Chez Decathlon, la forme n’est pas toujours à fond, en tous les cas pas sur le plan de la protection des données personnelles. Le groupe a laissé traîner sur le web un serveur de recherche et d’indexation de type ElasticSearch qui permettait d’accéder à plus de 123 millions de données personnelles. « Nous pouvions accéder à cette base de données, car elle n’était pas du tout sécurisée et non chiffrée. Notre équipe pouvait accéder à tous les fichiers de la base de données au moyen d’un navigateur web », expliquent les chercheurs en sécurité de VPNMentor, qui ont détecté cette fuite de donnée le 12 février dernier.
Cette base de données contenait des données sur des employés et des clients situés en Espagne et au Royaume-Uni : noms et prénoms, noms d’utilisateur, mots de passe non chiffrés, numéros de sécurité sociale, numéros de téléphones, adresses, dates de naissance, éducation, éléments de contrat de travail, etc. Les chercheurs de VPNMentor soulignent qu’ils ont même pu récupérer des mots de passe non chiffrés d’administrateurs réseau. Bref, cette base était un véritable trésor pour les pirates.
VPNMentor a alerté Decathlon le 16 février dernier. La base de données a été déconnectée le jour suivant. Concernant la sécurité de ses serveurs, le groupe français va devoir s’entraîner un peu plus. La médaille d’or, ce n’est pas pour demain.
Mise à jour le 27 février:
Suite à notre article, Decathlon nous a envoyé le communiqué suivant:
En effet, un incident a bien été détecté et résolu par nos équipes locales. L’incident a affecté des données techniques internes et en aucun cas des mots de passes ni des numéros de cartes bancaires de clients espagnols. Sur les 123 millions de données mentionnées seuls 0,03% sont des données d’utilisateurs espagnols (nom, prénom, e-mail) et les 99% restants des données techniques internes propres à Decathlon Espagne.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.