Ритейлер спортивных товаров Decathlon пропустил 123 миллиона записей, включая пароли
Французская сеть магазинов спортивных товаров Decathlon недавно приземлилась в горячей воде, поскольку выяснилось, что из-за неверно сконфигурированной базы данных она просочилась на колоссальные 123 миллиона записей как клиентов, так и сотрудников.
Достаточно сказать, что Decathlon широко представлен в мире спортивных товаров - он широко представлен в 69 странах мира, где работает более 90 000 человек по всему миру, а также более 1600 магазинов по всему миру, от Великобритании до Болгарии. Компания известна тем, что она использует роботов для инвентаризации и мобильных контрольных систем в магазинах, демонстрируя примечательную приверженность практике модернизации и, насколько это возможно, идет в ногу с технологическими инновациями нашего времени.
К сожалению, Decathlon, похоже, приложил недостаточно усилий для обеспечения онлайн-безопасности, поскольку 12 февраля на незащищенном сервере Elasticsearch была обнаружена колоссальная база данных объемом 9 ГБ. Как сообщили специалисты по ИТ-безопасности, обнаружившие эту уязвимость, утечка базы данных содержала информация от компаний Decathlon, работающих в Испании и Великобритании, включая информацию об электронной почте и имени пользователя, пароли, номера социального страхования, полные имена, адреса, даты рождения, номера мобильных телефонов, имена пользователей и пароли и т. д. - все в открытом виде.
Все данные не были зашифрованы или каким-либо образом защищены другим способом.
VpnMentor, специалисты по ИТ-безопасности, обнаружившие утечку, сказал следующее: «Утекшая база данных Decathlon Spain содержит настоящую сокровищницу данных о сотрудниках и многое другое. В нем есть все, что злонамеренный хакер, теоретически, должен использовать, чтобы захватить учетные записи и получить доступ к частной и даже частной информации ».
Нарушение данных было обнаружено 12 февраля, а Decathlon был уведомлен об этом 16 февраля. База данных была извлечена 17 февраля - но поскольку информация была доступна в течение достаточно долгого времени, нет никаких гарантий, что злоумышленники не имеют доступа к этому в данный момент. На самом деле, как бы плохо это ни было, вполне вероятно обратное.
С тех пор Decathlon выступил с обнадеживающим заявлением, утверждая, что, несмотря на огромное количество записей, содержащихся в базе данных, лишь небольшой процент информации в ней относится к фактическим профилям клиентов и информации, содержащейся в них. Несмотря на то, что это может быть обнадеживающим для некоторых пользователей, это означает, что не безопасность их клиентов компрометирует Decathlon из-за их небрежности, а безопасность их собственных сотрудников.
«Позиции и места работы сотрудников распределены по всей базе данных, а также их собственные физические адреса»
Достаточно сказать, что это очень серьезное нарушение конфиденциальности, которое не может быть легко преуменьшено.
Предполагается, что нарушение будет охватываться GDPR, и о нем уже следовало сообщить французским органам по защите данных. Это подвергает Decathlon возможности быть оштрафованным на сумму до 512 миллионов долларов, исходя из его глобальных доходов в размере 12,8 миллиардов долларов за 2018 год.