迪卡侬西班牙分部泄露大量西班牙员工数据

近期，来自vpnMentor的网络安全专家在公网上发现了一个有缺陷的数据库，其中包括超过1.23亿条属于体育用品零售商迪卡侬西班牙公司的数据（也可能也包括迪卡侬英国公司）。

这些不安全数据的总量大小超过9GB，暴露在ElasticSearch服务器上。

根据vpnMentor发布的文章，由Noam Rotem和Ran Locar领导的vpnMentor网络安全研究小组在某台ElasticSearch服务器上发现了一个不安全数据库，其中有超过1.23亿条记录，大小超过9GB，属于迪卡侬西班牙公司。

vpnMentor公司的研究人员发现，迪卡侬被泄露数据是一个大型网络地图项目的一部分。

时间轴

安全专家是在2020年2月12日发现了这个数据库，并于2月16日向迪卡侬进行了报告。

这个数据库中包含了雇员数据以及某些零散数据：

• 员工

• 未加密的密码

• API日志

• API用户名和未加密的密码

• 员工的身份信息

（社会安全号码）

（全名）

（民族）

（手机号码）

（完整的地址）

（生日）

（教育）

• 工作电子邮件地址

• 雇佣合同的信息

（工作时间）

（位置）

（资质）

（合同期）

（职位）

• 未加密的客户的电子邮件和登录信息

• 私有IP地址

“我们的研究团队只能确认该数据库属于迪卡侬西班牙公司，但其中很有可能也包含迪卡侬英国公司的信息。而且我们还没有完全仔细检查所有1.23亿多条记录，可能其他国家也受到了影响。”

该存档还包括用于管理员未加密的登录记录，攻击者可以使用这些登录信息来接管管理员帐户并获取关于商店、雇员和客户的机密信息。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/98471/data-breach/decathlon-spain-data-leak.html