήσει για να αναλάβει λογαριασμούς και να αποκτήσει πρόσβαση σε ιδιωτικές και μάλιστα ιδιόκτητες πληροφορίες ».

Η παραβίαση των δεδομένων ανακαλύφθηκε στις 12 Φεβρουαρίου και η Decathlon ενημερώθηκε για αυτό στις 16 Φεβρουαρίου. Η βάση δεδομένων τραβήχτηκε στις 17 Φεβρουαρίου - αλλά δεδομένου ότι οι πληροφορίες ήταν προσιτές για αρκετό καιρό, δεν υπάρχει εγγύηση ότι οι κακοί παραγωγοί δεν έχουν πρόσβαση σε αυτήν τη στιγμή. Στην πραγματικότητα, όσο κακό μπορεί να είναι, το αντίθετο είναι πολύ πιθανό.

Το Decathlon έρχεται από τότε με μια καθησυχαστική δήλωση, υποστηρίζοντας ότι παρά το τεράστιο όγκο των αρχείων που περιέχονται στη βάση δεδομένων, μόνο ένα μικρό ποσοστό των πληροφοριών σε αυτό σχετίζεται με τα πραγματικά προφίλ των πελατών και τις πληροφορίες που περιέχονται σε αυτά. Παρόλο που αυτό μπορεί να είναι καθησυχαστικό για κάποιους χρήστες, αυτό σημαίνει ότι δεν είναι ασφάλεια του πελάτη τους ότι η Decathlon έχει συμβιβαστεί μέσω της αμέλειάς τους, αλλά την ασφάλεια του προσωπικού τους.

"Οι θέσεις των υπαλλήλων και οι θέσεις εργασίας βρίσκονται σε ολόκληρη αυτή τη βάση δεδομένων, καθώς και οι δικές τους διευθύνσεις κατοικίας".

Αρκεί να πούμε ότι πρόκειται για μια πολύ σοβαρή παραβίαση της ιδιωτικής ζωής που δεν μπορεί να υποβαθμιστεί εύκολα.

Προφανώς, η παραβίαση θα καλύπτεται από το GDPR και θα έπρεπε ήδη να έχει αναφερθεί στις γαλλικές αρχές προστασίας δεδομένων. Αυτό εκθέτει το Decathlon στη δυνατότητα επιβολής προστίμου ύψους 512 εκατομμυρίων δολαρίων, με βάση τα παγκόσμια έσοδά του ύψους 12,8 δισεκατομμυρίων δολαρίων για το 2018.