Aanvallers probeerden tussen 27 september en 7 oktober toegang te krijgen tot de Decathlon-accounts van klanten. Hun doel was om spaarpunten te stelen en deze om te zetten in cadeaubonnen.
De aanval maakte gebruik van ‘credential stuffing’. Dit is een techniek waarbij eerder gelekte e-mailadressen en wachtwoorden worden gebruikt om automatisch in te loggen op accounts van klanten die hun wachtwoorden hergebruiken.
De aanval was alleen mogelijk omdat de getroffen klanten dezelfde wachtwoorden op meerdere websites hadden gebruikt. Dit vergemakkelijkte het inloggen voor de aanvallers.
Getroffen klanten zijn door Decathlon geïnformeerd en verzocht om hun wachtwoord te wijzigen. Dit is bedoeld om toekomstige aanvallen te voorkomen.
Decathlon benadrukt dat bedrijven geautomatiseerde aanvallen moeten detecteren en blokkeren om dit soort incidenten tegen te gaan.
Lees het gva artikel voor meer informatie.