體育用品零售商十項全能洩露包括密碼在內的1.23億條記錄
法國體育用品零售連鎖店迪卡儂(Decathlon)最近因涉嫌數據庫配置錯誤而洩露熱水,因為該公司洩露了涉及客戶和員工的高達1.23億條記錄。
可以說,迪卡儂在體育用品世界中佔有舉足輕重的地位-它在69個國家/地區擁有穩固的地位,在全球擁有超過90,000名員工,從英國到保加利亞,在全球共有1600多家商店。該公司以使用庫存機器人和店內移動結帳系統而聞名,對現代化的實踐和與時俱進的技術創新表現出了令人敬佩的奉獻。
不幸的是,Decathlon似乎並沒有在在線安全方面投入足夠的精力,因為2月12日在不安全的Elasticsearch服務器上發現了一個巨大的9GB數據庫。迪卡儂在西班牙和英國的業務信息,包括客戶電子郵件和登錄信息,密碼,社會保險號,全名,地址,生日,手機號碼,員工用戶名和密碼等,均以純文本格式提供。
所有數據均未加密或以任何其他方式受到保護。
發現該洩漏的IT安全專家VpnMentor對這個話題說:“洩漏的Decathlon Spain數據庫包含著名副其實的員工數據寶庫和更多內容。從理論上講,它擁有惡意黑客用來接管帳戶並獲得對私人乃至專有信息的訪問權的一切”。
該數據洩露於2月12日被發現,十項全能在2月16日被通知。數據庫已於2月17日被拉出-但是由於該信息已被訪問了相當長的一段時間,因此無法保證惡意行為者無法訪問。此刻。實際上,儘管可能如此糟糕,但相反的情況卻很可能發生。
此後,迪卡儂發表了令人放心的聲明,聲稱儘管數據庫中包含大量記錄,但其中只有一小部分信息與實際客戶概況和其中包含的信息有關。儘管這可能會使某些用戶放心,但它確實暗示著迪卡儂因疏忽而損害的不是客戶的安全,而是員工自身的安全。
“員工的職位和工作地點遍布該數據庫以及他們自己的實際家庭住址。”
可以說這是對隱私的非常嚴重的侵犯,不能輕易輕描淡寫。
據稱,該違規行為將被GDPR涵蓋,並且應該已經向法國數據保護機構報告了。根據迪卡儂2018年全球收入128億美元,迪卡儂有可能被罰款5.12億美元。