Los Decatloners declararán un día de luto y un minuto de silencio antes de entrar.

irgen santa....

Vamos que ya saben mi talla de calcetines y calzoncillos.

¿Qué datos puede tener decathlon para permitir a alguien suplantar mi identidad?

#4 se entiende en su sitio web.

"Hoy se ha conocido que la compañía sufrió " con la gdpr no tienen que comunicar ellos el hackeo a los afectados? a mi no me han avisado...

#4 No te creas, a mí al parecer me ha suplantado por un modelo griego que parece un Dios con abdominales de titanio y una tirada de varias decenas de cms... no es tan difícil que lo suplanten a uno!

Ahora en serio, hay gente enferma que van a comprar allí hasta la bolsa del bocadillo.
Recordad, su ropa no adelgaza, su ropa no adelgaza, su ropa no adelgaza...

Vaya, ellos lo saben desde el día 16... y no comunican nada a los usuarios. DE COJÓN HOYGAN.

pues genial, acabo de entrar con mi cuenta y ni un triste mensaje ni consejo de que debo cambiar iniminentemente mi password o datos, cuenta que borro y a tomar por culo.

#9 a estas alturas ya da igual...

#6 Porque no te habrán visto muy afectado.

#4 Tienen una tarjeta de puntos para la que tienes que dar los datos personales típicos. Nombre, apellidos, dni, dirección, teléfono.... Más que suficiente para liártela.

#4 Pues "todos".

No entiendo por qué tengo que proporcionar cosas como mi DNI para comprarme unas alpargatas.

#4 se trata de datos de empleados, habrá cosas bastante más sensibles que si fueran datos de clientes

#4 datos de pago?

Broncano estará temblando.

Mi número de calzado al alcance de cualquiera!

#7 tu mujer estara encantada con esa suplantacion de identidad

#1 ¿el luto decathloner es con ropa fosforita?

Deportistas conectados a Internet. Que puede salir mal?

#2 virgen santa los pedazo de ineptos que trabajan ahí que dejan un elastic search cara a internet y sin contraseña. En estos casos multas millonarias me sabe a poco, debería barajarse prisión para el CIO o el CEO y la cosa cambiaría. Es de traca.

Noticia algo sensacionalista. Oficialmente los datos de los clientes no se han filtrado, eso si, de los empleados casi hasta la talla de la ropa interior:

"Decathlon España afirma que los datos que se han filtrado no son sensibles, y que “sólo el 0,03% son datos de usuarios, mientras que el 99,97% restante pertenece a datos técnicos a nivel interno"
"vpnMentor, por el contrario, afirma que los datos que han analizado sí incluyen usuarios y contraseñas sin cifrar de los empleados, número de la Seguridad Social, números de teléfono, etc"

Otra cosa es que te creas lo que dicen...

#4 Nombre, apellidos, dni, email, número de teléfono... Con buena ingeniería social ya puedes suplantar a alguien ante la compañía de teléfono. De ahí sacas la cuenta bancaria, y ya puedes meter a alguien en un embolao. Y no digamos ya si consigues que la compañía de móvil te mande una sim nueva.

#5 No, si eres socio con tarjeta tienen un huevo de datos tuyos.

#24 conozco de cerca las compañías telefónicas. No les sacas una cuenta bancaria ni a tiros. Más bien son ellos los que te la sacan a ti.

#22 A cualquiera se nos podría pasar una contraseña "de prueba" en algún momento para acelerar un proceso y comprobar que algo funciona, pero poner en riesgo un servidor que aloje datos sensibles, y accesible en Internet... ¡manda huevos!

123 millones de datos, curiosa medida.

#22 A mi lo que me deja ojiplatico es que en muchos hackeos, las contraseñas las empresas las tienen en blanco. JODER....un Sha1 o md5 al menos...

#20 Y ceñida

#22 y retirarles el carnet de colegiado

#31 Ya no podrán arbitrar?

jaja, no hay putas más baratas que nuestros datos

#9 pues mas claro xxxddd

#23 logate en la web si tienes cuenta y te dicen que cambies el password... Algunos sois tan credulos que pareceis los jefes de proyecto de la subcontrata

#17 toda la ley de protección de datos que quieras, multas por infringirla, pero luego puede dejar una puerta abierta o decir que te han hackeado y puedes hacer pasta con esos datos, llamadme malpensado

#36 Venga va, malpensao!

#16 pues que me la agarre con la mano

#4 pues si reutilizas contraseñas...

#36 Si las multas son lo suficientemente elevadas no debería haber ese problema.

#17 En el artículo dicen que los datos pertenecen a trabajadores de la empresa, no a clientes. Ahora puedes creértelo o no (en las capturas aparece un mensaje enterito de RabbitMQ).

A nivel técnico, este tipo de hackeos es ya un clásico: un ElasticSearch expuesto a internet (seguramente en AWS o Azure) sin ningún tipo de control de accesos (como viene por defecto).
Es muy normal usar ElasticSearch para monitorización, registro de actividad y/o logs en general (ese es el caso aquí, acompañado de Graylog).

Se pueden encontrar ElasticSearch abiertos en Shodan con la búsqueda: "tagline" "You Know, for Search"

Por lo que leo, usaban un servidor de búsquedas ElasticSearch configurado con los datos por defecto, y, además de todos los datos personales de los empleados, a través de él se registraban en los logs los datos de acceso de clientes incluyendo contraseñas sin encriptar. Vamos, que se trata de una cadena de fallos absulutamente demencial para cualquier servidor en producción, y deberían pedir responsabilidades a su equipo de sistemas por negligencia.

www.vpnmentor.com/blog/report-decathlon-leak/

#13 No tienes que proporcionar esos datos para comprar unas alpargatas, sino para tener una tarjetita de puntos.

#22 Tranqui que alguien pagará las consecuencias, y no será de la parte más alta de la pirámide.

#19 lo cual me deja libre al 100% para ti... Mmm