Exposition massive de données de salariés et de clients de Décathlon


Un éditeur de sécurité a identifié une exposition des données de 123 millions d’enregistrements sur un serveur ElasticSearch géré par la filiale espagnole de Decathlon. La base de données renferme des informations sensibles, dont des codes d’accès d’administrateurs système.

Le 12 février, l’éditeur de sécurité vpnMentor a identifié une base de données non-sécurisée hébergée sur un serveur ElasticSearch. Celui-ci est exploité par Decathlon Espagne, et possiblement aussi la filiale britannique du groupe, afin de stocker des données relatives à ses salariés et des clients.


Au total, 123 millions d’enregistrements, soit 9 Go de données, étaient accessibles depuis internet, y compris par des pirates. Decathlon a été alerté de cette faille de sécurité le 16 février et a remédié au problème 1 jour plus tard.


Données personnelles des salariés exposées

L’éditeur vpnMentor ignore cependant depuis quand ces données étaient accessibles et si des vols de données ont eu lieu. Pour les experts en sécurité à l’origine de la découverte, pas de doute, les informations contenues dans la base de données sont sensibles.

« La base de données de Decathlon Espagne, qui a fait l’objet d’une fuite, contient un véritable trésor de données sur les employés et plus encore. Elle contient tout ce qu’un pirate informatique malveillant devrait, en théorie, utiliser pour s’emparer de comptes et accéder à des informations privées et même propriétaires » soulignent-ils.

Le serveur non-sécurisé fournissait plus particulièrement l’accès à de nombreuses données personnelles des salariés de l’entreprise : l’identité, l’adresse, le numéro de sécurité sociale, etc. S’y trouvaient également leurs identifiants et leurs mots de passe sur les systèmes informatiques de Decathlon.

vpnMentor estime également avoir détecté la présence de codes d’accès d’administrateurs. La fuite de ces données pourrait ouvrir l’accès à d’autres systèmes et informations sensibles. « La perte de contrôle de cet accès pourrait conduire les cybercriminels à s’approprier des comptes et à obtenir des informations autrement confidentielles sur les magasins, les employés et les clients » alertent les chercheurs en sécurité.

Ces derniers mettent également en garde contre des attaques ultérieures de phishing, qui cibleraient des salariés de Decathlon grâce aux données personnelles dérobées dans la base. Des vols d’identité ne sont pas à exclure non plus.

Exclusif intelligence artificielle

Décathlon optimise la présence des vendeurs en magasin grâce à l’I.A.

Comment optimiser les effectifs au sein de ses boutiques en fonction de la fréquentation et ainsi améliorer les ventes et la satisfaction client ? C’est la question qu’a cherché à résoudre Décathlon grâce à l’intelligence artificielle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *