Skip to main content

Decathlon piraté : plus de 120 millions de clients et d’employés concernés

Decathlon
(Crédit photo: Shutterstock.com / Tharnapoom Voranavin)

L'équipementier sportif Decathlon a subi une violation massive de ses données, exposant les identifiants de 123 millions de clients et d’employés du groupe. Selon les chercheurs du site vpnMentor, plus de 9 Go de fichiers ont été dérobés à partir d'un serveur ElasticSearch non sécurisé.

Les informations divulguées concerneraient principalement la filiale espagnole. La direction française certifie qu’aucun magasin localisé en France métropolitaine n’a été exposé. Repérée le 12 février dernier, la faille de sécurité a été maîtrisée au bout de 24 heures. Decathlon n’en fut informé que le 16 février.

Noms, mots de passe, numéros de sécurité sociale dévoilés

Selon le groupe, la majeure partie des données piratées appartiendraient aux employés de la marque, peu de clients seraient impactés à ce jour. Les fichiers volés comprendraient des informations sensibles, telles que les noms, prénoms et adresses électroniques des employés, mais surtout leurs mots de passe non cryptés, des éléments contractuels comme des numéros de sécurité sociale. Les coordonnées téléphoniques et postales ont également été aspirées.

Côté clients, la base de données aurait référencé plusieurs identifiants de connexion non cryptés ainsi que des adresses IP privées.

Les experts de vpnMentor pensent que les pirates pourraient tenter de voler des données complémentaires en réutilisant les identifiants de l'administrateur ou en envoyant des e-mails frauduleux de type phishing aux clients Decathlon. Les tentatives de vol d'identité et d'attaques physiques ne peuvent être exclues car les informations divulguées permettent de localiser lesdits clients.

« La base de données de Decathlon Espagne contient un véritable trésor de data sur ses employés et bien plus encore. Elle met à disposition tout ce dont un pirate informatique malveillant aurait, en théorie, besoin pour abuser de multiples comptes et accéder à des informations privées, y compris propriétaires », a déclaré vpnMentor.

Via: ComputerWeekly