Sprzedawca artykułów sportowych Decathlon wyciekł 123 miliony rekordów, w tym hasła
Francuska sieć detaliczna artykułów sportowych Decathlon niedawno wylądowała w gorącej wodzie, ponieważ wyszło na jaw, że wyciekła aż 123 miliony rekordów klientów i pracowników z powodu źle skonfigurowanej bazy danych.
Wystarczy powiedzieć, że Decathlon jest szeroko obecny w świecie artykułów sportowych - ma solidną obecność w 69 krajach, zatrudniając ponad 90 000 na całym świecie, w ponad 1600 sklepów na całym świecie, od Wielkiej Brytanii po Bułgarię. Firma słynie z wykorzystywania robotów magazynowych i mobilnych systemów kasowych w sklepach, wykazując godne podziwu przywiązanie do praktyki modernizacji i dotrzymywania kroku innowacjom technologicznym naszych czasów.
Niestety wydaje się, że Decathlon nie włożył wystarczająco dużo wysiłku w bezpieczeństwo online, ponieważ ogromna baza danych 9 GB została odkryta na niezabezpieczonym serwerze Elasticsearch 12 lutego. Jak informują specjaliści ds. Bezpieczeństwa IT, którzy odkryli skarbiec, wyciekła baza danych zawierała informacje z hiszpańskich i brytyjskich firm Decathlon - w tym wiadomości e-mail klientów i dane logowania, hasła, numery ubezpieczenia społecznego, imiona i nazwiska, adresy, daty urodzenia, numery telefonów komórkowych, nazwy użytkowników pracowników i hasła itp. - wszystkie w postaci zwykłego tekstu.
Wszystkie dane nie zostały zaszyfrowane ani w żaden sposób zabezpieczone w inny sposób.
VpnMentor, specjaliści ds. Bezpieczeństwa IT, którzy odkryli wyciek, miał to do powiedzenia na ten temat: „Wyciekła baza danych Decathlon Hiszpania zawiera prawdziwą skarbnicę danych pracowników i nie tylko. Ma wszystko, czego złośliwy haker teoretycznie musiałby użyć, aby przejąć konta i uzyskać dostęp do prywatnych, a nawet zastrzeżonych informacji ”.
Naruszenie danych zostało odkryte 12 lutego, a Decathlon został o tym powiadomiony 16 lutego. Baza danych została usunięta 17 lutego - ale ponieważ informacje były dostępne od dłuższego czasu, nie ma gwarancji, że złośliwi aktorzy nie będą mieli dostępu do tego w tej chwili. W rzeczywistości, choć może to być złe, jest całkiem prawdopodobne, że jest odwrotnie.
Od tamtej pory Decathlon wydał uspokajające stwierdzenie, twierdząc, że pomimo ogromnej ilości zapisów zawartych w bazie danych, tylko niewielki procent zawartych w niej informacji dotyczy rzeczywistych profili klientów i zawartych w nich informacji. Chociaż może to być uspokajające dla niektórych użytkowników, oznacza to, że Decathlon nie naruszył bezpieczeństwa swoich klientów poprzez zaniedbanie, ale bezpieczeństwo własnego personelu.
„Pozycje pracowników i miejsca pracy są rozmieszczone w tej bazie danych, a także ich fizyczne adresy domowe”.
Wystarczy powiedzieć, że jest to bardzo poważne naruszenie prywatności, którego nie można łatwo bagatelizować.
Podobno naruszenie zostanie objęte RODO i powinno być już zgłoszone francuskim organom ochrony danych. Naraża to Decathlon na karę grzywny w wysokości do 512 mln USD, w oparciu o jej globalne przychody w wysokości 12,8 mld USD w 2018 r.