1.23亿个人信息泄露！迪卡侬数据库暴露个人信息安全风险

本文源自百家号，作者：Code8

体育连锁巨头迪卡侬（Decathlon）发生大范围数据泄露，起因是1.23亿条记录被保存在一个并不安全的数据库中。

这是由vpnMentor安全研究人员发现的，并在2020年2月24日（本周一）公布。该数据库属于迪卡侬西班牙和迪卡侬英国公司。泄露的数据涉及员工系统用户名、未加密的密码、API日志、API用户名、个人身份信息等。

对于迪卡侬员工来说，涉及的信息包括姓名、地址、电话号码、生日、学历和合同明细，而对于客户来说，涉及的信息包括未加密的电子邮件、登录信息和IP地址。

该数据库漏洞于2020年2月12日被发现，迪卡侬于2月16日得到通知，随后数据库于2月17日下线。

研究人员指出：“迪卡侬位于西班牙的这个数据库包含了员工数据信息和更多内容。从理论上讲，这包括了恶意黑客想要接管账户、盗取私人信息甚至是专有信息的所有内容。”

迪卡侬尚未对此发表评论。

迪卡侬的业务遍及全球49个国家和地区，覆盖欧洲、亚洲和南美部分地区，以及埃及、南非、澳大利亚和加拿大。

安全意识培训公司KnowBe4 的安全意识倡导者James McQuiggan表示：“负责保护和使用数据的员工需要有一个强大的安全程序，了解存储数据的系统，监控所有访问行为。”

“该数据库在互联网上是可以查看的，没有安全和加密；这种危险的做法肯定会导致大量敏感数据的泄露。把数据放在面向互联网的服务器上，其中包含大量未加密的、不安全的敏感数据，这就好比敞开你家里的后门一样。”

McQuiggan指出，由于此次泄露涉及所有个人数据，员工很可能遭到身份盗用、鱼叉式网络钓鱼、以及人身伤害的风险。

“如果数据被罪犯窃取，他们就会铤而走险发布网络钓鱼电子邮件。他们应该密切关注他们的信用账户，确保知悉所有操作，例如更改地址或者开设新账户。”