体育用品零售商十项全能泄露包括密码在内的1.23亿条记录

法国体育用品零售连锁店迪卡侬(Decathlon)最近因涉嫌数据库配置错误而泄露热水,因为该公司泄露了涉及客户和员工的高达1.23亿条记录。

可以说,迪卡侬在体育用品世界中占有举足轻重的地位-它在69个国家/地区拥有稳固的地位,在全球拥有超过90,000名员工,从英国到保加利亚,在全球共有1600多家商店。该公司以使用库存机器人和店内移动结帐系统而闻名,对现代化的实践和与时俱进的技术创新表现出了令人敬佩的奉献。

不幸的是,Decathlon似乎并没有在在线安全方面投入足够的精力,因为2月12日在不安全的Elasticsearch服务器上发现了一个巨大的9GB数据库。迪卡侬在西班牙和英国的业务信息,包括客户电子邮件和登录信息,密码,社会保险号,全名,地址,生日,手机号码,员工用户名和密码等,均以纯文本格式提供。

所有数据均未加密或以任何其他方式受到保护。

发现该泄漏的IT安全专家VpnMentor对这个话题说:“泄漏的Decathlon Spain数据库包含着名副其实的员工数据宝库和更多内容。从理论上讲,它拥有恶意黑客用来接管帐户并获得对私人乃至专有信息的访问权的一切”。

该数据泄露于2月12日被发现,十项全能在2月16日被通知。数据库已于2月17日被拉出-但是由于该信息已被访问了相当长的一段时间,因此无法保证恶意行为者无法访问。此刻。实际上,尽管可能如此糟糕,但相反的情况却很可能发生。

此后,迪卡侬发表了令人放心的声明,声称尽管数据库中包含大量记录,但其中只有一小部分信息与实际客户概况和其中包含的信息有关。尽管这可能会使某些用户放心,但它确实暗示着迪卡侬因疏忽而损害的不是客户的安全,而是员工自身的安全。

“员工的职位和工作地点遍布该数据库以及他们自己的实际家庭住址。”

可以说这是对隐私的非常严重的侵犯,不能轻易轻描淡写。

据称,该违规行为将被GDPR涵盖,并且应该已经向法国数据保护机构报告了。根据迪卡侬2018年全球收入128亿美元,迪卡侬有可能被罚款5.12亿美元。

March 19, 2020

发表评论