De Spaanse tak van sportwinkelketen Decathlon heeft via een onbeveiligde server wachtwoorden en privégegevens van duizenden medewerkers gelekt. Het gaat om 123 miljoen records en 9GB aan data die op de onbeveiligde Elasticsearch-server door onderzoekers Noam Rotem en Ran Locar van vpnMentor werd aangetroffen. De server was voor iedereen op internet toegankelijk en vereiste geen wachtwoord of andere vorm van authenticatie.

Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. In de gevonden records werden gebruikersnamen en onversleutelde wachtwoorden van medewerkers aangetroffen, alsmede hun namen, burgerservicenummers, nationaliteit, telefoonnummer, adresgegevens, geboortedatum, opleiding, e-mailadres en contractgegevens, zoals taakomschrijving, locatie, werktijden, contractduur en andere zaken.

Van een onbekend aantal klanten werden e-mailadressen in de records gevonden. Verder vonden de onderzoekers de gebruikersnaam en een onversleuteld wachtwoord van een API (programmeerinterface) en interne ip-adressen. De server werd op 12 februari ontdekt. Vier dagen later werd Decathlon ingelicht en een dag later was de server beveiligd. De onderzoekers merken op dat mogelijk ook gegevens van medewerkers van de Britse tak van Decathlon op de server stonden, maar dit is niet bevestigd. Volgens cijfers van Statista had Decathlon Spanje in 2017 ruim 12.000 medewerkers.