A sportáruk kiskereskedője, a Decathlon 123 millió rekordot szivárogtatott fel, beleértve a jelszavakat
A francia sportáru-kiskereskedelmi lánc, a Decathlon a közelmúltban forró vízbe került, mivel kiderült, hogy egy tévesen konfigurált adatbázis miatt 123 millió rekordot szivárogtatott el mind az ügyfelek, mind az alkalmazottak számára.
Elég annyit mondani, hogy a Decathlon hatalmas jelenléte a sportcikkek világában - szilárd jelenléte 69 országban, világszerte több mint 90 000 alkalmazottat foglalkoztat, világszerte több mint 1600 üzlettel rendelkezik, az Egyesült Királyságtól Bulgáriáig. A társaság híres a készlet-robotok és a boltokban működő mobil pénztári rendszerek használatáról, csodálatos elkötelezettséget mutatva a korszerűsítés gyakorlatában, és amennyire csak képes lépést tartani korunk technológiai újításaival.
Sajnos úgy tűnik, hogy a Decathlon nem tett elegendő erőfeszítést az online biztonság érdekében, mivel február 12-én egy nem biztonságos Elasticsearch szerveren fedeztek fel egy óriási 9 GB-os adatbázist. Amint azt a csatat felfedező informatikai biztonsági szakemberek beszámolták, a kiszivárgott adatbázis a Decathlon spanyol és egyesült királyságbeli vállalkozásaitól kapott információk - beleértve az ügyfél e-mail és bejelentkezési információkat, jelszavakat, társadalombiztosítási számokat, teljes neveket, címeket, születési dátumokat, mobiltelefon-számokat, munkavállalói felhasználóneveket és jelszavakat stb. - mind szöveges szöveges formában.
Az összes adat nem volt titkosítva vagy semmilyen módon sem védett.
A szivárgást felfedező informatikai biztonsági szakemberek, a VpnMentor ezt mondhatták a témával kapcsolatban: „A kiszivárgott Decathlon Spain adatbázis valódi kincstárolót tartalmaz a munkavállalói adatokról és egyebekről. Mindent tartalmaz, amelyet egy rosszindulatú hackert elméletben a fiókok átvételéhez és a magántulajdonban lévő és akár a tulajdonhoz fűződő információkhoz való hozzáféréshez kellene használni ”.
Az adatok megsértését február 12-én fedezték fel, és Decathlonról február 16-án értesítették róla. Az adatbázist február 17-én hozták létre - de mivel az információk jó ideje hozzáférhetőek voltak, nem garantált, hogy a rosszindulatú szereplők nem férnek hozzá erre a pillanatra. Valójában, akármennyire is ez, az ellenkezője valószínű.
Azóta a Decathlon megnyugtató nyilatkozattal állította elő, azt állítva, hogy az adatbázisban szereplő rekordok nagy része ellenére az abban szereplő információk csak kis része kapcsolódik a tényleges ügyfélprofilokhoz és az abban található információkhoz. Bár ez biztató lehet néhány felhasználó számára, ez azt jelenti, hogy a Decathlon nem ügyfeleik biztonságát veszélyeztette gondatlanságuk révén, hanem saját munkatársaik biztonságát.
"A munkavállalók pozíciói és munkahelyei megoszlanak az egész adatbázisban, valamint a saját fizikai otthoni címeik."
Elegendő azt mondani, hogy ez a magánélet nagyon súlyos megsértése, amelyet nem lehet egyszerűen alábecsülni.
Állítólag a jogsértést a GDPR fedezi, és erről már be kellett jelenteni a francia adatvédelmi hatóságoknak. Ez a Decathlon számára 512 millió dolláros bírságot von maga után, a 2018-ra vonatkozó 12,8 milliárd dolláros globális bevétele alapján.