Le détaillant d'articles de sport Decathlon a perdu 123 millions de documents, y compris les mots de passe

La chaîne française de vente au détail d'articles de sport Decathlon a récemment atterri dans l'eau chaude, car il a été révélé qu'elle avait divulgué 123 millions de records de clients et d'employés en raison d'une base de données mal configurée.

Il suffit de dire que Decathlon est une présence massive dans le monde des articles de sport - il a une présence solide dans 69 pays, employant plus de 90000 dans le monde, avec plus de 1600 magasins à travers le monde, du Royaume-Uni à la Bulgarie. La société est réputée pour utiliser des robots d'inventaire et des systèmes de paiement mobiles en magasin, montrant un dévouement admirable à la pratique de la modernisation et du rythme avec les innovations technologiques de notre temps autant que possible.

Malheureusement, Decathlon ne semble pas avoir consacré assez d'efforts à la sécurité en ligne, car une énorme base de données de 9 Go a été découverte sur un serveur Elasticsearch non sécurisé le 12 février. Comme indiqué par les spécialistes de la sécurité informatique qui ont découvert le trésor, la base de données divulguée contenait les informations des entreprises espagnoles et britanniques de Decathlon - y compris les informations de connexion et de messagerie des clients, les mots de passe, les numéros de sécurité sociale, les noms complets, les adresses, les dates de naissance, les numéros de téléphone mobile, les noms d'utilisateur et les mots de passe des employés, etc. - le tout en clair.

Toutes les données n'ont pas été cryptées ni protégées d'une autre manière.

VpnMentor, le spécialiste de la sécurité informatique qui a découvert la fuite, avait ceci à dire sur le sujet: «La base de données Decathlon Espagne divulguée contient un véritable trésor de données sur les employés et plus encore. Il a tout ce qu'un pirate malveillant aurait, en théorie, besoin d'utiliser pour reprendre des comptes et accéder à des informations privées et même propriétaires ».

La violation de données a été découverte le 12 février et Decathlon en a été informé le 16 février. La base de données a été retirée le 17 février - mais comme les informations étaient accessibles depuis un certain temps, rien ne garantit que les acteurs malveillants n'y ont pas accès. pour le moment. En fait, aussi mauvais que cela puisse être, l'inverse est très probable.

Decathlon a depuis émis une déclaration rassurante, affirmant que malgré la grande majorité des enregistrements contenus dans la base de données, seul un faible pourcentage des informations qu'il contient se rapporte aux profils de clients réels et aux informations qu'il contient. Bien que cela puisse rassurer certains utilisateurs, cela implique que ce n'est pas la sécurité de leurs clients que Decathlon a compromise par leur négligence, mais la sécurité de leur propre personnel.

«Les postes et les lieux de travail des employés sont répartis dans cette base de données, ainsi que leurs propres adresses physiques.»

Il suffit de dire qu'il s'agit d'une violation très grave de la vie privée qui ne peut pas être minimisée facilement.

La violation serait censée être couverte par le RGPD et aurait déjà dû être signalée aux autorités françaises de protection des données. Cela expose Decathlon à la possibilité d'une amende pouvant atteindre 512 millions de dollars, sur la base de ses revenus mondiaux de 12,8 milliards de dollars pour 2018.

March 19, 2020

Laisser une Réponse