Jak podaje Niebezpiecznik.pl, wyciek nie dotyczy wszystkich klientów, gdyż dane logowania wskazują na pobranie raportu z okresu od lutego do kwietnia i to tylko i wyłącznie tych klientów, do których Decathlon wysyłał komunikaty marketingowe jako SMS-y. Nie wiadomo ilu jest poszkodowanych. Portal pisze jednak o kilkunastu tysiącach czytelników, które otrzymały komunikat Decathlonu o wycieku. Poniżej publikujemy jego fragmenty.
W Decathlonie doszło do wycieku danych
"Dzień dobry,
piszemy do Ciebie, gdyż otrzymaliśmy informację, że doszło do naruszenia bezpieczeństwa Twoich danych osobowych. Kwestie bezpieczeństwa naszych klientów traktujemy priorytetowo, dlatego proszę, przeczytaj uważnie poniższą wiadomość.
1. Co się stało?
Dnia 27 kwietnia 2020 r. wieczorem, doszło do nieuprawnionego zalogowania się do systemu podwykonawcy Decathlon. Jest to narzędzie informatyczne służące do wysyłki wiadomości SMS (tzw. “bramka SMS”). Po zalogowaniu osoby nieuprawnione wygenerowały raport z działań, podejmowanych przez Decathlon za pośrednictwem tej platformy, za okres od 23.02.2020 r. do 24.04.2020 r. Nie mamy informacji o tym, czy pobrane w ten sposób dane zostały w jakikolwiek sposób wykorzystane.
2. Co to oznacza dla Ciebie?
Twój numer telefonu był w pobranym raporcie. Doszło w ten sposób do naruszenia poufności Twoich danych osobowych, przez co osoby nieuprawnione mogły uzyskać dostęp do następujących danych:
Twojego numeru telefonu;
numeru zamówienia złożonego przez Ciebie w Decathlon;
kodu do odbioru Twojego zamówienia internetowego Decathlon.WAŻNE: raport nie zawierał żadnych innych danych osobowych dotyczących Twojej osoby takich jak: imię, nazwisko czy adres zamieszkania.
W zaistniałej sytuacji jesteśmy zobowiązani poinformować Cię, że możliwe konsekwencje naruszenia Twoich danych osobowych obejmują:
w przypadku otrzymania wiadomości SMS zawierającej link – skorzystanie z zamieszczonego linku może doprowadzić do: złamania zabezpieczeń urządzenia, pobrania zapisanych na nim plików, dostępu do aplikacji zainstalowanych na urządzeniu, wyłudzenia pieniędzy lub dodatkowych danych osobowych;
uzyskanie przez osoby nieuprawnione Twojego numeru telefonu i jego wykorzystanie dla własnych celów – ryzyko podszycia się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych danych lub określonych informacji" - czytamy w komunikacie przesłanym poszkodowanym klientom sieci sklepów sportowych.
Decathlon poinformował również, że po otrzymaniu w dniu 29 maja 2020 r. potwierdzenia wystąpienia zdarzenia firma zgłosiła incydent do Prezesa Urzędu Ochrony Danych Osobowych w celu podjęcia stosownych działań ochronnych.
