Grosses Datenleck bei Decathlon

26. Februar 2020, 13:55
  • security
  • datenschutz
  • breach
  • elasticsearch
image

123 Millionen Datensätze wurden exponiert, darunter personenbezogene Daten von Kunden, Mitarbeitenden und Admin-Logins.

Beim französischen Sportartikelhändler Decathlon ist es zu einer Datenpanne gekommen. Die Security-Forscher von VPN Mentor haben eine ungeschützte, aktive Datenbank mit 123 Millionen Datensätzen gefunden. Die Daten lagen ihren Angaben zufolge auf einem Elasticsearch-Server, der Decathlon Spanien gehört.
Auf dem Server, so das Security-Team, sei eine wahre Fundgrube an Mitarbeiterdaten und mehr gelegen. Zu den exponierten Daten gehörten Namen, Nationalität, Geburtsdaten und Kontaktdaten, Sozialversicherungsnummern sowie Informationen zu den Arbeitsverträgen. Ebenfalls exponiert worden seien die E-Mail-Adressen und – ebenfalls unverschlüsselt – die Passwörter von Kunden. Unter den Daten hätten sich auch unverschlüsselte Admin-Logins befunden.
Die Datenbank hätte somit alles enthalten, was böswillige Hacker theoretisch brauchen würden, um beispielsweise Zugang zu Bankkonten zu erhalten. Die Daten könnten auch für ausgefeilte Phishing-Aktionen oder zum Identitätsdiebstahl verwendet werden.
Es habe sich mehrheitlich um Daten von Angestellten gehandelt; es seien nur wenige Kundendaten betroffen gewesen, schreibt 'Techradar' mit Verweis auf ein Decathlon-Statement.

"Ungesichert und unverschlüsselt"

Die Sicherheitsteams von VPN Mentor scannen eigenen Angaben zufolge das Internet routinemässig nach offenen Servern und ungeschützten Datenbanken ab. Die ungeschützte Decathlon-Datenbank sei am 12. Februar entdeckt worden. Am 16. Februar 2020 habe man das Unternehmen informiert. Dieses habe die Datenbank am 17. Februar 2020 abgesichert.
Die Security-Forscher seien in der Lage gewesen über einen Webbrowser, auf die Daten zuzugreifen, weil diese "komplett ungesichert und unverschlüsselt" gewesen seien. Gemäss VPN Mentor stammen die Daten aus Spanien und "wahrscheinlich auch" Grossbritannien. Man habe aber nicht den gesamten Datensatz gescannt. Somit sei es möglich, dass Standorte in weiteren Ländern betroffen sind.
Decathlon ist weltweit in knapp 50 Ländern aktiv, darunter auch in der Schweiz.
Dies ist nicht das erste Mal, dass sensible Daten über einen ungeschützten Elasticsearch-Server geleakt werden. VPN Mentor berichtet unter anderem über exponierte Daten von 20 Millionen Personen in Ecuador sowie von Kunden namhafter Hotelketten. Das deutsche CERT-Bund beschreibt, wie die eigenen Systeme auf einen offenen Dienst überprüft werden können. 

Loading

Mehr zum Thema

image

Google will ChatGPT-Konkurrenz öffentlich zugänglich machen

OpenAI hat mit Microsoft den Kampf um die Zukunft des Internets eröffnet, nun zieht Google nach. Das bedeutet ein Umdenken im Suchmaschinenkonzern.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

Podcast: Was hinter dem Zürcher Datenskandal steckt

In dieser Podcast-Episode arbeiten wir den Zürcher Datenskandal auf. Wie konnte es dazu kommen, was ist genau geschehen und was muss passieren, damit das nie mehr passiert?

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023