Decathlon a laissé traîner 123 millions de données personnelles sur la Toile
Decathlon a laissé traîner 123 millions de données personnelles sur la Toile
d'après un rapport des chercheurs en sécurité de la société vpnMentor
Decathlon, le géant mondial d’articles de sport, a lui aussi fait face à une fuite massive qui a été découverte il y a quelques jours. Décathlon est donc ainsi la dernière entreprise majeure en date à faire face à une fuite massive de données personnelles. Pour être plus précis, il s'agit de la base de données d’une filiale espagnole de l'équipementier qui s’est retrouvée être exposée alors qu’elle comprenait les informations personnelles de tous ses salariés mais également les informations de connexion de ses clients.
C’est dans le cadre d’un énorme projet de cartographie web que les chercheurs constituant l’équipe de recherche de vpnMentor ont découvert la faille dans la base de données de Decathlon. « Nous pouvions accéder à cette base de données, car elle n’était pas du tout sécurisée et non chiffrée. Notre équipe pouvait accéder à tous les fichiers de la base de données au moyen d’un navigateur web », expliquent les chercheurs en sécurité de vpnMentor. On pouvait y trouver de nombreuses informations provenant des magasins espagnols de l’enseigne, mais aussi des boutiques anglaises.
On retrouve parmi les informations ayant fait l'objet de fuite, l'intégralité des données personnelles relatives aux employés du groupe, comme leurs noms, leurs adresses et numéros de téléphone ou leurs numéros de sécurité sociale. Les données de quelques clients de Décathlon faisaient également partie de la liste, notamment les identifiants de connexion et les mots de passe. Ces données personnelles étaient en accès libre depuis un simple navigateur.
La base de données a été découverte le 12 février dernier, Decathlon en a été informé le 16 février et l’a fermé quasi immédiatement, en bloquant son accès dès le 17 février. Dans un communiqué du porte-parole de la filiale, l’entreprise a tenté d’amoindrir l’impact de cette fuite : « Selon nos analyses, de toutes les données exposées dans l'incident, seules 0,03 % sont des données utilisateur et les 99,97 % restants sont des données techniques internes à Décathlon Espagne ». Déclaration assez étonnante surtout lorsque les chercheurs de vpnMentor révèlent avoir été en mesure de récolter les mots de passe non chiffrés des administrateurs système et on sait tous comment ce genre d’informations pourraient être exploitées par des hackers.
Dans son rapport, vpnMentor apporte quelques conseils qui auraient pu éviter à la filiale espagnole de l’équipementier de voir sa base de données ainsi exposée. La sécurisation de ses serveurs, la mise en place de règles d’accès appropriées et le fait de ne jamais laisser un système ne nécessitant pas d'authentification ouvert sur Internet, sont 3 des nombreuses mesures de sécurité proposées par vpnMentor.
Ce nouveau scandale vient une fois de plus mettre sur la table des discussions, la question de la sécurité des données des utilisateurs en ligne. Il serait peut-être temps que des mesures fermes soient prises afin de contraindre les entreprises détentrices de données des utilisateurs, à faire tout ce qui devrait être fait pour garantir la sécurité des données en leur possession
Source : Rapport vpnMentor
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Répondre avec citation
Envoyé par tanaka59
Partager