Minkä tyyppisiä asiakastietoja Adidaksen tietomurrossa paljastui?

Paljastuneisiin tietoihin kuuluivat asiakkaiden yhteystiedot, kuten nimet, sähköpostiosoitteet ja puhelinnumerot. Salasanat ja maksukorttitiedot eivät vaarantuneet.

Miten hakkerit saivat pääsyn Adidaksen asiakastietoihin?

Hakkerit vaaransivat kolmannen osapuolen asiakaspalveluntarjoajan, jonka Adidas oli palkannut ja jolla oli hallussaan asiakastietoja palvelutoimintojen tukemiseksi.

Miksi yhteystiedot katsotaan vaarallisiksi, vaikka salasanoja tai maksutietoja ei paljastunut?

Nimiä, sähköpostiosoitteita ja puhelinnumeroita voidaan käyttää kohdennettujen tietojenkalasteluyritysten, SIM-kortin vaihtohyökkäysten ja manipulointisuunnitelmien toteuttamiseen, jotka voivat lopulta johtaa tunnistetietojen varastamiseen tai taloudelliseen petokseen.

Miksi kolmannen osapuolen toimittajat ovat houkuttelevia kohteita hakkereille?

Toimittajat, kuten ulkoistetut puhelinpalvelukeskukset, ovat usein investoineet tietoturvaan vähemmän kuin palvelemansa suuret brändit, mutta niillä on silti tiedot miljoonista samoista asiakkaista, mikä tekee niistä pehmeän mutta arvokkaan kohteen.

Onko Adidaksen tietomurto yksittäinen tapaus suurten vähittäiskauppiaiden joukossa?

Ei, kaava on vakiintunut ja kasvava; vastaava tapaus sattui Zaran kohdalla, jossa entiseen teknologiatoimittajaan kohdistunut kyberhyökkäys paljasti noin 197 400 asiakkaan henkilötiedot.

Adidaksen tietomurto: Kolmannen osapuolen toimittaja paljasti asiakkaiden yhteystiedot

Adidas on vahvistanut, että hakkerit saivat asiakkaiden yhteystietoja haltuunsa vaarantuneen kolmannen osapuolen asiakaspalveluntarjoajan kautta. Urheiluvaatteiden jättiläinen kertoo, että salasanat ja maksutiedot eivät vaarantuneet, mutta tapaus on selkeä muistutus siitä, että kolmannen osapuolen toimittajien tietomurtoriskit ulottuvat kauas yksittäisen yrityksen omien tietoturvakäytäntöjen ulkopuolelle. Kun toimittaja, jolla on pääsy tietoihisi, joutuu tietomurron kohteeksi, asiakkaasi maksavat hinnan – riippumatta siitä, kuinka vahvat sisäiset valvontamenetelmäsi ovat.

Miten Adidaksen tietomurto tapahtui: Kolmannen osapuolen pääsy selitettynä

Adidas ei ollut tässä suora hyökkäyksen kohde. Sen sijaan asiakaspalvelutoimintoja hoitamaan palkattu kolmannen osapuolen yritys säilytti Adidaksen asiakkaiden tietoja ja oli murron tapahtumapaikkana. Tämä on oppikirjaesimerkki toimitusketjuhyökkäyksestä: sen sijaan että yritettäisiin murtautua suuren globaalin brändin puolustuksien läpi, hyökkääjät etsivät kyseisen brändin ekosysteemistä pienemmän, usein heikommin suojatun toimittajan.

Asiakaspalvelualustat saavat rutiininomaisesti pääsyn nimiin, sähköpostiosoitteisiin, puhelinnumeroihin ja ostohistoriaan, jotta agentit voivat vastata tukipyyntöihin. Tämä pääsyn taso tekee niistä arvokkaita kohteita. Hakkerin näkökulmasta kesikokoisessa ulkoistetussa puhelinpalvelukeskuksessa saattaa olla huomattavasti vähemmän tietoturvainvestointeja kuin Adidaksen ydinfrastruktuurissa, mutta siellä on silti tiedot miljoonista samoista asiakkaista.

Mitä asiakastietoja paljastui ja miksi yhteystiedot ovat silti tärkeitä

Adidas vahvisti, että paljastuneisiin tietoihin kuuluivat asiakkaiden yhteystiedot. Ei salasanoja, ei maksukorttinumeroita. Pintapuolisesti kuulostaa kuin olisi selvitty niukasti, mutta yhteystiedot ovat kaukana vaarattomista.

Nimet, sähköpostiosoitteet ja puhelinnumerot ovat tietojenkalasteluun, SIM-kortin vaihtohyökkäyksiin ja manipulointiin tarvittava raaka-aine. Uhkatekijä, joka tietää sinun olevan Adidaksen asiakas, voi luoda vakuuttavia väärennetyjä sähköpostiviestejä tilausongelmista tai kanta-asiakasohjelman päivityksistä. Se on sisäänkäynti tunnistetietojen varastamiseen tai taloudelliseen petokseen tulevaisuudessa.

Tietomurto herättää myös kysymyksiä siitä, kuinka kauan toimittaja säilytti tietoja, oliko ne salattu levossa ja mitä käyttöoikeusvalvontaa oli käytössä. Yritykset jakavat usein tietoja toimittajille ilman tiukkojen tietojen minimointiperiaatteiden noudattamista, mikä tarkoittaa, että toimittajilla on joskus enemmän tietoja kuin he todellisuudessa tarvitsevat työn tekemiseen.

Toimittajaketjun ongelma: Miksi suuret brändit joutuvat jatkuvasti iskujen kohteeksi toimittajiensa kautta

Adidas ei ole yksin. Kaava, jossa suuret vähittäiskauppiaat altistuvat kolmannen osapuolen kumppaneiden kautta, on vakiintunut ja kasvava. Lähes identtinen tilanne toteutui Zaran kohdalla, jossa teknologiatoimittajaan kohdistunut kyberhyökkäys paljasti noin 197 400 asiakkaan henkilötiedot, ja tapauksen yhteydessä mainittiin ShinyHunters-ryhmä. Molemmat tapaukset noudattavat samaa logiikkaa: hyökkää toimittajaan, tavoita brändin asiakkaat.

Ongelma on rakenteellinen. Globaalit brändit nojautuvat laajoihin alihankkijoiden, ulkoistettujen palveluiden ja SaaS-alustojen verkostoihin. Jokainen näistä yhteyksistä on potentiaalinen sisäänpääsy, ja jokaisen toimittajan tietoturvataso vaihtelee huomattavasti. Yritys voi investoida runsaasti omaan tietoturva-arkkitehtuuriinsa ja silti altistua, koska maailman toisella puolella toimiva asiakaspalvelun ulkoistaja ei ottanut käyttöön monivaiheista todentamista järjestelmänvalvojan tileillään.

Tämä ei rajoitu pelkästään vähittäiskauppaan. Sama dynamiikka on noussut esiin terveydenhuollossa, televiestinnässä ja IT-palveluissa. Paljastuneiden tietojen laajuus ja arkaluonteisuus vaihtelevat, mutta taustalla olevat kolmannen osapuolen toimittajien tietomurtoriskit ovat rakenteellisesti samat eri toimialoilla.

VPN:ien ulkopuolella: Tietojen minimointi ja toimittajan läpinäkyvyys yksityisyyden suojavälineinä

Suurin osa yksityisyyden suojaa koskevista neuvoista keskittyy siihen, mitä yksilöt voivat tehdä: käytä vahvoja salasanoja, ota käyttöön kaksivaiheinen todennus, ole varuillasi tietojenkalastelusähköpostien suhteen. Nämä neuvot ovat edelleen päteviä. Mutta Adidaksen tietomurto osoittaa, että yksilölliset varotoimet ovat rajallisia, kun tietojasi hallussaan pitävä yritys ei sovella samaa tarkkuutta toimittajiinsa.

Organisaatioille käytännölliset ohjausmekanismit ovat toimittajatarkastukset, sopimusperusteiset tietojen minimointivaatimukset ja tiukat käyttöoikeusvalvonnat, jotka säätelevät mitä tietoja kolmansilla osapuolilla voi olla hallussaan ja kuinka kauan. Toimittajien tulisi pitää hallussaan vain tietoja, joita he todella tarvitsevat sopimuksensa mukaisen tehtävän suorittamiseen, ja nämä tiedot tulisi poistaa määrätyn aikataulun mukaisesti.

Kuluttajille realistinen johtopäätös liittyy altistumisen hallintaan eikä sen poistamiseen. Erillisen sähköpostiosoitteen käyttäminen vähittäiskauppatileille, varovaisuus ostoksiisi viittaavien ei-toivottujen yhteydenottojen suhteen sekä tietojenkalasteluyritysten seuraaminen tietomurtoilmoitusten jälkeen ovat kaikki järkeviä toimenpiteitä. Yksityisyyteen keskittyvät sähköpostin aliasointityökalut voivat myös pienentää vaikutusaluetta, kun toimittaja, jolla on yksi osoitteistasi, joutuu tietomurron kohteeksi.

Mitä tämä tarkoittaa sinulle

Jos sinulla on Adidas-tili, suhtaudu erityisellä varovaisuudella kaikkiin saapuviin sähköpostiviesteihin tai viesteihin, joissa viitataan tiliisi, tilauksiisi tai henkilötietoihisi tulevien viikkojen aikana. Älä napsauta linkkejä ei-toivotuissa sähköpostiviesteissä, jotka väittävät olevansa Adidakselta, vaikka ne näyttäisivät aidoilta. Jos käytät Adidas-tilisi sähköpostia tai käyttäjänimeä muualla, tämä on hyvä hetki tarkistaa nämä tilit.

Laajemmin tarkasteltuna tällaiset tapaukset ovat seurannan arvoisia, koska ne paljastavat systeemisiä kaavoja. Vastaavien tietomurtojen kulun tarkastelu, mukaan lukien Zaran kolmannen osapuolen toimittajan tietomurto, antaa selkeämmän kuvan siitä, miten vähittäiskaupan toimittajan altistuminen toimii ja mitä tietoja on yleensä vaarassa.

Tärkeimmät johtopäätökset:

Yhteystiedot ovat hyökkääjille aidosti arvokkaita myös ilman salasanoja tai maksutietoja.
Kolmannen osapuolen toimittajien tietomurtoriskit tarkoittavat, että tietosi ovat vain yhtä hyvin suojattuja kuin brändin toimittajaverkoston heikoin lenkki.
Käytä erillisiä sähköpostiosoitteita vähittäiskauppatileille mahdollisuuksien mukaan alustojen välisen altistumisen rajoittamiseksi.
Ole valppaana tietojenkalasteluyritysten suhteen, jotka viittaavat suhteeseesi brändin kanssa minkä tahansa tietomurtoilmoituksen jälkeen.
Yrityksiin kohdistuva paine julkaista toimittajatarkastuskäytäntönsä ja tietojen säilytyskäytäntönsä on oikeutettu kuluttajien huolenaihe, jonka esiin tuominen on perusteltua.