8000 employés de Décathlon ont leurs données personnelles exposées

Dans une récente enquête réalisée par VPNmentor, il a été découvert que plusieurs données personnelles à savoir des mails, des noms et prénoms, des photos, des jetons d’identification appartenant à des employés de la société Décathlon, sont disponibles en ligne sans aucune protection.

Ces données exposées seraient dues à une mauvaise configuration de bucket S3 portant sur un serveur utilisé par l’un des partenaires de la société

« Le bucket S3 contenait également des jetons de sécurité qui auraient pu permettre un accès supplémentaire à des comptes privés ou à d’autres zones internes du système de Décathlon », a signifié VPNmentor.

Cet article va aussi vous intéresser : Microsoft Azure Blob : quelles leçons tirées de la fuite de données ?

Cette énième fuite de données vient s’ajouter à une autre qui a été découverte il faut le mentionner il y a un peu plus d’un an, toujours cette fois-ci Décathlon Espagne, où 123 millions d’enregistrements ont été exposés sur un serveur Elasticsearch. La fuite de données avait été aussi découverte par VPNmentor.

Selon le chercheur en sécurité de la société, la récente fuite de données touche près de 8 % des employés le Décathlon. Le partenaire qui aurait été impliqué dans la mauvaise configuration de bucket S3, serait une société de conseil du nom de Bluenove.

Selon les chiffres fournis par VPN mentor, c’est exactement 7883 salariés de Décathlon qui sont concernés par cette exposition. Cependant la société a affirmé que la majorité des données exposé n’ont rien à voir avec son enquête qui a été réalisée par le cabinet conseil pointé du doigt.

« Les photos peuvent être des photos d’illustration de la plateforme, en aucun cas des photos personnelles des répondants. Quant à la « ville » ou le « pays », les données sont liées aux lieux des magasins Décathlon non des renseignements personnels des répondants », a déclaré un porte-parole de Bluenove lors d’une récente interview.

On ne peut pas nier pour autant la sensibilité de la majorité des données concernés par cette fuite. « Le bucket S3 contenait également des jetons de sécurité (token) qui auraient pu permettre un accès supplémentaire à des comptes privés ou à d’autres zones internes du système de Décathlon. Cependant, nous n’avons pas tenté d’utiliser ces jetons pour des raisons éthiques, mais nous demandons instamment à Décathlon d’enquêter plus avant afin d’éviter les abus par des tiers malveillants », précise VPNmentor.

« Les clés token ne sont pas liées au système d’information de Bluenove », à part ailleurs ajouté le porte-parole de la société de conseil. « Nous avons supprimé les fichiers *.xls incriminés qui sont des exports plus denses de cette nature. Ils [VPNmentor] les ont peut-être lues à un autre niveau sur le chemin du bucket. Nos exports ne contiennent pas de token. Nous exportons des metadata telles que celles sur le fichier : horodatage, nom de l’auteur, url de la contribution », ajoute ce dernier.

Par ailleurs selon VPNmentor, la faille de sécurité aurait été découverte depuis mars 2021. Cependant, il y a de fortes chances que les données soient disponibles depuis novembre 2020. Ce qui expose grandement les personnes victimes à une campagne de phishing.

« Si des pirates avaient eu accès à ces données, ils auraient pu cibler des milliers d’employés et de clients de Décathlon avec diverses formes de fraude en ligne et d’attaque virale. En combinant les données personnelles d’un individu, les informations sur les enquêtes effectuées et d’autres détails exposés, les pirates auraient pu créer des campagnes de phishing très efficaces se faisant passer pour Bluenove ou Décathlon par e-mail ou par téléphone. Ce faisant, ils pourraient facilement convaincre les gens de fournir des données encore plus sensibles à des fins frauduleuses ou en cliquant sur des liens intégrés avec des malwares, des logiciels espions ou d’autres vecteurs », précise VPNmentor dans son billet de blog.

Selon cette dernière, le cabinet de conseil employé par Décathlon, aurait pu éviter cette situation, en mettant en œuvre quelques méthodes très simple pour sécuriser ses serveurs. « Rendre le bucket privé en ajoutant des protocoles d’authentification, suivre les meilleures pratiques d’accès et d’authentification AWS, et ajouter plus de couches de protection aux compartiments S3 pour restreindre davantage les personnes pouvant y accéder à partir de chaque point d’entrée », note VPNmentor.

De son côté, Bluenove argumente : « L’ensemble de nos buckets pour nos concertations sont chiffrés. Lorsque les débats sont publics, nous créons des buckets pour les ressources publiques qui sont publiées et accessibles. Nous avons privilégié la mise en place de gestion des clés chiffrées et de profils via le système sécurisé IAM depuis que nous hébergeons nos démarches sur AWS ».

Accédez maintenant à un nombre illimité de mot de passe :