Beim französischen Hersteller von Sportgeräten und –Bekleidung hat es ein Datenleck gegeben, bei dem die Daten spanischer Beschäftigter öffentlich wurden (möglicherweise sind auch andere Länder betroffen). Darauf haben mich Sicherheitsforscher vor einigen Stunden hingewiesen.
Wer ist Decathlon?
Laut Wikipedia ist Decathlon ist ein international tätiger französischer Hersteller und Händler von Sportgeräten und -bekleidung. Das vor allem auf Eigenmarken basierende Sortiment mit mehr als 35.000 verschiedenen Sportartikeln des 1976 gegründeten Unternehmens bietet Ausrüstung und Bekleidung für über 70 Sportarten. Das Unternehmen gilt nach Umsatz und Mitarbeitern als einer der größten Sportartikelhersteller und -händler der Welt.
Ende 2018 hatte das Unternehmen 1511 Filialen in 51 Ländern weltweit, davon 80 Filialen in Deutschland (hier gibt es den deutschen Online-Shop). Am Konzern-Campus in Villeneuve-d’Ascq (Nordfrankreich) arbeiten mehr als 530 Ingenieure und 150 Produktdesigner, die jährlich bis zu 2800 Produkte entwickeln und rund 40 Patente einreichen.
Der Datenschutzvorfall
Aufgedeckt wurde der Datenschutzvorfall von Sicherheitsforscher des vpnmentor Cyber-Sicherheitsteams. Diese scannen ja das Internet routinemäßig nach offenen Servern und ungeschützten Datenbanken. Am 12. Februar 2020 stießen die Sicherheitsforscher auf eine ungeschützte Datenbank, die schnell der Firma Decathlon zugeordnet werden konnte. Am 16. Februar 2020 wurde das Unternehmen informiert und hat die Datenbank am 17. Februar 2020 abgesichert, so dass nicht authentifizierte Zugriffe blockiert werden.
Die gefundene Datenbank von Decathlon enthält Daten von Mitarbeitern des Unternehmens in Spanien. Dazu gehören auch folgende Daten, die das Forschungsteam überprüfen konnte:
Benutzernamen der Mitarbeiter
Unverschlüsselte Passwörter
API-Protokolle
API-Benutzername und unverschlüsseltes Kennwort
PII der Mitarbeiter
Sozialversicherungsnummern
Vollständige Namen
Nationalitäten
Mobiltelefon-Nummern
Vollständige Adressen
Geburtsdaten
Bildung
E-Mail-Adressen für die Arbeit
Informationen zum Arbeitsvertrag
Arbeitszeiten
Standort
Qualifikationen
Vertragslaufzeit
Rollen
Kunden-E-Mail und Anmeldeinformationen, unverschlüsselt
Private IP-Adressen
Das ist eine wahre Fundgrube für Hacker. Denn diese Datenbank enthält praktisch alles, was ein böswilliger Hacker theoretisch brauchen würde, um Konten zu übernehmen und Zugang zu privaten und sogar proprietären Informationen zu erhalten. Aktuell ist nur sicher, dass Daten spanischer Mitarbeiter betroffen waren. Laut vpnmentor besteht aber auch die Möglichkeit, dass Daten von Decathlon in Großbritannien oder anderen Ländern in der Datenbank gespeichert waren. Denn das Team hat nicht alle der 123 Millionen Datensätze geprüft, die in der Datenbank enthalten sind. Weitere Details finden sich im Artikel der Sicherheitsforscher.