Decathlon : à fond la fuite… de données personnelles !

Author:

Une base de données non sécurisée appartenant à Decathlon a été découverte sur le Web. Elle contenait plus de 123 millions d’informations personnelles et mots de passe des clients et des employés de la marque.

Si Decathlon prône la forme, pour ce qui est de sécuriser le fond, c’est une autre histoire… Avec ses caisses automatiques, ses bornes interactives, ses robots pour l’inventaire…, l’équipementier sportif a misé sur la high-tech, mais ne semble pas encore avoir complètement intégré la notion de cybersécurité. C’est, en tout cas, le constat qu’ont pu dresser des chercheurs en sécurité de vpnMentor. Ils ont pu accéder librement à une base de données de la marque contenant plus de 123 millions d’entrées.

Selon les informations disponibles sur leur site, la fuite concerne essentiellement la branche espagnole de Decathlon, mais la base de données pourrait aussi contenir des informations en provenance du Royaume-Uni. Les chercheurs ont découvert les données sur un serveur Web non sécurisé, sans chiffrement, ni même une protection par mot de passe. Un simple navigateur a suffi pour consulter l’ensemble des données sur les clients ainsi que les employés.

Publicité

Une base de données non chiffrée en libre accès

Decathlon a ainsi exposé les identifiants et mots de passe non chiffrés des clients du magasin. Du côté des employés, l’affaire est beaucoup plus grave. Les chercheurs ont pu accéder, non seulement, aux identifiants et aux mots de passe, mais également à de nombreuses informations personnelles, comme le lieu et les horaires de travail, leurs contrats, les adresses postales et e-mail ainsi que des numéros de téléphone. Pire encore, la base de données contenait également des mots de passe de comptes administrateur, là encore sans le moindre chiffrement.

Outre l’accès aux comptes des clients, une telle quantité d’informations pourrait permettre à des personnes mal intentionnées d’usurper l’identité des employés. Plus grave, avec cette base de données, des clients mécontents seraient susceptibles d’identifier les salariés et de s’en prendre à eux physiquement. vpnMentor a découvert la fuite le 12 février, et alerté Decathlon le 16 février. Sans pour autant communiquer sur le sujet, la marque a bloqué l’accès à la base de données dès le lendemain.

Categories: HeadLine

Leave a Reply

Your email address will not be published. Required fields are marked *