Un éditeur de sécurité a identifié une exposition des données de 123 millions d’enregistrements sur un serveur ElasticSearch géré par la filiale espagnole de Decathlon. La base de données renferme des informations sensibles, dont des codes d’accès d’administrateurs système.
Le 12 février, l’éditeur de sécurité vpnMentor a identifié une base de données non-sécurisée hébergée sur un serveur ElasticSearch. Celui-ci est exploité par Decathlon Espagne, et possiblement aussi la filiale britannique du groupe, afin de stocker des données relatives à ses salariés et des clients.
Au total, 123 millions d’enregistrements, soit 9 Go de données, étaient accessibles depuis internet, y compris par des pirates. Decathlon a été alerté de cette faille de sécurité le 16 février et a remédié au problème 1 jour plus tard.
Données personnelles des salariés exposées
L’éditeur vpnMentor ignore cependant depuis quand ces données étaient accessibles et si des vols de données ont eu lieu. Pour les experts en sécurité à l’origine de la découverte, pas de doute, les informations contenues dans la base de données sont sensibles.
« La base de données de Decathlon Espagne, qui a fait l’objet d’une fuite, contient un véritable trésor de données sur les employés et plus encore. Elle contient tout ce qu’un pirate informatique malveillant devrait, en théorie, utiliser pour s’emparer de comptes et accéder à des informations privées et même propriétaires » soulignent-ils.
Le serveur non-sécurisé fournissait plus particulièrement l’accès à de nombreuses données personnelles des salariés de l’entreprise : l’identité, l’adresse, le numéro de sécurité sociale, etc. S’y trouvaient également leurs identifiants et leurs mots de passe sur les systèmes informatiques de Decathlon.
vpnMentor estime également avoir détecté la présence de codes d’accès d’administrateurs. La fuite de ces données pourrait ouvrir l’accès à d’autres systèmes et informations sensibles. « La perte de contrôle de cet accès pourrait conduire les cybercriminels à s’approprier des comptes et à obtenir des informations autrement confidentielles sur les magasins, les employés et les clients » alertent les chercheurs en sécurité.
Ces derniers mettent également en garde contre des attaques ultérieures de phishing, qui cibleraient des salariés de Decathlon grâce aux données personnelles dérobées dans la base. Des vols d’identité ne sont pas à exclure non plus.
Exclusif intelligence artificielle
Décathlon optimise la présence des vendeurs en magasin grâce à l’I.A.
Comment optimiser les effectifs au sein de ses boutiques en fonction de la fréquentation et ainsi améliorer les ventes et la satisfaction client ? C’est la question qu’a cherché à résoudre Décathlon grâce à l’intelligence artificielle.
Top lectures en ce moment
-
Trois questions auxquelles les retailers doivent répondre face à l’IA agentique
-
Doctolib lance un assistant vocal de gestion des appels des patients
-
Stellantis adopte les agents IA, arcbouté sur une plateforme d’IA bâtie avec Dat...
L’actualité de la transformation
L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités
Saur, spécialiste de la distribution d’eau potable, fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie
Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA
GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…
Et vous, qu’en pensez-vous ?
Une idée, une réaction, une question ? Laissez-nous un mot ci-dessous.
Je réagis à cet article