La société sportive Decathlon a subi une violation de données massive exposant les enregistrements de plus de 123 millions d'utilisateurs et d'employés.
Selon des chercheurs de vpnMentor, plus de 9 Go de données ont été divulgués à partir d'un serveur ElasticSearch non sécurisé.
Les informations divulguées, qui concernent principalement la branche espagnole de la société, ont été trouvées le 12 février, et Decathlon a été informé le 16 février, la société affirmant que le serveur avait été corrigé le lendemain lui-même.
Sommaire
Décathlon hack
Selon Decathlon, la majorité des données concernaient ses employés, très peu de clients étant concernés.
Les fichiers divulgués contenaient des informations, notamment les noms d'utilisateur des employés, des mots de passe non chiffrés, des adresses e-mail officielles, des informations sur les contrats des employés, des journaux d'API et des informations d'identification d'API.
Mais également inclus des informations personnellement identifiables comme les numéros de sécurité sociale, les nationalités, les numéros de téléphone mobile, les adresses complètes et les dates de naissance des employés.
Les identifiants de connexion non cryptés et les adresses IP privées appartenant aux clients de Decathlon peuvent également être trouvés dans la base de données divulguée.
Les experts estiment que les auteurs peuvent essayer de voler davantage de données en utilisant les informations d'identification de l'administrateur ou envoyer des e-mails de phishing aux clients. Les tentatives de vol d'identité et les attaques physiques ne peuvent être exclues car les données divulguées contenaient des informations personnellement identifiables.
«La fuite de la base de données Decathlon Espagne contient un véritable trésor de données sur les employés et plus encore. Il a tout ce qu'un pirate malveillant aurait, en théorie, besoin d'utiliser pour reprendre des comptes et accéder à des informations privées et même propriétaires », a déclaré vpnMentor.
Via: ComputerWeekly