Portada
Hace 4 años | Por A_D a adslzone.net
Publicado hace 4 años por A_D a adslzone.net

Hackeo a Decathlon: 123 millones de datos han sido filtrados

 adslzone.net

Grave hackeo el que ha sufrido la empresa francesa Decathlon. Hoy se ha conocido que la compañía sufrió una brecha de seguridad en la que se han visto expuestos 123 millones de registros, incluyendo todo tipo de datos personales que permiten a quien los tenga en su poder suplantar la identidad de los afectados. La compañía que ha revelado el hackeo ha sido vpnMentor, que afirma que la filtración de datos afecta a un servidor de Decathlon España, y que también podría haber afectado a la red de la cadena en Reino Unido.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 3k 45

Comentarios

MrAmeba

#3 No, si eres socio saben tu DNI, dirección, nombre, a lo mejor tarjeta de crédito asociada, compras.... son datos importantes y decathlon debería de indemnizar a los dañados y/o pagar una multa. El "me han hackeado" no debería ser eximiente

V 28
K 230
k

#2 virgen santa los pedazo de ineptos que trabajan ahí que dejan un elastic search cara a internet y sin contraseña. En estos casos multas millonarias me sabe a poco, debería barajarse prisión para el CIO o el CEO y la cosa cambiaría. Es de traca.

V 12
K 92
l

#4 No te creas, a mí al parecer me ha suplantado por un modelo griego que parece un Dios con abdominales de titanio y una tirada de varias decenas de cms... no es tan difícil que lo suplanten a uno! lol

Ahora en serio, hay gente enferma que van a comprar allí hasta la bolsa del bocadillo.
Recordad, su ropa no adelgaza, su ropa no adelgaza, su ropa no adelgaza...

V 5
K 52
subzero

#4 Pues "todos".

No entiendo por qué tengo que proporcionar cosas como mi DNI para comprarme unas alpargatas.

V 5
K 46
knzio

#1 ¿el luto decathloner es con ropa fosforita?

V 4
K 44
D

Los Decatloners declararán un día de luto y un minuto de silencio antes de entrar.

V 4
K 42
D

pues genial, acabo de entrar con mi cuenta y ni un triste mensaje ni consejo de que debo cambiar iniminentemente mi password o datos, cuenta que borro y a tomar por culo.

V 4
K 42
McQueen

#4 Tienen una tarjeta de puntos para la que tienes que dar los datos personales típicos. Nombre, apellidos, dni, dirección, teléfono.... Más que suficiente para liártela.

V 4
K 41
d

Vaya, ellos lo saben desde el día 16... y no comunican nada a los usuarios. DE COJÓN HOYGAN.

V 4
K 40
pedrobz

Noticia algo sensacionalista. Oficialmente los datos de los clientes no se han filtrado, eso si, de los empleados casi hasta la talla de la ropa interior:

"Decathlon España afirma que los datos que se han filtrado no son sensibles, y que “sólo el 0,03% son datos de usuarios, mientras que el 99,97% restante pertenece a datos técnicos a nivel interno"
"vpnMentor, por el contrario, afirma que los datos que han analizado sí incluyen usuarios y contraseñas sin cifrar de los empleados, número de la Seguridad Social, números de teléfono, etc"

Otra cosa es que te creas lo que dicen...

V 2
K 34
Bad_CRC

"Hoy se ha conocido que la compañía sufrió " con la gdpr no tienen que comunicar ellos el hackeo a los afectados? a mi no me han avisado...

V 4
K 33
r

#23 logate en la web si tienes cuenta y te dicen que cambies el password... Algunos sois tan credulos que pareceis los jefes de proyecto de la subcontrata

V 2
K 33
smilo

#7 tu mujer estara encantada con esa suplantacion de identidad

V 2
K 30
Ramsay_Bolton

#16 pues que me la agarre con la mano

V 2
K 29
Attanar

123 millones de datos, curiosa medida.

V 2
K 24
subzero

#9 a estas alturas ya da igual...

V 1
K 21
M

#22 A cualquiera se nos podría pasar una contraseña "de prueba" en algún momento para acelerar un proceso y comprobar que algo funciona, pero poner en riesgo un servidor que aloje datos sensibles, y accesible en Internet... ¡manda huevos!

V 3
K 21
m

#22 A mi lo que me deja ojiplatico es que en muchos hackeos, las contraseñas las empresas las tienen en blanco. JODER....un Sha1 o md5 al menos...

V 1
K 20
Raul_Lomi

#17 toda la ley de protección de datos que quieras, multas por infringirla, pero luego puede dejar una puerta abierta o decir que te han hackeado y puedes hacer pasta con esos datos, llamadme malpensado

V 1
K 18
D

#17 En el artículo dicen que los datos pertenecen a trabajadores de la empresa, no a clientes. Ahora puedes creértelo o no (en las capturas aparece un mensaje enterito de RabbitMQ).

A nivel técnico, este tipo de hackeos es ya un clásico: un ElasticSearch expuesto a internet (seguramente en AWS o Azure) sin ningún tipo de control de accesos (como viene por defecto).
Es muy normal usar ElasticSearch para monitorización, registro de actividad y/o logs en general (ese es el caso aquí, acompañado de Graylog).

Se pueden encontrar ElasticSearch abiertos en Shodan con la búsqueda: "tagline" "You Know, for Search"

V 2
K 15
m

irgen santa....

V 1
K 14
inar

#20 Y ceñida

V 1
K 13
alexwing

#4 se entiende en su sitio web.

V 0
K 11
D

#6 Porque no te habrán visto muy afectado.

V 0
K 11
D

Broncano estará temblando.

V 0
K 11
Candidatas
14
meneos
tecnología Bitwarden lanza su propia aplicación Authenticator gratuita y de código abierto [ENG]
9
meneos
tecnología Satélite encontrado después de 25 años perdido en el espacio
21
meneos
tecnología Detectan vulnerabilidad crítica en GNU C Library con 24 años de antigüedad
17
meneos
tecnología "El coche eléctrico sigue siendo prohibitivo". El precio y las dudas para cambiar los coches de gasolina estancan las ventas de eléctricos en Europa
8
meneos
tecnología Optimus, el robot de Tesla, se venderá a fines de 2025: ¿qué podrá hacer y cuánto costará?
7
meneos
tecnología El Rabbit R1 es solo una app Android en un hardware muy caro
9
meneos
tecnología Las ventas de coches electrificados siguen sin avanzar
8
meneos
tecnología Palas de madera para reverdecer la industria eólica
6
meneos
tecnología Usar la IA como herramienta militar, ¿su momento Oppenheimer?
32
meneos
tecnología Consejos para dejar de alimentar las redes del fascismo en Internet
5
meneos
tecnología Sparkles, el perro robot de Boston Dynamics que baila para homenajear al Día Internacional de la Danza
14
meneos
tecnología Supermium: Un navegador Chromium para Windows XP, Vista, 7 y 8.x
9
meneos
tecnología La Mega Drive llega a España
8
meneos
tecnología Doom scroll
6
meneos
tecnología Investigadores de HKU Engineering descubren la clave para lograr células solares orgánicas eficientes y estables (eng)
8
meneos
tecnología RiMusic: la mejor alternativa gratuita a Spotify
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
25
meneos
tecnología musicForProgramming ();
6
meneos
tecnología Cuatro meses de cárcel para Changpeng Zhao, fundador del mercado de criptomonedas Binance
neo1999

#36 Venga va, malpensao!

V 0
K 11
lecheygalletas
editado

Vamos que ya saben mi talla de calcetines y calzoncillos.

V 0
K 10
D

#13 No tienes que proporcionar esos datos para comprar unas alpargatas, sino para tener una tarjetita de puntos.

V 0
K 10
bewog

#22 y retirarles el carnet de colegiado 😬

V 0
K 9
r

#9 pues mas claro xxxddd

V 0
K 9
c

#4 pues si reutilizas contraseñas...

V 0
K 9
n

#36 Si las multas son lo suficientemente elevadas no debería haber ese problema.

V 0
K 9
TheGoOse

Por lo que leo, usaban un servidor de búsquedas ElasticSearch configurado con los datos por defecto, y, además de todos los datos personales de los empleados, a través de él se registraban en los logs los datos de acceso de clientes incluyendo contraseñas sin encriptar. Vamos, que se trata de una cadena de fallos absulutamente demencial para cualquier servidor en producción, y deberían pedir responsabilidades a su equipo de sistemas por negligencia.

https://www.vpnmentor.com/blog/report-decathlon-leak/

V 0
K 9
kmon

#4 se trata de datos de empleados, habrá cosas bastante más sensibles que si fueran datos de clientes

V 0
K 7
e

#4 datos de pago?

V 0
K 7
redscare
editado

#4 Nombre, apellidos, dni, email, número de teléfono... Con buena ingeniería social ya puedes suplantar a alguien ante la compañía de teléfono. De ahí sacas la cuenta bancaria, y ya puedes meter a alguien en un embolao. Y no digamos ya si consigues que la compañía de móvil te mande una sim nueva.

V 0
K 7
redscare

#5 No, si eres socio con tarjeta tienen un huevo de datos tuyos.

V 0
K 7
Dramaba
editado

#31 Ya no podrán arbitrar?

V 0
K 7
l

#19 lo cual me deja libre al 100% para ti... Mmm lol

V 0
K 7
Horrifida

¿Qué datos puede tener decathlon para permitir a alguien suplantar mi identidad?

V 0
K 6
sieteymedio

Mi número de calzado al alcance de cualquiera! cry

V 0
K 6
D

Deportistas conectados a Internet. Que puede salir mal?

V 0
K 6
polipolito

#24 conozco de cerca las compañías telefónicas. No les sacas una cuenta bancaria ni a tiros. Más bien son ellos los que te la sacan a ti.

V 0
K 6
m

jaja, no hay putas más baratas que nuestros datos

V 0
K 6
d

#22 Tranqui que alguien pagará las consecuencias, y no será de la parte más alta de la pirámide.

V 0
K 6