Decathlon, rivenditore di articoli sportivi, ha superato 123 milioni di record, incluse le password
La catena di negozi francese di articoli sportivi Decathlon è recentemente approdata in acqua calda, poiché è emerso che ha fatto traboccare ben 123 milioni di record di clienti e dipendenti a causa di un database non configurato correttamente.
Basti pensare che Decathlon è una presenza massiccia nel mondo degli articoli sportivi - ha una solida presenza in 69 paesi, impiegando oltre 90.000 in tutto il mondo, con oltre 1600 negozi in tutto il mondo, dal Regno Unito alla Bulgaria. La società è rinomata per l'utilizzo di robot di inventario e sistemi di checkout mobili in negozio, mostrando ammirevole dedizione alla pratica di modernizzare e tenere il passo con le innovazioni tecnologiche del nostro tempo il più possibile.
Sfortunatamente, Decathlon non sembra aver fatto abbastanza sforzi nella sicurezza online, dato che un enorme database da 9 GB è stato scoperto su un server Elasticsearch non sicuro il 12 febbraio. Come riportato dagli specialisti della sicurezza IT che hanno scoperto il problema, il database trapelato conteneva informazioni dalle aziende spagnole e britanniche di Decathlon - tra cui e-mail dei clienti e informazioni di accesso, password, numeri di previdenza sociale, nomi completi, indirizzi, date di nascita, numeri di telefono cellulare, nomi utente e password dei dipendenti, ecc. - tutto in testo semplice.
Tutti i dati non sono stati crittografati o protetti in alcun modo in altro modo.
VpnMentor, gli specialisti della sicurezza IT che hanno scoperto la perdita, ha detto questo sull'argomento “Il database trapelato di Decathlon Spagna contiene un vero e proprio tesoro di dati dei dipendenti e altro ancora. Possiede tutto ciò che un hacker malintenzionato dovrebbe, in teoria, utilizzare per rilevare account e accedere a informazioni private e persino proprietarie ”.
La violazione dei dati è stata scoperta il 12 febbraio e Decathlon ne è stato informato il 16 febbraio. Il database è stato estratto il 17 febbraio - ma poiché le informazioni erano accessibili da un po 'di tempo, non vi è alcuna garanzia che gli attori malintenzionati non abbiano accesso ad esso al momento. In effetti, per quanto possa essere negativo, è abbastanza probabile il contrario.
Da allora Decathlon è uscito con una dichiarazione rassicurante, sostenendo che, nonostante l'enorme mole di documenti contenuti nel database, solo una piccola percentuale delle informazioni in essa relative si riferisce ai profili dei clienti effettivi e alle informazioni in essi contenute. Anche se questo può essere rassicurante per alcuni utenti, implica che non è la sicurezza dei loro clienti che Decathlon ha compromesso a causa della loro negligenza, ma la sicurezza del loro personale.
"Le posizioni e le posizioni di lavoro dei dipendenti sono distribuite in questo database, così come i loro indirizzi di residenza fisici".
Basti pensare che si tratta di una violazione della privacy molto grave che non può essere minimizzata facilmente.
Presumibilmente, la violazione sarà coperta dal GDPR e avrebbe già dovuto essere segnalata alle autorità francesi di protezione dei dati. Questo espone Decathlon alla possibilità di essere multato fino a $ 512 milioni, sulla base dei suoi ricavi globali di $ 12,8 miliardi per il 2018.
