Únik dat u Adidasu: Dodavatel třetí strany odhalil kontaktní údaje zákazníků

Únik dat u Adidasu: Dodavatel třetí strany odhalil kontaktní údaje zákazníků

Adidas potvrdil, že hackeři získali kontaktní informace zákazníků prostřednictvím kompromitovaného poskytovatele zákaznického servisu třetí strany. Gigant se sportovním oblečením uvádí, že hesla a platební údaje nebyly zasaženy, ale incident je jasnou připomínkou toho, že rizika úniku dat prostřednictvím dodavatelů třetích stran sahají daleko za hranice bezpečnostních postupů jakékoli jednotlivé společnosti. Když dojde k úniku dat u dodavatele, který má přístup k vašim datům, cenu za to zaplatí vaši zákazníci – bez ohledu na to, jak robustní jsou vaše interní kontrolní mechanismy.

Jak k úniku dat u Adidasu došlo: Vysvětlení přístupu třetích stran

Adidas zde nepředstavoval přímou útočnou plochu. Místo toho byla bodem kompromitace třetí strana – společnost smluvně zajišťující provoz zákaznického servisu, která uchovávala data zákazníků Adidasu. Jedná se o typický útok na dodavatelský řetězec: namísto pokusu prolomit obranu velké globální značky útočníci identifikují menšího, často méně zabezpečeného dodavatele v ekosystému dané značky.

Platformy zákaznického servisu běžně získávají přístup ke jménům, e-mailovým adresám, telefonním číslům a historii nákupů, aby mohli operátoři reagovat na žádosti o podporu. Tato míra přístupu z nich dělá hodnotné cíle. Z pohledu hackera může mít středně velké outsourcované call centrum výrazně nižší investice do zabezpečení než klíčová infrastruktura Adidasu, přesto uchovává data milionů stejných zákazníků.

Jaká zákaznická data byla odhalena a proč kontaktní údaje stále hrají roli

Adidas potvrdil, že odhalená data zahrnovala kontaktní informace zákazníků. Žádná hesla, žádná čísla platebních karet. Na první pohled to zní jako těsné vyhnutí se katastrofě, ale kontaktní informace zdaleka nejsou neškodné.

Jména, e-mailové adresy a telefonní čísla jsou surovinou pro phishingové kampaně, útoky SIM-swapping a sociální inženýrství. Útočník, který ví, že jste zákazníkem Adidasu, může sestavit přesvědčivé falešné e-maily o problémech s objednávkou nebo aktualizacích věrnostního programu. To je vstupní bod pro krádež přihlašovacích údajů nebo finanční podvod v budoucnu.

Incident také vyvolává otázky ohledně toho, jak dlouho dodavatel tato data uchovával, zda byla šifrována v klidovém stavu a jaké kontrolní mechanismy přístupu byly zavedeny. Společnosti sdílejí data s dodavateli často bez vymáhání přísných zásad minimalizace dat, což znamená, že dodavatelé někdy drží více informací, než ve skutečnosti potřebují ke své práci.

Problém dodavatelského řetězce: Proč velké značky stále doplácejí na dodavatele

Adidas není sám. Vzorec, kdy jsou velcí maloobchodníci vystaveni riziku prostřednictvím partnerů třetích stran, je dobře zdokumentovaný a na vzestupu. Téměř totožný scénář se odehrál u Zary, kde kybernetický útok na bývalého poskytovatele technologií odhalil osobní údaje přibližně 197 400 zákazníků, přičemž se incident pojí se skupinou ShinyHunters. Oba případy sledují stejnou logiku: útočíte na dodavatele a dosáhnete zákazníků dané značky.

Problém je strukturální. Globální značky spoléhají na rozsáhlé sítě dodavatelů, outsourcovaných služeb a SaaS platforem. Každé z těchto propojení je potenciálním vstupním bodem a bezpečnostní situace každého dodavatele se enormně liší. Společnost může masivně investovat do vlastní bezpečnostní architektury a přesto být vystavena riziku, protože outsourcovaný poskytovatel zákaznického servisu na druhém konci světa nevymáhal vícefaktorové ověřování na svých administrátorských účtech.

Toto není omezeno pouze na maloobchod. Stejná dynamika se projevila ve zdravotnictví, telekomunikacích a IT službách. Rozsah a citlivost odhalených dat se liší, ale základní rizika úniku dat prostřednictvím dodavatelů třetích stran jsou strukturálně stejná napříč odvětvími.

Za hranice VPN: Minimalizace dat a transparentnost dodavatelů jako nástroje ochrany soukromí

Většina rad týkajících se soukromí se zaměřuje na to, co mohou dělat jednotlivci: používejte silná hesla, povolte dvoufaktorové ověřování, dávejte pozor na phishingové e-maily. Tyto rady zůstávají v platnosti. Únik dat u Adidasu však ukazuje, že individuální opatření mají své limity, když společnost, která uchovává vaše data, neuplatňuje stejnou přísnost vůči svým dodavatelům.

Pro organizace jsou praktickými pákami audity dodavatelů, smluvní požadavky na minimalizaci dat a přísné kontrolní mechanismy přístupu upravující, jaké informace mohou třetí strany uchovávat a po jak dlouhou dobu. Dodavatelé by měli uchovávat pouze ta data, která skutečně potřebují k plnění své smluvní funkce, a tato data by měla být vymazána podle stanoveného harmonogramu.

Pro spotřebitele je realistickým závěrem spíše správa expozice než její úplné eliminování. Rozumným krokem je používání vyhrazené e-mailové adresy pro maloobchodní účty, obezřetnost vůči jakémukoli nevyžádanému kontaktu odkazujícímu na vaše nákupy a sledování pokusů o phishing po zveřejnění informací o úniku dat. Nástroje pro aliasing e-mailů zaměřené na soukromí mohou také omezit dosah dopadu, pokud dojde ke kompromitaci dodavatele uchovávajícího jednu z vašich adres.

Co to znamená pro vás

Pokud máte účet u Adidasu, věnujte v nadcházejících týdnech zvýšenou pozornost jakýmkoli příchozím e-mailům nebo zprávám odkazujícím na váš účet, objednávky nebo osobní údaje. Neklikejte na odkazy v nevyžádaných e-mailech, které tvrdí, že jsou od Adidasu, i kdyby vypadaly legitimně. Pokud používáte e-mail nebo uživatelské jméno z účtu Adidas i jinde, je to vhodná chvíle k přezkoumání těchto účtů.

Obecněji řečeno, incidenty jako tento stojí za sledování, protože odhalují systémové vzorce. Přezkoumání toho, jak se podobné úniky dat odehrávají, včetně úniku dat u Zary prostřednictvím dodavatele třetí strany, poskytuje jasnější obrázek o tom, jak expozice prostřednictvím maloobchodních dodavatelů funguje a jaké informace bývají ohroženy.

Klíčové závěry:

• Kontaktní informace jsou pro útočníky skutečně hodnotné, i bez hesel nebo platebních dat.
• Rizika úniku dat prostřednictvím dodavatelů třetích stran znamenají, že vaše data jsou chráněna pouze tak dobře, jak je chráněn nejslabší článek v dodavatelské síti dané značky.
• Pokud je to možné, používejte pro maloobchodní účty oddělené e-mailové adresy, abyste omezili expozici napříč platformami.
• Po jakémkoli zveřejnění informací o úniku dat buďte ostražití vůči pokusům o phishing, které odkazují na váš vztah s danou značkou.
• Tlak na společnosti, aby zveřejňovaly postupy auditu dodavatelů a zásady uchovávání dat, je legitimním spotřebitelským zájmem, který stojí za to vznášet.