Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Decathlon, à fond la fuite

VPNMentor affirme avoir identifié un serveur ElasticSearch librement accessible avec 9 Go de données et pas moins de 123 millions d’enregistrements sur des employés en Espagne et probablement certains au Royaume-Uni.

Selon VPNMentor, il y avait dans la base de données les noms, mots de passe non chiffrés, des logs d’API avec des logins et mots chiffrés cette fois-ci, adresses email, informations personnelles et professionnelles sur les employés, des adresses IP et des informations sur des clients.

Les chercheurs indiquent avoir identifié le pot aux roses le 12 février, puis prévenu Decathlon le 16 février. La fuite a été colmatée le 17 février. 

21 commentaires
Avatar de Janus24 INpactien
Avatar de Janus24Janus24- 26/02/20 à 09:33:29

> Les chercheurs indiquent avoir identifié le pot aux roses le 12 février, puis prévenu Decathlon le 16 février.

Pourquoi attendre 4 jours ?

Avatar de yyouf Abonné
Avatar de yyoufyyouf- 26/02/20 à 09:46:44

Quand est-ce qu'on colle un loi pour interdire les mots de passe non chiffrés ?

Avatar de Ricard INpactien
Avatar de RicardRicard- 26/02/20 à 09:48:11

Au moins, Decathlon a colmaté le lendemain. Faut quand-même le souligner. :bravo:

Avatar de BarbossHack Abonné
Avatar de BarbossHackBarbossHack- 26/02/20 à 09:57:17

C’est long à dump une bdd de 9Go :)

Avatar de Inny Abonné
Avatar de InnyInny- 26/02/20 à 10:00:44

Des mots de passe non chiffrés...
Au bûcher !

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 26/02/20 à 10:06:20

Et une de plus ... une.

Ce serait marrant que NXI fasse un bilan de fin d'année sur le nombre de "fuite".

Cela mettrai en perspective le fait que finalement les MDP sur les sites ne sert a rien vu qu'ils fuitent sans cesse.
 

Avatar de jpaul Abonné
Avatar de jpauljpaul- 26/02/20 à 10:14:24

Vu que c’est dans une base ElasticSearch (une sorte d’index de moteur de recherche open source) on peut imaginer que ce n’est pas « voulu » mais que le code responsable de l’indexation a fait un petit peu de zèle. Ça sent le middleware qui agrège tous les inputs utilisateurs sans réfléchir pour faire de la dataviz qui fait plaisir aux marketeux.

Enfin après c’est une supposition. Je refuse de croire qu’une boîte assez calée techniquement comme décathlon ait pu volontairement stocker des MDP en clair et encore moins dans un ElasticSearch. Par contre qu’elle réinvente la roue en faisant des erreurs grossières, ça c’est juste le commun des boites high tech.

Avatar de cosmocat INpactien
Avatar de cosmocatcosmocat- 26/02/20 à 10:21:09

yyouf a écrit :

Quand est-ce qu'on colle un loi pour interdire les mots de passe non chiffrés ?

Non **hashé** :cap:

Avatar de waazdakka Abonné
Avatar de waazdakkawaazdakka- 26/02/20 à 10:31:13

Le titre :neuf:

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 26/02/20 à 10:36:43

Non, non, et non. Ce sont des développeurs qui ont décidé d'activer l'envoi de données vers elastic search, pas l'inverse, l'outil ne crawl pas les données tout seul comme un grand, et même si c'était le cas, il n'y a aurait aucune raison que ces données soient stockées en clair quelque part.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3