Sporto prekių mažmeninės prekybos atstovas „Decathlon“ nutekino 123 milijonus įrašų, įskaitant slaptažodžius

Prancūzijos sporto prekių mažmeninės prekybos tinklas „Decathlon“ neseniai nusileido karštame vandenyje, nes paaiškėjo, kad dėl netinkamai sukonfigūruotos duomenų bazės jis nutekino 123 milijonus klientų ir darbuotojų įrašų.

Pakanka pasakyti, kad „Decathlon“ yra didžiulis sportinių prekių pasaulio atstovų skaičius - ji solidžiai veikia 69 šalyse, joje dirba daugiau nei 90 000, visame pasaulyje yra daugiau nei 1600 parduotuvių, nuo Jungtinės Karalystės iki Bulgarijos. Bendrovė garsėja tuo, kad naudojasi atsargų robotais ir parduotuvėse esančiomis mobiliųjų kasų sistemomis, demonstruodama puikų atsidavimą praktikai modernizuoti ir kiek įmanoma žengti koja kojon su mūsų laikų technologinėmis naujovėmis.

Deja, neatrodo, kad „Decathlon“ įdėjo beveik pakankamai pastangų internetinei saugai, nes vasario 12 d. Nesaugomame „Elasticsearch“ serveryje buvo aptikta didžiulė 9 GB duomenų bazė. Kaip pranešė „IT saugumo specialistai“, kurie atrado kelią, nutekėjusioje duomenų bazėje buvo Ispanijos ir JK įmonių „Decathlon“ informacija - įskaitant klientų el. pašto adresus ir prisijungimo duomenis, slaptažodžius, socialinio draudimo numerius, pavardes, adresus, gimimo datas, mobiliųjų telefonų numerius, darbuotojų vardus ir slaptažodžius ir kt. - visa tai suprantama tekstu.

Visi duomenys nebuvo užšifruoti ar kitaip apsaugoti.

Nutekėjimą atradę IT saugumo specialistai „VpnMentor“ turėjo pasakyti šia tema: „Nutekėjusioje„ Decathlon Spain “duomenų bazėje yra tikri darbuotojų duomenų lobiai ir dar daugiau. Joje yra viskas, ką klastingas įsilaužėlis teoriškai turėtų naudoti, norėdamas perimti sąskaitas ir gauti prieigą prie privačios ir net patentuotos informacijos “.

Duomenų pažeidimas buvo aptiktas vasario 12 d., O „Decathlon“ apie tai buvo pranešta vasario 16 d. Duomenų bazė buvo nusiųsta vasario 17 d. - tačiau kadangi informacija buvo prieinama jau gana ilgą laiką, nėra jokios garantijos, kad kenksmingi veikėjai neturi prieigos į jį šiuo metu. Tiesą sakant, kad ir kokia bloga, gali būti atvirkščiai.

Nuo tada „Decathlon“ pateikė nuraminantį pareiškimą, kuriame teigiama, kad, nepaisant didžiulės duomenų bazėje esančių įrašų, tik nedidelė dalis joje esančios informacijos yra susijusi su realiais klientų profiliais ir juose esančia informacija. Nors kai kuriems vartotojams tai gali būti malonu, tai reiškia, kad „Decathlon“ dėl jų aplaidumo pakenkė ne jų klientų saugumui, o jų pačių darbuotojų saugumui.

„Šioje duomenų bazėje yra išskaidytos darbuotojų pareigos ir darbo vietos, taip pat jų pačių fiziniai namų adresai.“

Pakanka pasakyti, kad tai labai rimtas privatumo pažeidimas, kurio negalima lengvai įvertinti.

Manoma, kad pažeidimui bus taikoma GDPR ir apie jį jau reikėjo pranešti Prancūzijos duomenų apsaugos institucijoms. Tai leidžia „Decathlon“ gauti baudą iki 512 milijonų dolerių, remiantis jos 2018 m. 12,8 milijardo JAV dolerių pajamomis.

March 19, 2020

Palikti atsakymą