Decathlon, varejista de artigos esportivos, vazou 123 milhões de registros, incluindo senhas

A Decathlon, rede francesa de varejo de artigos esportivos, desembarcou em água quente recentemente, pois ficou claro que vazou 123 milhões de registros de clientes e funcionários devido a um banco de dados mal configurado.

Basta dizer que o Decathlon é uma presença massiva no mundo dos artigos esportivos - tem uma presença sólida em 69 países, empregando mais de 90.000 em todo o mundo, com mais de 1600 lojas em todo o mundo, do Reino Unido à Bulgária. A empresa é conhecida por usar robôs de inventário e sistemas de checkout móvel na loja, mostrando dedicação admirável à prática de modernizar e acompanhar o máximo possível as inovações tecnológicas de nosso tempo.

Infelizmente, o Decathlon parece não ter se esforçado o suficiente na segurança on-line, pois um enorme banco de dados de 9 GB foi descoberto em um servidor Elasticsearch não seguro em 12 de fevereiro. Conforme relatado pelos especialistas em segurança de TI que descobriram o tesouro, o banco de dados vazado continha informações das empresas espanholas e britânicas da Decathlon - incluindo e-mail do cliente e informações de login, senhas, números de previdência social, nomes completos, endereços, datas de nascimento, números de telefones celulares, nomes de usuário e senhas de funcionários etc. - tudo em texto simples.

Todos os dados não foram criptografados ou protegidos de outra maneira.

VpnMentor, os especialistas em segurança de TI que descobriram o vazamento, tinha o que dizer sobre o assunto “O banco de dados vazado do Decathlon Spain contém um verdadeiro tesouro de dados de funcionários e muito mais. Ele tem tudo o que um hacker mal-intencionado precisaria, em teoria, para assumir contas e obter acesso a informações privadas e até proprietárias ”.

A violação de dados foi descoberta em 12 de fevereiro e o Decathlon foi notificado em 16 de fevereiro. O banco de dados foi retirado em 17 de fevereiro - mas, como as informações estavam acessíveis há algum tempo, não há garantia de que atores mal-intencionados não tenham acesso. para isso no momento. De fato, por pior que seja, é bem provável o contrário.

Desde então, a Decathlon apresentou uma declaração tranquilizadora, alegando que, apesar da grande quantidade de registros contidos no banco de dados, apenas uma pequena porcentagem das informações nele relacionadas se refere aos perfis reais dos clientes e às informações nele contidas. Embora isso possa ser tranquilizador para alguns usuários, isso implica que não é a segurança do cliente que o Decathlon comprometeu por negligência, mas a segurança de sua própria equipe.

"Os cargos e locais de trabalho dos funcionários estão espalhados por todo esse banco de dados, bem como seus próprios endereços residenciais físicos".

Basta dizer que essa é uma violação muito séria da privacidade que não pode ser subestimada facilmente.

Supostamente, a violação será coberta pelo GDPR e já deveria ter sido relatada às autoridades francesas de proteção de dados. Isso expõe a Decathlon à possibilidade de ser multada em até US $ 512 milhões, com base em sua receita global de US $ 12,8 bilhões em 2018.

March 19, 2020

Deixe uma Resposta