Decathlon, minorista de artículos deportivos, filtró 123 millones de registros, incluidas las contraseñas

La cadena minorista francesa de artículos deportivos Decathlon aterrizó recientemente en aguas calientes, ya que salió a la luz que había filtrado la friolera de 123 millones de registros de clientes y empleados debido a una base de datos mal configurada.

Baste decir que Decathlon es una presencia masiva en el mundo de los artículos deportivos: tiene una sólida presencia en 69 países, con más de 90,000 empleados en todo el mundo, con más de 1600 tiendas en todo el mundo, desde el Reino Unido hasta Bulgaria. La compañía es conocida por usar robots de inventario y sistemas de pago móvil en la tienda, mostrando una admirable dedicación a la práctica de modernizar y mantener el ritmo de las innovaciones tecnológicas de nuestro tiempo tanto como sea posible.

Desafortunadamente, Decathlon no parece haber hecho un esfuerzo suficiente en la seguridad en línea, ya que se descubrió una enorme base de datos de 9GB en un servidor Elasticsearch no seguro el 12 de febrero. Según lo informado por los especialistas en seguridad de TI que descubrieron el tesoro, la base de datos filtrada contenía información de las empresas españolas y británicas de Decathlon, incluida la información de correo electrónico y de inicio de sesión de los clientes, contraseñas, números de seguridad social, nombres completos, direcciones, fechas de nacimiento, números de teléfono móvil, nombres de usuario y contraseñas de los empleados, etc.

Todos los datos no fueron encriptados o de ninguna manera protegidos de otra manera.

VpnMentor, los especialistas en seguridad de TI que descubrieron la fuga, dijo esto sobre el tema: “La base de datos filtrada de Decathlon Spain contiene un verdadero tesoro de datos de empleados y más. Tiene todo lo que un hacker malicioso necesitaría, en teoría, usar para hacerse cargo de las cuentas y obtener acceso a información privada e incluso privada ”.

La violación de datos se descubrió el 12 de febrero y se notificó a Decathlon al respecto el 16 de febrero. La base de datos se retiró el 17 de febrero, pero dado que la información había estado accesible durante bastante tiempo, no hay garantía de que los actores maliciosos no tengan acceso a eso por el momento. De hecho, por malo que sea, lo contrario es bastante probable.

Desde entonces, Decathlon ha emitido una declaración tranquilizadora, alegando que, a pesar de la gran cantidad de registros contenidos en la base de datos, solo un pequeño porcentaje de la información allí se relaciona con los perfiles reales de los clientes y la información contenida en ellos. Si bien esto puede ser tranquilizador para algunos usuarios, implica que no es la seguridad de sus clientes lo que Decathlon ha comprometido por su negligencia, sino la seguridad de su propio personal.

"Los puestos de los empleados y las ubicaciones de trabajo están distribuidos en esta base de datos, así como en sus propias direcciones físicas".

Baste decir que se trata de una violación de la privacidad muy grave que no se puede minimizar fácilmente.

Supuestamente, la violación estará cubierta por el RGPD y ya debería haberse informado a las autoridades francesas de protección de datos. Esto expone a Decathlon a la posibilidad de recibir una multa de hasta $ 512 millones, en función de sus ingresos globales de $ 12.8 mil millones para 2018.

March 19, 2020

Deja una respuesta