Decathlon Spanje lekt wachtwoorden en privédata medewerkers
De Spaanse tak van sportwinkelketen Decathlon heeft via een onbeveiligde server wachtwoorden en privégegevens van duizenden medewerkers gelekt. Het gaat om 123 miljoen records en 9GB aan data die op de onbeveiligde Elasticsearch-server door onderzoekers Noam Rotem en Ran Locar van vpnMentor werd aangetroffen. De server was voor iedereen op internet toegankelijk en vereiste geen wachtwoord of andere vorm van authenticatie.
Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. In de gevonden records werden gebruikersnamen en onversleutelde wachtwoorden van medewerkers aangetroffen, alsmede hun namen, burgerservicenummers, nationaliteit, telefoonnummer, adresgegevens, geboortedatum, opleiding, e-mailadres en contractgegevens, zoals taakomschrijving, locatie, werktijden, contractduur en andere zaken.
Van een onbekend aantal klanten werden e-mailadressen in de records gevonden. Verder vonden de onderzoekers de gebruikersnaam en een onversleuteld wachtwoord van een API (programmeerinterface) en interne ip-adressen. De server werd op 12 februari ontdekt. Vier dagen later werd Decathlon ingelicht en een dag later was de server beveiligd. De onderzoekers merken op dat mogelijk ook gegevens van medewerkers van de Britse tak van Decathlon op de server stonden, maar dit is niet bevestigd. Volgens cijfers van Statista had Decathlon Spanje in 2017 ruim 12.000 medewerkers.
Ik snap zoiets echt niet! Hoe krijg je het voor elkaar om dergelijke gegevens in een onbeveiligde server op te slaan? Ja, duh, geen wachtwoord. Maar als je er échte data in zet dan toch ook meteen een wachtwoord op en evt. afscheiden van internet?
Ik snap zoiets echt niet! Hoe krijg je het voor elkaar om dergelijke gegevens in een onbeveiligde server op te slaan? Ja, duh, geen wachtwoord. Maar als je er échte data in zet dan toch ook meteen een wachtwoord op en evt. afscheiden van internet?
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
Ik snap zoiets echt niet! Hoe krijg je het voor elkaar om dergelijke gegevens in een onbeveiligde server op te slaan? Ja, duh, geen wachtwoord. Maar als je er échte data in zet dan toch ook meteen een wachtwoord op en evt. afscheiden van internet?
Je had niet begrepen dat het open over de broncode gaat? Tja, nu begrijp ik waar jouw misvattingen vandaan komen.
Het heet niet voor niets open source, dus open zetten.
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
Ik snap zoiets echt niet! Hoe krijg je het voor elkaar om dergelijke gegevens in een onbeveiligde server op te slaan? Ja, duh, geen wachtwoord. Maar als je er échte data in zet dan toch ook meteen een wachtwoord op en evt. afscheiden van internet?
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
Je begint echt door te draaien volgens mij met je blinde OSS haat.
Het heet niet voor niets open source, dus open zetten.
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
Het heet niet voor niets open source, dus open zetten.
Gratis en voor niets heeft gevolgen, zeer zeker bij goed beheer met controles .
Inderdaad! (Het laatste, v.w.b. 't eerste: alle software bevat fouten).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
