Sportvaruhandlare Decathlon läckte 123 miljoner poster, inklusive lösenord

Den franska detaljhandelskedjan för sportartiklar Decathlon har landat i varmt vatten nyligen, eftersom det kom fram att den har läckt en enorm 123 miljoner poster för både kunder och anställda på grund av en felkonfigurerad databas.

Det räcker med att säga att Decathlon är en massiv närvaro i idrottsutrustningsvärlden - den har en solid närvaro i 69 länder och sysselsätter över 90 000 globalt, med över 1600 butiker över hela världen, från Storbritannien till Bulgarien. Företaget är känt för att använda lagerrobotar och mobila kassasystem i butiken och visar beundransvärt engagemang för att modernisera och hålla jämna steg med vår tids tekniska innovationer så mycket som det kan.

Tyvärr verkar Decathlon inte ha lagt nästan tillräckligt med ansträngning i online-säkerhet, eftersom en enorm 9GB-databas upptäcktes på en osäker Elasticsearch-server tillbaka den 12 februari. Som rapporterats av IT-säkerhetsspecialister som upptäckte troven innehöll den läckta databasen information från Decathlons spanska och brittiska företag - inklusive kundens e-post- och inloggningsinformation, lösenord, personnummer, fullständiga namn, adresser, födelsedatum, mobiltelefonnummer, anställdas användarnamn och lösenord, etc. - allt i ren text.

All data var inte krypterad eller på något sätt skyddad på annat sätt.

VpnMentor, IT-säkerhetsspecialisterna som upptäckte läckan, hade detta att säga om ämnet ”Den läckta Decathlon Spain-databasen innehåller en verifierbar skattkammare av anställdas data och mer. Den har allt som en skadlig hacker i teorin skulle behöva använda för att ta över konton och få tillgång till privat och till och med äganderättslig information. ”

Dataöverträdelsen upptäcktes den 12 februari, och Decathlon meddelades om det den 16 februari. Databasen drogs den 17 februari - men eftersom informationen hade varit tillgänglig en god tid finns det ingen garanti för att skadliga aktörer inte har tillgång till det för tillfället. I själva verket, så illa som det kan vara, är motsatsen ganska trolig.

Decathlon har sedan dess kommit med ett lugnande uttalande och hävdat att trots den stora mängden poster som finns i databasen, endast en liten procentandel av informationen i den avser faktiska kundprofiler och informationen i den. Även om detta kan vara lugnande för vissa användare, innebär det att det inte är deras kunders säkerhet som Decathlon har komprometterat genom deras vårdslöshet, utan deras egen personal.

"Anställdas positioner och arbetsplatser är spridda i denna databas, liksom deras egna fysiska hemadresser."

Det räcker med att säga att detta är ett mycket allvarligt intrång i integriteten som inte kan bagatelliseras lätt.

Påstått kommer överträdelsen att täckas under GDPR och borde redan ha rapporterats till de franska dataskyddsmyndigheterna. Detta utsätter Decathlon för möjligheten att bli böter upp till 512 miljoner dollar, baserat på sina globala intäkter på 12,8 miljarder dollar för 2018.