Adidas adatszivárgás: Harmadik feles szállító teszi ki az ügyfelek kapcsolati adatait

Adidas adatszivárgás: Harmadik feles szállító teszi ki az ügyfelek kapcsolati adatait

Az Adidas megerősítette, hogy hackerek ügyféladatokhoz jutottak egy feltört, harmadik feles ügyfélszolgálati szolgáltatón keresztül. A sportruházati óriás szerint jelszavak és fizetési adatok nem érintettek, azonban az incidens egyértelműen emlékeztet arra, hogy a harmadik feles szállítókhoz kapcsolódó adatszivárgási kockázatok jóval túlmutatnak bármely vállalat saját biztonsági gyakorlatán. Ha egy, az adataidhoz hozzáférő szállítót feltörnek, az ügyfelek fizetik meg az árát – függetlenül attól, milyen erős a vállalat belső védelme.

Hogyan történt az Adidas adatszivárgás: A harmadik feles hozzáférés magyarázata

Az Adidas ebben az esetben nem volt közvetlen támadási felület. Ehelyett egy, az ügyfélszolgálati műveletek kezelésére szerződtetett harmadik feles vállalat kezelte az Adidas-ügyfelek adatait, és ez a cég volt a feltörés helyszíne. Ez egy tankönyvbe illő ellátási lánc elleni támadás: ahelyett, hogy egy nagy globális márka védelmét próbálnák áttörni, a támadók egy kisebb, általában kevésbé megerősített szállítót azonosítanak a márka ökoszisztémájában.

Az ügyfélszolgálati platformok rendszeresen hozzáférnek nevekhez, e-mail-címekhez, telefonszámokhoz és vásárlási előzményekhez, hogy az ügynökök válaszolhassanak a támogatási kérelmekre. Ez a hozzáférési szint értékes célponttá teszi őket. Egy hacker szemszögéből nézve egy közepes méretű, kiszervezett ügyfélszolgálati központ jóval kevesebb biztonsági beruházással rendelkezhet, mint az Adidas alapinfrastruktúrája, mégis több millió ugyanolyan ügyfél adatait tárolja.

Milyen ügyféladatok kerültek ki és miért számítanak a kapcsolati adatok

Az Adidas megerősítette, hogy a kiszivárgott adatok között ügyféladatok szerepeltek. Sem jelszavak, sem bankkártyaadatok. Felszínesen nézve ez szerencsés megmenekülésnek tűnhet, a kapcsolati adatok azonban korántsem ártalmatlanok.

A nevek, e-mail-címek és telefonszámok az adathalász kampányok, a SIM-csere-támadások és a social engineering alapanyagai. Egy fenyegető szereplő, aki tudja, hogy Adidas-ügyfél vagy, meggyőző hamis e-maileket tud szerkeszteni rendelési problémákról vagy hűségprogram-frissítésekről. Ez az a belépési pont, amely hosszú távon hitelesítő adatok ellopásához vagy pénzügyi csaláshoz vezethet.

A szivárgás azt is kérdésessé teszi, hogy a szállító mennyi ideig tárolta ezeket az adatokat, titkosítva volt-e tároláskor, és milyen hozzáférés-szabályozás volt érvényben. A vállalatok gyakran osztanak meg adatokat szállítókkal anélkül, hogy szigorú adatminimalizálási szabályokat érvényesítenének, ami azt jelenti, hogy a szállítók néha több információt tárolnak, mint amennyire valójában szükségük van a munkájuk elvégzéséhez.

A szállítói lánc problémája: Miért érik el a nagy márkákat újra és újra a beszállítókon keresztül

Az Adidas nincs egyedül. A nagy kiskereskedők harmadik feles partnereken keresztüli kitettségének mintája jól ismert és egyre növekszik. Egy szinte azonos forgatókönyv játszódott le a Zaránál is, ahol egy korábbi technológiai szolgáltató elleni kibertámadás körülbelül 197 400 ügyfél személyes adatait tette ki, az incidenshez a ShinyHunters csoportot kapcsolják. Mindkét eset ugyanazon a logikán alapul: támadd meg a szállítót, és eléred a márka ügyfeleit.

A probléma strukturális. A globális márkák alvállalkozók, kiszervezett szolgáltatások és SaaS-platformok kiterjedt hálózatára támaszkodnak. Ezek a kapcsolatok mindegyike potenciális belépési pont, és az egyes szállítók biztonsági helyzete rendkívül eltérő. Egy vállalat komolyan fektethet be a saját biztonsági architektúrájába, és mégis ki lehet téve annak, hogy a világ másik felén lévő ügyfélszolgálati kiszervező nem kényszerítette ki a többtényezős hitelesítést az adminisztrátori fiókjain.

Ez nem korlátozódik a kiskereskedelemre. Ugyanez a dinamika jelent meg az egészségügyi, a távközlési és az informatikai szolgáltatások területén is. A kiszivárgott adatok terjedelme és érzékenysége eltér, de az alapul szolgáló, harmadik feles szállítókhoz kapcsolódó adatszivárgási kockázatok iparágaktól függetlenül strukturálisan azonosak.

A VPN-eken túl: Az adatminimalizálás és a szállítói átláthatóság mint adatvédelmi eszközök

A legtöbb adatvédelmi tanács arra összpontosít, mit tehetnek az egyének: használjanak erős jelszavakat, engedélyezzék a kétlépéses hitelesítést, figyeljenek az adathalász e-mailekre. Ez a tanács továbbra is érvényes. Az Adidas-szivárgás azonban rámutat arra, hogy az egyéni óvintézkedéseknek korlátai vannak, ha az adataidat tároló vállalat nem alkalmazza ugyanolyan szigorral az előírásokat a szállítói felé is.

A szervezetek számára a praktikus eszközök a szállítói auditok, a szerződéses adatminimalizálási követelmények és a szigorú hozzáférés-szabályozás, amely meghatározza, hogy harmadik felek milyen információkat tárolhatnak és mennyi ideig. A szállítóknak csak azokat az adatokat szabad tárolniuk, amelyekre valóban szükségük van a szerződéses funkciójuk ellátásához, és ezeket az adatokat meghatározott ütemterv szerint törölni kell.

A fogyasztók számára a reális tanulság inkább a kitettség kezeléséről szól, mint annak megszüntetéséről. Célszerű egy dedikált e-mail-címet használni a kiskereskedelmi fiókokhoz, óvatosan kezelni minden kéretlen, vásárlásaidra hivatkozó megkeresést, és figyelni az adatszivárgások nyilvánosságra hozatala utáni adathalász kísérletekre. Az adatvédelmi szempontból ajánlott e-mail-aliasing eszközök is csökkenthetik a kár mértékét, ha az egyik címedet tároló szállítót feltörik.

Mit jelent ez számodra

Ha van Adidas-fiókod, a következő hetekben fokozott óvatossággal kezeld a fiókoddal, rendelésekkel vagy személyes adataiddal kapcsolatos bejövő e-maileket és üzeneteket. Ne kattints hivatkozásokra olyan kéretlen e-mailekben, amelyek állítólag az Adidastól érkeznek, még akkor sem, ha legitimnek tűnnek. Ha az Adidas-fiókodhoz tartozó e-mail-címet vagy felhasználónevet máshol is használod, most jó alkalom ezeket a fiókokat áttekinteni.

Tágabb értelemben az ilyen incidensek nyomon követése azért érdemes, mert rendszerszintű mintákat tárnak fel. A hasonló adatszivárgások lefolyásának vizsgálata – beleértve a Zara harmadik feles szállítóval kapcsolatos adatszivárgását – világosabb képet ad arról, hogyan működik a kiskereskedelmi szállítói kitettség, és milyen adatok szoktak veszélybe kerülni.

Legfontosabb tanulságok:

• A kapcsolati adatok valóban értékesek a támadók számára még jelszavak vagy fizetési adatok nélkül is.
• A harmadik feles szállítókhoz kapcsolódó adatszivárgási kockázatok azt jelentik, hogy adataid csak annyira védettek, amennyire a márka szállítói hálózatának leggyengébb láncszeme.
• Ahol lehetséges, használj külön e-mail-címeket a kiskereskedelmi fiókokhoz, hogy korlátozzd a platformok közötti kitettséget.
• Légy éber az adathalász kísérletekkel szemben, amelyek egy márkával fennálló kapcsolatodra hivatkoznak bármely adatszivárgás nyilvánosságra hozatala után.
• A vállalatoktól elvárható, hogy tegyék közzé a szállítói audit-gyakorlataikat és adatmegőrzési szabályzataikat – ez jogos fogyasztói érdek, amelyet érdemes felvetni.