El minorista deportivo Decathlon dejó expuestos los datos de los empleados

El minorista deportivo Decathlon dejó expuestos los datos de los empleados


Minorista de artículos deportivos Decatlón se ha convertido en la última empresa de alto perfil en sufrir una fuga de datos como resultado de un servicio en la nube mal configurado, después de dejar 123 millones de registros por un total de más de 9 GB de datos expuestos en un entorno no seguro Servidor ElasticSearch.

Los datos, que se refieren principalmente al negocio español del minorista francés, pero que también pueden afectar al Reino Unido, fueron descubiertos por Noam Rotem y Ran Locar de El equipo de investigación de seguridad de vpnMentor, que han llevado a cabo un extenso proyecto de mapeo web que destaca el problema generalizado de que los servicios de almacenamiento en la nube se queden sin protección.

«La base de datos filtrada contiene un verdadero tesoro de datos de empleados y más», dijeron Rotem y Locar en su divulgación. «Tiene todo lo que un hacker malicioso necesitaría, en teoría, usar para hacerse cargo de las cuentas y obtener acceso a información privada e incluso privada».

Deberías leer:   Oppo ColorOS 13 se lanzará este mes

Los datos incluían nombres de usuario del sistema de empleados, contraseñas sin cifrar, registros de API, nombres de usuario de API y contraseñas sin cifrar.

También contenía información de identificación personal (PII) relacionada con el personal, incluidos sus nombres, nacionalidades, cumpleaños, números de teléfono, direcciones, detalles y calificaciones de educación e información del contrato.

Los detalles del cliente incluyen correos electrónicos no cifrados e información de inicio de sesión, direcciones IP privadas, intentos de inicio de sesión y detalles de API.

Se notificó a Decathlon sobre la fuga el 16 de febrero de 2020, y la base de datos se aseguró el 17 de febrero, pero la empresa ahora puede tener un riesgo significativamente mayor de espionaje corporativo, toma de cuenta e intentos de phishing selectivos, mientras que se divulgó información suficiente sobre los empleados fácilmente. permitir a los ciberdelincuentes robar sus identidades.

También existe el riesgo de amenazas físicas. Debido a que los datos sobre las funciones y ubicaciones de trabajo de los empleados se incluyeron en la base de datos, su seguridad personal en el mundo real podría ponerse en peligro si, por ejemplo, un cliente particularmente iracundo tuviera en sus manos la información.

Deberías leer:   Samsung One UI 5: Todo lo que necesitas saber

«Decathlon podría haber evitado fácilmente esta filtración si hubieran tomado algunas medidas de seguridad básicas para proteger la base de datos», dijeron Rotem y Locar. «Estos incluyen, entre otros: proteger sus servidores, implementar reglas de acceso adecuadas y nunca dejar un sistema que no requiera autenticación abierta en Internet».

Censornet El CEO Ed Macnair dijo: “La magnitud de esta violación no solo es muy vergonzosa para Decathlon, sino que también es muy preocupante para los empleados y clientes que han estado en riesgo. Los detalles expuestos incluyen información crucial de identificación personal, como números de seguridad social, nombres completos y direcciones, y ofrecen a los ciberdelincuentes todo lo que necesitan para lanzar un ataque dirigido. Además de las posibles ramificaciones de seguridad cibernética, ya que las direcciones de sus hogares también han sido expuestas, su seguridad física también podría estar en riesgo.

Deberías leer:   El auge de los semiconductores: ¿ha perdido el Reino Unido su oportunidad?

“Esta es la última de una larga lista de organizaciones que han caído en desgracia con una base de datos en la nube no segura. A medida que más organizaciones mueven datos a la nube, es imperativo que comprendan que esto conlleva mayores responsabilidades y diferentes desafíos de seguridad. Cuando se trata de la configuración de la infraestructura de la nube, solo se necesita una instancia de error humano para que se expongan grandes cantidades de datos confidenciales ”.

Macnair agregó: “Las empresas de todos los tamaños deben asumir la responsabilidad de los datos que almacenan mediante la implementación de tecnología que les ofrezca visibilidad y control sobre cómo se manejan los datos confidenciales en la nube. La clave para prevenir fugas como estas es una postura de seguridad de varias capas que combina políticas de mejores prácticas y conciencia de los empleados con la tecnología adecuada «.

Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.