«Декатлон»: данные 123 млн покупателей утекли в Сеть

Сеть магазинов спортивных товаров Decathlon скомпрометировала 123 млн клиентских записей персональных данных из-за неправильно настроенного сервера Elasticsearch, сообщает ComputerWeekly.

Утечку из компании Decathlon обнаружили исследователи безопасности vpnMentor Ноам Ротем (Noam Rotem) и Ран Локар (Ran Locar). Изучив скомпрометированные данные, они пришли к выводу, что основная их часть касается испанского бизнеса спортивного ритейлера из Франции, но некоторые записи, вероятно, принадлежат британским клиентам компании.

Как сообщили исследователи, с незащищенного сервера утекли данные как покупателей, так и персонала компании. Скомпрометированная информация сотрудников Decathlon включает имена пользователей служебной информационной системы, журналы API, пароли (в том числе незашифрованные), а также номера социального страхования, реальные имена, данные о гражданстве, дни рождения, номера телефонов, адреса, сведения об образовании и квалификации, служебные контракты.

Утекшие клиентские данные включают электронные адреса и учетные данные для входа в систему. Кроме того, в хранилище были IP-адреса, сведения об API и попытках авторизации в системе.

Компания Decathlon была уведомлена об утечке 16 февраля. На следующий день открытый облачный сервер был защищен паролем. По словам специалистов, утечка грозит ритейлеру серьезными неприятностями. Компрометация данных ведет к рискам корпоративного шпионажа, захвата аккаунтов и целенаправленных фишинговых атак на клиентов и сотрудников.