Eksperci tworzący społeczność portalu vpnMentor.com odkryli całkowicie niezabezpieczoną bazę danych firmy Decathlon z ponad 123 milionami rekordów. Baza ważyła ponad 9GB i znajdowała się na serwerze należącym do marki sklepów Decathlon Hiszpania. Badacze nie wykluczają, że dane pracowników i klientów mogły też należeć do innych narodowości. Ze względu na wielkość bazy przypisanie do konkretnego kraju ujawnionych informacji nie będzie możliwe.
Firma Decathlon jest znana z tanich akcesoriów i dobrej jakości odzieży sportowej za rozsądną cenę. Spółka została założona w 1976 roku i obecnie zatrudnia 93000 pracowników na całym świecie. Sklep internetowy firmy wizualnie należy do tych raczej nowoczesnych, ale klienci nie mają co liczyć na zabezpieczenie swojego konta poprzez drugi składnik logowania.
Dostępność w sieci poufnych informacji wykryto 12 lutego 2020 roku, ale to nie oznacza, że od tego dnia baza była dostępna dla każdego — prawdopodobnie każdy kto namierzył instancję mógł z niej skorzystać wcześniej. Sklep Decathlon powiadomiono 16 lutego. Dzień później naprawiono „usterkę”.
Baza danych zawierała szczegółowe dane o pracownikach np.:
- Nazwy użytkowników.
- Nieszyfrowane hasła.
- Numery ubezpieczenia społecznego.
- Numery telefonów komórkowych.
- Pełne adresy zamieszkania.
- Daty urodzenia.
- Służbowe adresy e-mail.
- Prywatne adresy IP.
Takie informacje mogą być użyte na szeroką skalę do szpiegostwa korporacyjnego, przygotowania kampanii mającej na celu wyłudzenie informacji, kradzieże tożsamości, a także naruszenie prywatności i możliwość szantażowania ze względu na dane o miejscu zamieszkania.
Klientom sieci sklepów Decathlon rekomenduje się zmianę haseł.
