Dernières nouvellesLes données personnelles de 8 000 employés de Decathlon...

Les données personnelles de 8 000 employés de Decathlon exposées

-

Une enqute mene par VPNmentor montre que des donnes incluant noms, mails, photos et jetons d’authentification de prs de 8 000 employs de Decathlon ont t exposes. Une mauvaise configuration de bucket S3 relatif un serveur utilis par un partenaire du groupe en est l’origine.

Un peu plus d’un an après la découverte d’une base de données de Decathlon Espagne sur un serveur Elasticsearch non sécurisé exposant 123 millions d’enregistrements, VPNmentor a encore frappé. Ses chercheurs en sécurité ont en effet trouvé cette fois une base de données personnelles affectant près de 8% des employés de l’enseigne de sport. L’origine de cet incident a également été établi et une mauvaise configuration de bucket S3 chez un partenaire du groupe est pointée du doigt. Selon VPNmentor, la société de conseil Bluenove a pour le compte de Deacathlon mené une enquête interne baptisée « Vision 2030 ». Dans le cadre de son activité, un bucket AWS S3 a été utilisé et s’est avéré mal configuré. Les erreurs de configuration relatives à ce type d’infrastructures sont relativement fréquentes, sans véritablement trouver de parades de la part des entreprises ou les fournisseurs de cloud.

Dans le cadre de sa recherche, VPNmentor a établi que 7 883 salariés de l’enseigne sont concernés par cette exposition de données, sur un total d’environ 96 000 soit un peu moins de 8% des effectifs au niveau mondial. La nature des données concernées est variée : noms, prénoms adresses mail, pays et ville de résidence, photos mais aussi des données sensibles de sécurité. « Le bucket S3 contenait également des jetons de sécurité (token) qui auraient pu permettre un accès supplémentaire à des comptes privés ou à d’autres zones internes du système de Decathlon. Cependant, nous n’avons pas tenté d’utiliser ces jetons pour des raisons éthiques, mais nous demandons instamment à Decathlon d’enquêter plus avant afin d’éviter les abus par des tiers malveillants », prévient VPNmentor. A noter que la très grande majorité des données exposées n’ont rien à voir avec celles de l’enquête menée par Bluenove, ce qui pose la question de savoir comment elles se sont retrouvées sur cette base sans qu’une réponse ait pour le moment été apportée.

Une porte ouverte à des campagnes de phishing

Dans son billet, VPNmentor précise le calendrier de la découverte de cet incident. Découverte le 9 mars 2021, cette faille a été portée à la connaissance des différents acteurs et des réactions appropriées de Decathlon et d’AWS ont été effectuées dans la foulée. Le temps d’exposition exact de ces données n’a pas été déterminé, mais sans doute ont-elles commencées à l’être entre mars et novembre 2020. Un temps infini à l’échelle de la cybersécurité ayant pu déboucher au pire.

« Si des pirates avaient eu accès à ces données, ils auraient pu cibler des milliers d’employés et de clients de Decathlon avec diverses formes de fraude en ligne et d’attaque virale. En combinant les données personnelles d’un individu, les informations sur les enquêtes effectuées et d’autres détails exposés, les pirates auraient pu créer des campagnes de phishing très efficaces se faisant passer pour Bluenove ou Decathlon par e-mail ou par téléphone. Ce faisant, ils pourraient facilement convaincre les gens de fournir des données encore plus sensibles à des fins frauduleuses ou en cliquant sur des liens intégrés avec des malware, des logiciels espions ou d’autres vecteurs ».

Une analyse d’impact menée par Decathlon

VPNmentor explique que Bluenove aurait pu éviter cette situation en prenant quelques actions de sécurisation de ses serveurs, mise en œuvre des règles d’accès appropriées et ne jamais laisser un système qui ne nécessite pas d’authentification ouvert sur le web. « Rendre le bucket privé en ajoutant des protocoles d’authentification, suivre les meilleures pratiques d’accès et d’authentification AWS, et ajouter plus de couches de protection aux compartiments S3 pour restreindre davantage les personnes pouvant y accéder à partir de chaque point d’entrée », sont des conseils et bonnes pratiques que toutes les entreprises devraient également suivre.

Sollicité par la rédaction pour en savoir plus sur cette affaire, un porte-parole de Decathlon nous a apporté les précisions suivantes : « Un espace de stockage de données Decathlon, appartenant à l’un de ses prestataires, et géré par ses soins a été exposé sur internet. Aucune donnée n’a été divulguée ni utilisée par des tiers. Aucune donnée bancaire ni mot de passe n’a été concerné. Decathlon, tenu informé le 12 avril 2021, a immédiatement pris les mesures nécessaires pour faire cesser cette exposition. Dès connaissance de l’incident, Decathlon a requis la fermeture expresse de l’espace de stockage, initié pour mener un sondage. Cet espace de stockage a été fermé le 14 avril. Decathlon, dont la sécurité des données est la priorité, a mené l’analyse d’impact requise dans ce type de situation (cf. article 33 du RGPD). Cette analyse d’impact n’a pas mis en lumière de risque pour les personnes concernées ».

Dernières Nouvelles

Le maire pour Nice, Christian Estrosi, préconise le port du masque dans les transports publics

Ce lundi 27 juin, le maire de Nice et président de la Métropole Nice Côte d'Azur a préconisé le retour du déguisement et le respect des gestes barrières dans les transports publics pour contrer la propagation du Covid-19 laquelle amorce cette 7e vague en France.

La fédération LR vers l’Oise placée sous tutelle : « cela va au moins permettre d’éclaircir certaines positions »

une nouvelle a été annoncée mardi 21 juin lors du bureau politique. Elle sonne comme un rappel à l’ordre pour une fédération LR de l’Oise, qui passe désormais sous tutelle certains instances nationales du parti.

Ain : Damien Abad de nouveau visé par une plainte pour tentative de crime

la nouvelle plainte a été déposée contre Damien Abad. Déposée par la élue centriste, la plainte concerne la tentative de sévices remontant à 2010. Le rusé des solidarités a répliqué en déposant à son tour plainte pour dénonciation calomnieuse.

Le Kremlin assure qu’il n’y a « aucexcrétione » raison d’évoquer excrétion défaut de paiement de la Russie

Le porte-parole du Kremlin a réfuté ce lundi le risque de défaut de paiement de la Russie plus que les détenteurs d'obligations russes n'auraient pas touché leurs intérêts avant la date limite.

A Lire Absolument

Appareil Lenovo Area S.p.A. sistema di monitoraggio Dual Band

La caméra IP sans fil Lenovo Area S.p.A. sistema...

Andrea Formenti parle de l’importance des technologies de l’information

L'informatique a pénétré pratiquement tous les aspects des affaires...

Pour vous