Der französische Sporthandelsgigant Decathlon ist die neueste große Marke, die Benutzerdaten über eine falsch konfigurierte Datenbank offenlegt und dabei über 123 Millionen Datensätze, einschließlich Kunden- und Mitarbeiterinformationen, durchsickern lässt, so die Forscher.
Ein Team von vpnMentor deckte die 9GB-Datenbank auf einem ungesicherten Elasticsearch-Server auf. Sie enthielt Informationen von den spanischen und möglicherweise auch britischen Unternehmen von Decathlon.
Decathlon: Datenverlust mit über 123 Million Datensätze
„Die durchgesickerte Datenbank von Decathlon Spanien enthält eine wahre Fundgrube an Mitarbeiterdaten und mehr. Sie enthält alles, was ein böswilliger Hacker theoretisch brauchen würde, um Konten zu übernehmen und Zugang zu privaten und sogar geschützten Informationen zu erhalten“, sagte vpnMentor.
Zu den durchgesickerten Daten gehören Benutzernamen von Mitarbeitern, unverschlüsselte Passwörter und persönlich identifizierbare Informationen (PII), einschließlich Sozialversicherungsnummern, vollständige Namen, Adressen, Mobiltelefonnummern, Adressen und Geburtsdaten.
Die durchgesickerten Daten enthielten auch unverschlüsselte E-Mail- und Anmeldeinformationen von Kunden.
Das vpnMentor-Team behauptete, dass Cyberkriminelle mit Hilfe von Administrator-Logins Unternehmensspionage betreiben, Kunden und Mitarbeiter mit überzeugenden Phishing-E-Mails bombardieren und PII für Identitätsbetrug einsetzen könnten.
Es argumentierte sogar, dass einige Mitarbeiter in körperlicher Gefahr sein könnten.
„Die Positionen und Arbeitsorte der Mitarbeiter sind über diese Datenbank verteilt, ebenso wie ihre eigenen physischen Wohnadressen“, stellte der Bericht fest. „Dies könnte dazu führen, dass verärgerte ehemalige Mitarbeiter oder verärgerte Kunden sie aufspüren und ihre körperliche Sicherheit und ihr Wohlbefinden bedrohen“.
Decathlon behauptet, dass trotz der großen Anzahl von Datensätzen in der Datenbank nur ein kleiner Prozentsatz auf tatsächliche Nutzer entfällt.
Die ungesicherte Datenbank wurde am 12. Februar entdeckt, vier Tage später wurde die Firma benachrichtigt. Sie ergriff fast sofort Maßnahmen und schloss den öffentlichen Zugang zur Datenbank am 17. Februar.
Decathlon reiht sich in eine lange Reihe von Organisationen ein, deren Cloud-Sicherheitskonfigurationen sich als mangelhaft erwiesen haben. Bereits im Jahr 2020 hat vpnMentor ein Leck von 30.000 Datensätzen aufgedeckt, die mit US-Cannabiskonsumenten und Tausenden von britischen Geschäftsleuten in Verbindung stehen, die über ein Londoner Beratungsunternehmen aufgedeckt wurden.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.