L’enseigne de sport et de loisirs, Decathlon a exposé 123 millions de données en ligne, dont des informations sensibles concernant à la fois les clients et les employés de l’entreprise. Ces données ont été exposées à cause d’une faille dans une base de données, apparemment mal configurée.

Une base de données de 9 Go trouvée

C’est une équipe de vpnMentor qui a mis la main sur cette base de données, pensant de 9 Go. Celle-ci se trouvait sur un serveur non sécurisé. On pouvait y trouver de nombreuses informations provenant des magasins espagnols de l’enseigne, mais aussi des boutiques anglaises. Selon vpnMentor, “la fuite de la base de données de Decathlon Espagne contient un véritable trésor de données sur les employés et plus encore. Il y a tout ce qu’un pirate malveillant aurait, en théorie, besoin d’utiliser pour reprendre des comptes et accéder à des informations privées”.

Et en effet, des fiches d’employés révélant leur identité complète, leur numéro de sécurité sociale, leur adresse personnelle, e-mail, et même date de naissance auraient été laissées en libre accès.

Decathlon a immédiatement réagi

Tandis que la base de données a été découverte le 12 février dernier par vpnMentor, Decathlon en a été informé le 16 février et l’a fermé quasi immédiatement, en bloquant son accès dès le 17 février. L’enseigne a affirmé que malgré le grand nombre de données concernées, “seul un faible pourcentage concerne les utilisateurs réels”.

En effet, un incident a bien été détecté et résolu par nos équipes locales. L’incident a affecté des données techniques internes et en aucun cas des mots de passes ni des numéros de cartes bancaires de clients espagnols. Sur les 123 millions de données mentionnées seuls 0,03% sont des données d’utilisateurs espagnols (nom, prénom, e-mail) et les 99% restants des données techniques internes propres à Decathlon Espagne,” nous a précisé un porte-parole de l’enseigne.

Face à cela, vpnMentor affirme dans son rapport, qu’il pourrait y avoir une véritable mise en danger des employés de l’entreprise. Quiconque souhaitant retrouver ces personnes dispose “des positions et les lieux de travail des employés, ainsi que leurs propres adresses physiques“, autant d’éléments qui, a fortiori, ne respectent pas leur vie privée. Par ailleurs, aucune information liée aux cartes de crédits ou données bancaires ne serait concernée.

Avec cette faille, Decathlon rejoint la liste des entreprises ne disposant pas d’une sécurité suffisante vis-à-vis de son activité. vpnMentor de son côté n’en est pas à son coup d’essai, ses équipes avaient déjà, en décembre dernier, détecté la faille laissée par Genius, la caisse connectée de La Poste.