Retailer van sportartikelen Decathlon heeft 123 miljoen records gelekt, inclusief wachtwoorden
De Franse detailhandelsketen voor sportartikelen Decathlon is onlangs in heet water beland, omdat bleek dat het maar liefst 123 miljoen records van zowel klanten als werknemers heeft gelekt als gevolg van een verkeerd geconfigureerde database.
Het volstaat te zeggen dat Decathlon een enorme aanwezigheid heeft in de wereld van sportartikelen - het is solide aanwezig in 69 landen, met meer dan 90.000 werknemers wereldwijd, met meer dan 1600 winkels over de hele wereld, van het Verenigd Koninkrijk tot Bulgarije. Het bedrijf staat bekend om het gebruik van voorraadrobots en mobiele kassasystemen in de winkel, en toont bewonderenswaardige toewijding aan de praktijk van modernisering en gelijke tred houden met de technologische innovaties van onze tijd zoveel mogelijk.
Helaas lijkt Decathlon niet genoeg moeite te hebben gedaan om de online beveiliging te verbeteren, want op 12 februari werd op een onbeveiligde Elasticsearch-server maar liefst 9 GB database ontdekt. Zoals gemeld door de IT-beveiligingsspecialisten die de trove ontdekten, bevatte de gelekte database informatie van de Spaanse en Britse bedrijven van Decathlon - inclusief e-mail- en inloggegevens van klanten, wachtwoorden, burgerservicenummers, volledige namen, adressen, geboortedata, mobiele telefoonnummers, gebruikersnamen van werknemers en wachtwoorden, enz. - allemaal in leesbare tekst.
Alle gegevens waren niet versleuteld of op een andere manier beschermd.
VpnMentor, de IT-beveiligingsspecialisten die het lek ontdekten, had het volgende te zeggen: “De gelekte Decathlon Spanje-database bevat een ware schatkamer aan werknemersgegevens en meer. Het heeft alles wat een kwaadwillende hacker in theorie zou moeten gebruiken om accounts over te nemen en toegang te krijgen tot privé- en zelfs bedrijfseigen informatie ”.
Het datalek werd ontdekt op 12 februari en Decathlon werd er op 16 februari van op de hoogte gebracht. De database werd op 17 februari verwijderd - maar aangezien de informatie al geruime tijd toegankelijk was, is er geen garantie dat kwaadwillende actoren geen toegang hebben. op het moment. Hoe erg dat ook is, het tegendeel is zeer waarschijnlijk.
Decathlon heeft sindsdien een geruststellende verklaring afgelegd, bewerend dat ondanks het merendeel van de records in de database slechts een klein percentage van de informatie daarin betrekking heeft op daadwerkelijke klantprofielen en de informatie daarin. Hoewel dit voor sommige gebruikers geruststellend kan zijn, houdt dit in dat het niet de beveiliging van hun klanten is dat Decathlon door hun nalatigheid een compromis heeft gepleegd, maar de beveiliging van hun eigen personeel.
"De functies en werklocaties van werknemers zijn verspreid over deze database, evenals hun eigen fysieke huisadressen."
Het volstaat te zeggen dat dit een zeer ernstige inbreuk op de privacy is die niet gemakkelijk kan worden afgezwakt.
Naar verluidt valt de inbreuk onder de AVG en had deze al aan de Franse gegevensbeschermingsautoriteiten moeten worden gemeld. Dit stelt Decathlon bloot aan de mogelijkheid om een boete te krijgen van maximaal $ 512 miljoen, op basis van de wereldwijde inkomsten van $ 12,8 miljard voor 2018.
