image

Decathlon Spanje lekt wachtwoorden en privédata medewerkers

woensdag 26 februari 2020, 17:27 door Redactie, 8 reacties

De Spaanse tak van sportwinkelketen Decathlon heeft via een onbeveiligde server wachtwoorden en privégegevens van duizenden medewerkers gelekt. Het gaat om 123 miljoen records en 9GB aan data die op de onbeveiligde Elasticsearch-server door onderzoekers Noam Rotem en Ran Locar van vpnMentor werd aangetroffen. De server was voor iedereen op internet toegankelijk en vereiste geen wachtwoord of andere vorm van authenticatie.

Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. In de gevonden records werden gebruikersnamen en onversleutelde wachtwoorden van medewerkers aangetroffen, alsmede hun namen, burgerservicenummers, nationaliteit, telefoonnummer, adresgegevens, geboortedatum, opleiding, e-mailadres en contractgegevens, zoals taakomschrijving, locatie, werktijden, contractduur en andere zaken.

Van een onbekend aantal klanten werden e-mailadressen in de records gevonden. Verder vonden de onderzoekers de gebruikersnaam en een onversleuteld wachtwoord van een API (programmeerinterface) en interne ip-adressen. De server werd op 12 februari ontdekt. Vier dagen later werd Decathlon ingelicht en een dag later was de server beveiligd. De onderzoekers merken op dat mogelijk ook gegevens van medewerkers van de Britse tak van Decathlon op de server stonden, maar dit is niet bevestigd. Volgens cijfers van Statista had Decathlon Spanje in 2017 ruim 12.000 medewerkers.

Reacties (8)
26-02-2020, 23:56 door Anoniem
Dus de onderzoekers hebben eerst 4 dagen lopen grasduinen, voordat ze de klant inlichten!
27-02-2020, 07:56 door The FOSS - Bijgewerkt: 27-02-2020, 07:57
onbeveiligde Elasticsearch-server

Ik snap zoiets echt niet! Hoe krijg je het voor elkaar om dergelijke gegevens in een onbeveiligde server op te slaan? Ja, duh, geen wachtwoord. Maar als je er échte data in zet dan toch ook meteen een wachtwoord op en evt. afscheiden van internet?
27-02-2020, 10:16 door karma4
Door The FOSS:
onbeveiligde Elasticsearch-server

Ik snap zoiets echt niet! Hoe krijg je het voor elkaar om dergelijke gegevens in een onbeveiligde server op te slaan? Ja, duh, geen wachtwoord. Maar als je er échte data in zet dan toch ook meteen een wachtwoord op en evt. afscheiden van internet?
Het heet niet voor niets open source, dus open zetten.
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
27-02-2020, 15:36 door The FOSS
Door karma4:
Door The FOSS:
onbeveiligde Elasticsearch-server

Ik snap zoiets echt niet! Hoe krijg je het voor elkaar om dergelijke gegevens in een onbeveiligde server op te slaan? Ja, duh, geen wachtwoord. Maar als je er échte data in zet dan toch ook meteen een wachtwoord op en evt. afscheiden van internet?
Het heet niet voor niets open source, dus open zetten.

Je had niet begrepen dat het open over de broncode gaat? Tja, nu begrijp ik waar jouw misvattingen vandaan komen.
27-02-2020, 22:56 door [Account Verwijderd]
Door karma4:
Het heet niet voor niets open source, dus open zetten.
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
Want closed source software met betaalde support is de heilige graal als het gaat om veiligheid? Think again, Karmaatje. Je leeft volstrekt in je eigen wereld en de daarbij behorende "waarheid".
28-02-2020, 18:22 door linux4
Door karma4:
Door The FOSS:
onbeveiligde Elasticsearch-server

Ik snap zoiets echt niet! Hoe krijg je het voor elkaar om dergelijke gegevens in een onbeveiligde server op te slaan? Ja, duh, geen wachtwoord. Maar als je er échte data in zet dan toch ook meteen een wachtwoord op en evt. afscheiden van internet?
Het heet niet voor niets open source, dus open zetten.
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .

Je begint echt door te draaien volgens mij met je blinde OSS haat.
28-02-2020, 23:39 door Anoniem
Door Unix4:
Door karma4:
Het heet niet voor niets open source, dus open zetten.
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
Want closed source software met betaalde support is de heilige graal als het gaat om veiligheid? Think again, Karmaatje. Je leeft volstrekt in je eigen wereld en de daarbij behorende "waarheid".
Ach ja natuurlijk, opensource software is zo veilig, dat mankeert nooit iets aan, want iedereen kan het kontroleren.
02-03-2020, 13:47 door The FOSS
Door Anoniem:
Door Unix4:
Door karma4:
Het heet niet voor niets open source, dus open zetten.
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
Want closed source software met betaalde support is de heilige graal als het gaat om veiligheid? Think again, Karmaatje. Je leeft volstrekt in je eigen wereld en de daarbij behorende "waarheid".
Ach ja natuurlijk, opensource software is zo veilig, dat mankeert nooit iets aan, want iedereen kan het kontroleren.

Inderdaad! (Het laatste, v.w.b. 't eerste: alle software bevat fouten).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.