Decathlon expone base de datos con 123 millones de registros

La famosa tienda deportiva dejó expuesta una base de datos en un servidor ElasticSearch mal configurado. La información expuesta corresponde a datos de empleados y clientes.

Dos investigadores descubrieron la base de datos no asegurada del retail deportivo Decathlon el 12 de febrero, y días más tarde notificaron a la compañía.

“La base de datos se dejó sin cifrar y sin protección de contraseña. Cualquier persona con la URL correcta podría acceder a ella y a todos sus datos. Una vez que estuvimos seguros de que pertenecía a Decathlon, se lo comunicamos a la empresa el 16 de febrero. Actuaron rápidamente”, agregaron los investigadores.

La compañía tiene más de 1.600 tiendas en 57 países, con más de 93.000 empleados. Los datos que se expusieron incluyen información privada sobre empleados y correos electrónicos con contraseñas de clientes.

El equipo de investigación confirmó que la base de datos pertenecía a Decathlon España, pero estiman que hay datos comprometidos del Reino Unido.

¿Para que podrían usarse estos datos? Bueno, para espionaje corporativo, campañas de phishing, robo de identidad amenazas, entre otros tipos de ataques posibles.

La información expuesta además corresponde a las ubicaciones de trabajo de los empleados, como sus direcciones personales.

Desde Elastic NV aseguran que el problema no es de ellos, sino de la mala configuración que se le dio.

Otro error común es la falta de autenticación, donde los datos están disponibles para descargar sin ingresar una contraseña. Los administradores deben prestar más atención a los problemas de seguridad, especialmente mediante el uso de configuraciones que ayudan a proteger las bases de datos del acceso no autorizado. En particular, se deben implementar controles de autenticación específicos. En este caso, ElasticSearch usa el complemento X-Pack, explicó.

“De las capturas de pantalla disponibles en el sitio web vpnMentor, podemos ver que Decathlon utiliza una solución de gestión de registros basada en ElasticSearch. El problema con esto es que la información personal y las credenciales entraron en los registros en texto sin formato; esto es inaceptable. Antes de escribir en el registro, los datos críticos deben eliminarse o enmascararse «, señaló uno de los investigadores.

“Ahora que Amazon ha abierto sus propias herramientas de seguridad para Elasticsearch, esto está mejorando lentamente, pero eso no es excusa para las violaciones flagrantes de GDPR como las de Decathlon. Cualquier base de datos que contenga PII nunca debe dejarse encriptada y expuesta sin autenticación».

En el siguiente enlace, se puede encontrar la investigación completa realizada por vpnMentor: https://www.vpnmentor.com/blog/report-decathlon-leak/