Пробив в Adidas: Доставчик трета страна излага клиентски данни за контакт

Пробив в Adidas: Доставчик трета страна излага клиентски данни за контакт

Adidas потвърди, че хакери са получили достъп до клиентска информация за контакт чрез компрометиран доставчик на услуги за клиенти трета страна. Гигантът в спортното облекло заявява, че паролите и платежните данни не са засегнати, но инцидентът е ясно напомняне, че рисковете от пробив в данни при доставчици трети страни се простират далеч отвъд собствените мерки за сигурност на която и да е компания. Когато доставчик с достъп до вашите данни бъде компрометиран, вашите клиенти плащат цената — независимо колко надеждни са вашите вътрешни контроли.

Как се случи пробивът в Adidas: Обяснен достъпът на трета страна

Adidas не е бил прякото място на атаката. Вместо това компания трета страна, наета да управлява операциите по обслужване на клиенти, е съхранявала данни за клиенти на Adidas и е станала точката на компрометиране. Това е класически пример за атака по веригата на доставки: вместо да се опитват да пробият защитите на голяма глобална марка, нападателите идентифицират по-малък, често по-слабо защитен доставчик в екосистемата на тази марка.

Платформите за обслужване на клиенти рутинно получават достъп до имена, имейл адреси, телефонни номера и история на покупките, за да могат агентите да отговарят на заявки за поддръжка. Това ниво на достъп ги превръща в ценни цели. От гледна точка на хакер, средно голям аутсорсван кол център може да разполага с далеч по-малко инвестиции в сигурност от основната инфраструктура на Adidas, но въпреки това съхранява данни за милиони от същите клиенти.

Какви клиентски данни бяха разкрити и защо информацията за контакт все още е важна

Adidas потвърди, че разкритите данни включват клиентска информация за контакт. Без пароли, без номера на платежни карти. На пръв поглед това звучи като трудно избегнато последствие, но информацията за контакт далеч не е безвредна.

Имената, имейл адресите и телефонните номера са суровият материал за фишинг кампании, атаки чрез размяна на SIM карти и социално инженерство. Заплашващ актьор, който знае, че сте клиент на Adidas, може да изготви убедителни фалшиви имейли относно проблеми с поръчки или актуализации на програми за лоялност. Това е входната точка за кражба на идентификационни данни или финансови измами в бъдеще.

Пробивът поставя и въпроси относно това колко дълго доставчикът е съхранявал тези данни, дали са били криптирани в покой и какви контроли за достъп са съществували. Компаниите често споделят данни с доставчици, без да прилагат строги политики за минимизиране на данните, което означава, че доставчиците понякога притежават повече информация, отколкото действително им е необходима за изпълнение на работата им.

Проблемът с веригата от доставчици: Защо големите марки продължават да бъдат ударени чрез доставчици

Adidas не е сам. Моделът на излагане на големи търговци на дребно чрез партньори трети страни е добре установен и нарастващ. Почти идентичен сценарий се разигра при Zara, където кибератака срещу бивш технологичен доставчик разкри лични данни на приблизително 197 400 клиенти, като групата ShinyHunters е свързана с инцидента. И двата случая следват същата логика: атакуваш доставчика, достигаш до клиентите на марката.

Проблемът е структурен. Глобалните марки разчитат на разширени мрежи от изпълнители, аутсорсвани услуги и SaaS платформи. Всяка от тези връзки е потенциална входна точка и нивото на сигурност на всеки доставчик варира значително. Дадена компания може да инвестира сериозно в собствената си архитектура за сигурност и въпреки това да бъде изложена на риск, защото аутсорсван доставчик на обслужване на клиенти от другата страна на света не е наложил многофакторно удостоверяване на своите администраторски акаунти.

Това не се ограничава само до търговията на дребно. Същата динамика се е проявила в здравеопазването, телекомуникациите и ИТ услугите. Мащабът и чувствителността на разкритите данни се различават, но основните рискове от пробив в данни при доставчици трети страни са структурно еднакви в различните отрасли.

Отвъд VPN мрежите: Минимизирането на данните и прозрачността на доставчиците като инструменти за поверителност

Повечето съвети за поверителност се фокусират върху това, което отделните хора могат да направят: използвайте силни пароли, активирайте двуфакторно удостоверяване, внимавайте за фишинг имейли. Тези съвети остават валидни. Но пробивът в Adidas илюстрира, че индивидуалните предпазни мерки имат граници, когато компанията, съхраняваща вашите данни, не прилага същата строгост спрямо своите доставчици.

За организациите практическите лостове са одити на доставчиците, договорни изисквания за минимизиране на данните и строги контроли за достъп, регулиращи каква информация трети страни могат да съхраняват и за какъв период. Доставчиците трябва да притежават само данните, от които действително се нуждаят за изпълнение на договорената функция, и тези данни трябва да бъдат изтрити по определен график.

За потребителите реалистичният извод се отнася до управлението на излагането, а не до неговото елиминиране. Използването на специален имейл адрес за акаунти в търговията на дребно, предпазливостта при нежелани контакти, свързани с вашите покупки, и мониторингът за фишинг опити след разкриване на пробиви са разумни стъпки. Инструментите за псевдонимизиране на имейли, ориентирани към поверителността, могат също да намалят щетите, когато доставчик, съхраняващ един от вашите адреси, бъде компрометиран.

Какво означава това за вас

Ако имате акаунт в Adidas, третирайте всички входящи имейли или съобщения, свързани с вашия акаунт, поръчки или лични данни, с повишено внимание през следващите седмици. Не кликайте върху връзки в нежелани имейли, твърдящи, че са от Adidas, дори ако изглеждат легитимни. Ако използвате имейла или потребителското си име от Adidas акаунта и на други места, това е добър момент да прегледате тези акаунти.

По-общо казано, инциденти като този си заслужава да се проследяват, тъй като разкриват системни модели. Прегледът на начина, по който се разгръщат подобни пробиви, включително пробивът при доставчик трета страна на Zara, дава по-ясна представа за това как работи излагането чрез доставчици на дребно и каква информация обикновено е изложена на риск.

Основни изводи:

• Информацията за контакт е наистина ценна за нападателите дори без пароли или платежни данни.
• Рисковете от пробив в данни при доставчици трети страни означават, че вашите данни са защитени толкова, колкото е защитено най-слабото звено в мрежата от доставчици на дадена марка.
• Използвайте отделни имейл адреси за акаунти в търговията на дребно, когато е възможно, за да ограничите излагането в различни платформи.
• Бъдете бдителни за фишинг опити, свързани с вашата връзка с дадена марка, след всяко разкриване на пробив.
• Натискът върху компаниите да публикуват практиките си за одит на доставчиците и политиките за съхранение на данни е легитимна потребителска загриженост, достойна за повдигане.