Décathlon Espagne bouche une fuite de données personnelles

Des centaines d’informations appartenant à Décathlon Espagne découvertes dans un cloud mal sécurisé. Des données de magasins, d’employés et d’utilisateurs rapidement sécurisés.

Toujours la même méthode, toujours le même type de fuite. Référencer les cloud « mal » sécurisés et en sortir, dans les cas les plus marquants, des informations non sécurisées. Nouvelle victime de ce type de problème, Décathlon Espagne, qui a oublié de fermer correctement les portes d’un de ses espaces nuagique. La découverte date du 12 février 2020. Décathlon a été notifié quatre jours après cette découverte. Pourquoi autant de temps ? Les « chercheurs » ont extraits les informations pour les analyser (sic!).

Dans ce cloud, les mots de passe des employés, les numéros de sécurité sociale, les téléphones portables, les adresses, des mails de clients … 123 millions de logs pour un stockage de 9 Go.

Cette boulette concernait Décathlon Espagne, mais aussi « une forte possibilité qu’elles incluent des informations de Décathlon Royaume-Uni » affichent le professionnel de la vente de VPN derrière cette annonce.

Depuis Décathlon Espagne, a assuré à Europe Press (qui reprenait le communiqué de presse du vendeur de VPN) que « cet incident n’a pas affecté de données sensibles […] la découverte concernait 0,03% de données d’utilisateurs et les 99,97% restants sont des données techniques internes […] En aucun cas, mots de passe ou numéros de carte de crédit ou informations personnelles privées n’ont été affectés« .

L’interconnexion des bases de données, et leurs sauvegardes, un enjeu de taille pour les entreprises. Un petit exemple personnel vécu il y a quelques jours. Si vous vous rendez au Décathlon de Montréal, et que vous n’avez pas pensé à prendre votre carte de fidélité de l’enseigne sportive. Il suffit de fournir votre nom pour que la filiale des cousins du Grand Nord vous ressorte vos informations tirées du Vieux Continent. Pratique… mais inquiétant, même si je sais aussi que les professionnels de la cyber, chez le géant du sport français, sont des personnels ultra compétents au point, par exemple, d’avoir mis en place un système de chiffrement 100% « À fond la forme« .

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.