Portada
Hace 4 años | Por A_D a adslzone.net
Publicado hace 4 años por A_D a adslzone.net

Hackeo a Decathlon: 123 millones de datos han sido filtrados

 adslzone.net

Grave hackeo el que ha sufrido la empresa francesa Decathlon. Hoy se ha conocido que la compañía sufrió una brecha de seguridad en la que se han visto expuestos 123 millones de registros, incluyendo todo tipo de datos personales que permiten a quien los tenga en su poder suplantar la identidad de los afectados. La compañía que ha revelado el hackeo ha sido vpnMentor, que afirma que la filtración de datos afecta a un servidor de Decathlon España, y que también podría haber afectado a la red de la cadena en Reino Unido.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 3k 45

Comentarios

D

pues genial, acabo de entrar con mi cuenta y ni un triste mensaje ni consejo de que debo cambiar iniminentemente mi password o datos, cuenta que borro y a tomar por culo.

V 4
K 42
subzero

#9 a estas alturas ya da igual...

V 1
K 21
r

#9 pues mas claro xxxddd

V 0
K 9
D

Los Decatloners declararán un día de luto y un minuto de silencio antes de entrar.

V 4
K 42
knzio

#1 ¿el luto decathloner es con ropa fosforita?

V 4
K 44
inar

#20 Y ceñida

V 1
K 13
d

Vaya, ellos lo saben desde el día 16... y no comunican nada a los usuarios. DE COJÓN HOYGAN.

V 4
K 40
pedrobz

Noticia algo sensacionalista. Oficialmente los datos de los clientes no se han filtrado, eso si, de los empleados casi hasta la talla de la ropa interior:

"Decathlon España afirma que los datos que se han filtrado no son sensibles, y que “sólo el 0,03% son datos de usuarios, mientras que el 99,97% restante pertenece a datos técnicos a nivel interno"
"vpnMentor, por el contrario, afirma que los datos que han analizado sí incluyen usuarios y contraseñas sin cifrar de los empleados, número de la Seguridad Social, números de teléfono, etc"

Otra cosa es que te creas lo que dicen...

V 2
K 34
r

#23 logate en la web si tienes cuenta y te dicen que cambies el password... Algunos sois tan credulos que pareceis los jefes de proyecto de la subcontrata

V 2
K 33
Bad_CRC

"Hoy se ha conocido que la compañía sufrió " con la gdpr no tienen que comunicar ellos el hackeo a los afectados? a mi no me han avisado...

V 4
K 33
D

#6 Porque no te habrán visto muy afectado.

V 0
K 11
Attanar

123 millones de datos, curiosa medida.

V 2
K 24
m

irgen santa....

V 1
K 14
k

#2 virgen santa los pedazo de ineptos que trabajan ahí que dejan un elastic search cara a internet y sin contraseña. En estos casos multas millonarias me sabe a poco, debería barajarse prisión para el CIO o el CEO y la cosa cambiaría. Es de traca.

V 12
K 92
M

#22 A cualquiera se nos podría pasar una contraseña "de prueba" en algún momento para acelerar un proceso y comprobar que algo funciona, pero poner en riesgo un servidor que aloje datos sensibles, y accesible en Internet... ¡manda huevos!

V 3
K 21
m

#22 A mi lo que me deja ojiplatico es que en muchos hackeos, las contraseñas las empresas las tienen en blanco. JODER....un Sha1 o md5 al menos...

V 1
K 20
bewog

#22 y retirarles el carnet de colegiado 😬

V 0
K 9
Dramaba
editado

#31 Ya no podrán arbitrar?

V 0
K 7
d

#22 Tranqui que alguien pagará las consecuencias, y no será de la parte más alta de la pirámide.

V 0
K 6
D

Broncano estará temblando.

V 0
K 11
Ramsay_Bolton

#16 pues que me la agarre con la mano

V 2
K 29
lecheygalletas
editado

Vamos que ya saben mi talla de calcetines y calzoncillos.

V 0
K 10
MrAmeba

#3 No, si eres socio saben tu DNI, dirección, nombre, a lo mejor tarjeta de crédito asociada, compras.... son datos importantes y decathlon debería de indemnizar a los dañados y/o pagar una multa. El "me han hackeado" no debería ser eximiente

V 28
K 230
Raul_Lomi

#17 toda la ley de protección de datos que quieras, multas por infringirla, pero luego puede dejar una puerta abierta o decir que te han hackeado y puedes hacer pasta con esos datos, llamadme malpensado

V 1
K 18
neo1999

#36 Venga va, malpensao!

V 0
K 11
n

#36 Si las multas son lo suficientemente elevadas no debería haber ese problema.

V 0
K 9
D

#17 En el artículo dicen que los datos pertenecen a trabajadores de la empresa, no a clientes. Ahora puedes creértelo o no (en las capturas aparece un mensaje enterito de RabbitMQ).

A nivel técnico, este tipo de hackeos es ya un clásico: un ElasticSearch expuesto a internet (seguramente en AWS o Azure) sin ningún tipo de control de accesos (como viene por defecto).
Es muy normal usar ElasticSearch para monitorización, registro de actividad y/o logs en general (ese es el caso aquí, acompañado de Graylog).

Se pueden encontrar ElasticSearch abiertos en Shodan con la búsqueda: "tagline" "You Know, for Search"

V 2
K 15
Candidatas
41
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
11
meneos
tecnología Estados Unidos ha librado una batalla aérea con aviones con IA. Es una nueva revolución militar
10
meneos
tecnología Norcoreanos trabajaron en secreto en series animadas de Amazon y Max, como 'Invencible'
25
meneos
tecnología Desarrollan en Japón inteligencia artificial que predice las renuncias de los empleados
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
4
meneos
tecnología Intel Construye El Sistema Neuromórfico "inspirado En El Cerebro" Más Grande Del Mundo: Hala Point + Buscando Una IA Más Sostenible
8
meneos
tecnología Tiktoktives Cap.2
5
meneos
tecnología La inteligencia artificial inundará las redes: Meta lanza su modelo en WhatsApp, Facebook e Instagram
26
meneos
tecnología La estafa de los SSD M2 chinos. 4TB por 40 € y tiene truco
6
meneos
tecnología Cómo verificar la autenticidad y el origen de fotografías y vídeos
4
meneos
tecnología Mercedes no se complica la vida y abandona las pruebas de coches eléctricos con extensor de autonomía
18
meneos
tecnología El engaño de la Inteligencia Artificial: Cómo las compañías nos están engañando [ENG]
TheGoOse

Por lo que leo, usaban un servidor de búsquedas ElasticSearch configurado con los datos por defecto, y, además de todos los datos personales de los empleados, a través de él se registraban en los logs los datos de acceso de clientes incluyendo contraseñas sin encriptar. Vamos, que se trata de una cadena de fallos absulutamente demencial para cualquier servidor en producción, y deberían pedir responsabilidades a su equipo de sistemas por negligencia.

https://www.vpnmentor.com/blog/report-decathlon-leak/

V 0
K 9
m

jaja, no hay putas más baratas que nuestros datos

V 0
K 6
D

Deportistas conectados a Internet. Que puede salir mal?

V 0
K 6
sieteymedio

Mi número de calzado al alcance de cualquiera! cry

V 0
K 6
Horrifida

¿Qué datos puede tener decathlon para permitir a alguien suplantar mi identidad?

V 0
K 6
alexwing

#4 se entiende en su sitio web.

V 0
K 11
redscare

#5 No, si eres socio con tarjeta tienen un huevo de datos tuyos.

V 0
K 7
l

#4 No te creas, a mí al parecer me ha suplantado por un modelo griego que parece un Dios con abdominales de titanio y una tirada de varias decenas de cms... no es tan difícil que lo suplanten a uno! lol

Ahora en serio, hay gente enferma que van a comprar allí hasta la bolsa del bocadillo.
Recordad, su ropa no adelgaza, su ropa no adelgaza, su ropa no adelgaza...

V 5
K 52
smilo

#7 tu mujer estara encantada con esa suplantacion de identidad

V 2
K 30
l

#19 lo cual me deja libre al 100% para ti... Mmm lol

V 0
K 7
McQueen

#4 Tienen una tarjeta de puntos para la que tienes que dar los datos personales típicos. Nombre, apellidos, dni, dirección, teléfono.... Más que suficiente para liártela.

V 4
K 41
subzero

#4 Pues "todos".

No entiendo por qué tengo que proporcionar cosas como mi DNI para comprarme unas alpargatas.

V 5
K 46
D

#13 No tienes que proporcionar esos datos para comprar unas alpargatas, sino para tener una tarjetita de puntos.

V 0
K 10
kmon

#4 se trata de datos de empleados, habrá cosas bastante más sensibles que si fueran datos de clientes

V 0
K 7
e

#4 datos de pago?

V 0
K 7
redscare
editado

#4 Nombre, apellidos, dni, email, número de teléfono... Con buena ingeniería social ya puedes suplantar a alguien ante la compañía de teléfono. De ahí sacas la cuenta bancaria, y ya puedes meter a alguien en un embolao. Y no digamos ya si consigues que la compañía de móvil te mande una sim nueva.

V 0
K 7
polipolito

#24 conozco de cerca las compañías telefónicas. No les sacas una cuenta bancaria ni a tiros. Más bien son ellos los que te la sacan a ti.

V 0
K 6
c

#4 pues si reutilizas contraseñas...

V 0
K 9