スポーツ用品小売業者の十種競技は、パスワードを含む1億2,300万件のレコードを流出
フランスのスポーツ用品小売チェーンであるDecathlonは、データベースの設定ミスにより、顧客と従業員の両方の1億2,300万件のレコードを漏らしたことが明らかになったため、最近お湯を浴びました。
デカスロンはスポーツ用品の世界で大規模な存在感を示していると言えば十分です。69か国で確固たる存在感を示し、世界中で90,000人以上を雇用し、英国からブルガリアまで世界中に1600以上の店舗があります。同社は、在庫ロボットと店内モバイルチェックアウトシステムを使用することで有名であり、現代の技術革新に可能な限り近代化とペースを合わせることに見事な献身を示しています。
残念ながら、デカスロンは2月12日に安全でないElasticsearchサーバーで9GBのデータベースが発見されたため、オンラインセキュリティにほとんど十分な努力を払っていなかったようです。顧客の電子メールとログイン情報、パスワード、社会保障番号、氏名、住所、生年月日、携帯電話番号、従業員のユーザー名、パスワードなど、デカスロンのスペインおよび英国の企業からの情報-すべて平文
すべてのデータは暗号化されておらず、別の方法で保護されていませんでした。
リークを発見したITセキュリティスペシャリストのVpnMentorは、「リークされたDecathlon Spainデータベースには、従業員データなどの真の宝庫が含まれています。理論的には、悪意のあるハッカーがアカウントを乗っ取り、個人情報や専有情報にアクセスするために使用する必要があるすべてのものを備えています。」
データ侵害は2月12日に発見され、デカスロンは2月16日に通知されました。データベースは2月17日にプルされました-しかし、情報はかなり前からアクセス可能であったため、悪意のある攻撃者がアクセスできないという保証はありません現時点では。実際、それは悪いことかもしれませんが、逆の可能性は非常に高いです。
十種競技はその後、データベースに含まれる膨大な量のレコードにもかかわらず、実際の顧客プロファイルとそこに含まれる情報に関連する情報はごくわずかであると主張して、心強い声明を発表しました。これは一部のユーザーを安心させるかもしれませんが、デカスロンが過失によって妥協したのは顧客のセキュリティではなく、自分のスタッフのセキュリティであることを意味します。
「従業員の役職と勤務地は、このデータベース全体と、自分の物理的な自宅住所に広がっています。」
これは非常に深刻なプライバシー侵害であり、簡単に軽視することはできないと言えば十分です。
伝えられるところでは、違反はGDPRでカバーされ、フランスのデータ保護当局にすでに報告されているはずです。これにより、2018年の128億ドルの世界的な収益に基づいて、デカスロンは最大512百万ドルの罰金を科せられる可能性があります。