Grave hackeo el que ha sufrido la empresa francesa Decathlon. Hoy se ha conocido que la compañía sufrió una brecha de seguridad en la que se han visto expuestos 123 millones de registros, incluyendo todo tipo de datos personales que permiten a quien los tenga en su poder suplantar la identidad de los afectados. La compañía que ha revelado el hackeo ha sido vpnMentor, que afirma que la filtración de datos afecta a un servidor de Decathlon España, y que también podría haber afectado a la red de la cadena en Reino Unido.
Comentarios
pues genial, acabo de entrar con mi cuenta y ni un triste mensaje ni consejo de que debo cambiar iniminentemente mi password o datos, cuenta que borro y a tomar por culo.
#9 a estas alturas ya da igual...
#9 pues mas claro xxxddd
Los Decatloners declararán un día de luto y un minuto de silencio antes de entrar.
#1 ¿el luto decathloner es con ropa fosforita?
#20 Y ceñida
Vaya, ellos lo saben desde el día 16... y no comunican nada a los usuarios. DE COJÓN HOYGAN.
Noticia algo sensacionalista. Oficialmente los datos de los clientes no se han filtrado, eso si, de los empleados casi hasta la talla de la ropa interior:
"Decathlon España afirma que los datos que se han filtrado no son sensibles, y que “sólo el 0,03% son datos de usuarios, mientras que el 99,97% restante pertenece a datos técnicos a nivel interno"
"vpnMentor, por el contrario, afirma que los datos que han analizado sí incluyen usuarios y contraseñas sin cifrar de los empleados, número de la Seguridad Social, números de teléfono, etc"
Otra cosa es que te creas lo que dicen...
#23 logate en la web si tienes cuenta y te dicen que cambies el password... Algunos sois tan credulos que pareceis los jefes de proyecto de la subcontrata
"Hoy se ha conocido que la compañía sufrió " con la gdpr no tienen que comunicar ellos el hackeo a los afectados? a mi no me han avisado...
#6 Porque no te habrán visto muy afectado.
123 millones de datos, curiosa medida.
irgen santa....
#2 virgen santa los pedazo de ineptos que trabajan ahí que dejan un elastic search cara a internet y sin contraseña. En estos casos multas millonarias me sabe a poco, debería barajarse prisión para el CIO o el CEO y la cosa cambiaría. Es de traca.
#22 A cualquiera se nos podría pasar una contraseña "de prueba" en algún momento para acelerar un proceso y comprobar que algo funciona, pero poner en riesgo un servidor que aloje datos sensibles, y accesible en Internet... ¡manda huevos!
#22 A mi lo que me deja ojiplatico es que en muchos hackeos, las contraseñas las empresas las tienen en blanco. JODER....un Sha1 o md5 al menos...
#22 y retirarles el carnet de colegiado 😬
#31 Ya no podrán arbitrar?
#22 Tranqui que alguien pagará las consecuencias, y no será de la parte más alta de la pirámide.
Broncano estará temblando.
#16 pues que me la agarre con la mano
Vamos que ya saben mi talla de calcetines y calzoncillos.
#3 No, si eres socio saben tu DNI, dirección, nombre, a lo mejor tarjeta de crédito asociada, compras.... son datos importantes y decathlon debería de indemnizar a los dañados y/o pagar una multa. El "me han hackeado" no debería ser eximiente
#17 toda la ley de protección de datos que quieras, multas por infringirla, pero luego puede dejar una puerta abierta o decir que te han hackeado y puedes hacer pasta con esos datos, llamadme malpensado
#36 Venga va, malpensao!
#36 Si las multas son lo suficientemente elevadas no debería haber ese problema.
#17 En el artículo dicen que los datos pertenecen a trabajadores de la empresa, no a clientes. Ahora puedes creértelo o no (en las capturas aparece un mensaje enterito de RabbitMQ).
A nivel técnico, este tipo de hackeos es ya un clásico: un ElasticSearch expuesto a internet (seguramente en AWS o Azure) sin ningún tipo de control de accesos (como viene por defecto).
Es muy normal usar ElasticSearch para monitorización, registro de actividad y/o logs en general (ese es el caso aquí, acompañado de Graylog).
Se pueden encontrar ElasticSearch abiertos en Shodan con la búsqueda: "tagline" "You Know, for Search"
Por lo que leo, usaban un servidor de búsquedas ElasticSearch configurado con los datos por defecto, y, además de todos los datos personales de los empleados, a través de él se registraban en los logs los datos de acceso de clientes incluyendo contraseñas sin encriptar. Vamos, que se trata de una cadena de fallos absulutamente demencial para cualquier servidor en producción, y deberían pedir responsabilidades a su equipo de sistemas por negligencia.
https://www.vpnmentor.com/blog/report-decathlon-leak/
jaja, no hay putas más baratas que nuestros datos
Deportistas conectados a Internet. Que puede salir mal?
Mi número de calzado al alcance de cualquiera!
¿Qué datos puede tener decathlon para permitir a alguien suplantar mi identidad?
#4 se entiende en su sitio web.
#5 No, si eres socio con tarjeta tienen un huevo de datos tuyos.
#4 No te creas, a mí al parecer me ha suplantado por un modelo griego que parece un Dios con abdominales de titanio y una tirada de varias decenas de cms... no es tan difícil que lo suplanten a uno!
Ahora en serio, hay gente enferma que van a comprar allí hasta la bolsa del bocadillo.
Recordad, su ropa no adelgaza, su ropa no adelgaza, su ropa no adelgaza...
#7 tu mujer estara encantada con esa suplantacion de identidad
#19 lo cual me deja libre al 100% para ti... Mmm
#4 Tienen una tarjeta de puntos para la que tienes que dar los datos personales típicos. Nombre, apellidos, dni, dirección, teléfono.... Más que suficiente para liártela.
#4 Pues "todos".
No entiendo por qué tengo que proporcionar cosas como mi DNI para comprarme unas alpargatas.
#13 No tienes que proporcionar esos datos para comprar unas alpargatas, sino para tener una tarjetita de puntos.
#4 se trata de datos de empleados, habrá cosas bastante más sensibles que si fueran datos de clientes
#4 datos de pago?
#4 Nombre, apellidos, dni, email, número de teléfono... Con buena ingeniería social ya puedes suplantar a alguien ante la compañía de teléfono. De ahí sacas la cuenta bancaria, y ya puedes meter a alguien en un embolao. Y no digamos ya si consigues que la compañía de móvil te mande una sim nueva.
#24 conozco de cerca las compañías telefónicas. No les sacas una cuenta bancaria ni a tiros. Más bien son ellos los que te la sacan a ti.
#4 pues si reutilizas contraseñas...