Sportsforhandler Decathlon lekket 123 millioner poster, inkludert passord

Den franske sportsvarekjeden Decathlon har landet i varmt vann nylig, da det kom fram at den har lekket hele 123 millioner poster med både kunder og ansatte på grunn av en feilkonfigurert database.

Det er nok å si at Decathlon er en massiv tilstedeværelse i sportsutstyrsverdenen - den har en solid tilstedeværelse i 69 land og sysselsetter over 90 000 globalt, med over 1600 butikker over hele verden, fra Storbritannia til Bulgaria. Selskapet er kjent for å bruke inventarroboter og mobile kassesystemer i butikken, og viser beundringsverdig dedikasjon til praksisen med å modernisere og holde tritt med vår tids teknologiske nyvinninger så mye det kan.

Dessverre ser ikke ut til at Decathlon har lagt nesten nok innsats i online sikkerhet, ettersom en enorm 9GB-database ble oppdaget på en usikret Elasticsearch-server tilbake 12. februar. Som rapportert av IT-sikkerhetsspesialister som oppdaget troben, inneholdt den lekkede databasen informasjon fra Decathlons spanske og britiske virksomheter - inkludert informasjon om kundens e-post og pålogging, passord, personnummer, fullstendige navn, adresser, fødselsdatoer, mobiltelefonnummer, ansattes brukernavn og passord osv. - alt i klartekst.

Alle dataene ble ikke kryptert eller beskyttet på noen måte på annen måte.

VpnMentor, IT-sikkerhetsspesialistene som oppdaget lekkasjen, hadde dette å si om emnet “Den lekte Decathlon Spain-databasen inneholder en veritabel skattekule av medarbeidersdata og mer. Den har alt som en ondsinnet hacker, i teorien, trenger å bruke for å overta kontoer og få tilgang til privat og til og med proprietær informasjon. ”

Databehandlingen ble oppdaget 12. februar, og Decathlon ble varslet om det 16. februar. Databasen ble trukket 17. februar - men siden informasjonen hadde vært tilgjengelig en god stund, er det ingen garanti for at ondsinnede skuespillere ikke har tilgang til det for øyeblikket. Så ille som det kan være, er faktisk det motsatte ganske sannsynlig.

Decathlon har siden kommet med en betryggende uttalelse, og hevdet at til tross for den store mengden av poster som finnes i databasen, bare en liten prosentandel av informasjonen i den angår faktiske kundeprofiler og informasjonen i den. Selv om dette kan være betryggende for noen brukere, innebærer det at det ikke er kundens sikkerhet at Decathlon har gått ut over deres uaktsomhet, men sikkerheten til deres egne ansatte.

"Ansattes stillinger og arbeidsplasser er spredt i hele denne databasen, så vel som sine egne fysiske hjemmeadresser."

Det er nok å si at dette er et veldig alvorlig brudd på personvernet som ikke lett kan bagatelliseres.

Angivelig vil bruddet bli dekket under GDPR og burde allerede ha blitt rapportert til de franske databeskyttelsesmyndighetene. Dette utsetter Decathlon for muligheten for å bli bøtelagt med 512 millioner dollar, basert på de globale inntektene på 12,8 milliarder dollar for 2018.