Утечка данных Adidas: сторонний поставщик раскрыл контактные данные клиентов

Утечка данных Adidas: сторонний поставщик раскрыл контактные данные клиентов

Adidas подтвердил, что контактная информация клиентов была получена хакерами через скомпрометированного стороннего поставщика услуг клиентской поддержки. Спортивный гигант заявляет, что пароли и платёжные данные не пострадали, однако инцидент является наглядным напоминанием о том, что риски утечки данных через сторонних поставщиков выходят далеко за пределы мер безопасности любой отдельной компании. Когда поставщик, имеющий доступ к вашим данным, оказывается скомпрометирован, за это расплачиваются ваши клиенты — вне зависимости от того, насколько надёжны ваши внутренние механизмы контроля.

Как произошла утечка данных Adidas: объяснение доступа третьих сторон

Adidas не являлся непосредственной точкой атаки. Вместо этого сторонняя компания, нанятая для обработки обращений в службу поддержки клиентов, хранила данные клиентов Adidas и стала точкой компрометации. Это классическая атака на цепочку поставок: вместо того чтобы пытаться преодолеть защиту крупного мирового бренда, злоумышленники выбирают более мелкого и зачастую менее защищённого поставщика в экосистеме этого бренда.

Платформы клиентской поддержки регулярно получают доступ к именам, адресам электронной почты, номерам телефонов и истории покупок, чтобы операторы могли отвечать на запросы. Такой уровень доступа делает их привлекательными целями. С точки зрения хакера, аутсорсинговый колл-центр среднего размера может располагать значительно меньшим объёмом инвестиций в безопасность, чем основная инфраструктура Adidas, однако при этом хранит данные миллионов тех же самых клиентов.

Какие данные клиентов были раскрыты и почему контактная информация по-прежнему важна

Adidas подтвердил, что раскрытые данные включали контактную информацию клиентов. Ни паролей, ни номеров платёжных карт. На первый взгляд это звучит как счастливое избавление, однако контактная информация далеко не безвредна.

Имена, адреса электронной почты и номера телефонов — это сырьё для фишинговых кампаний, атак с подменой SIM-карты и социальной инженерии. Злоумышленник, знающий, что вы являетесь клиентом Adidas, может составить убедительные поддельные письма о проблемах с заказом или обновлениях программы лояльности. Это и есть точка входа для последующей кражи учётных данных или финансового мошенничества.

Утечка также поднимает вопросы о том, как долго поставщик хранил эти данные, были ли они зашифрованы в состоянии покоя и какие средства контроля доступа применялись. Компании нередко передают данные поставщикам, не обеспечивая при этом строгой политики минимизации данных, что означает: поставщики порой хранят больше информации, чем им реально необходимо для выполнения своей работы.

Проблема цепочки поставщиков: почему крупные бренды продолжают страдать из-за партнёров

Adidas — не исключение. Паттерн, при котором крупные ритейлеры оказываются под угрозой через сторонних партнёров, хорошо известен и продолжает распространяться. Практически идентичный сценарий разыгрался с Zara, где кибератака на бывшего технологического провайдера раскрыла персональные данные приблизительно 197 400 клиентов, причём к инциденту была причастна группа ShinyHunters. Оба случая подчиняются одной логике: атакуй поставщика — доберись до клиентов бренда.

Проблема носит структурный характер. Глобальные бренды опираются на разветвлённые сети подрядчиков, аутсорсинговых служб и SaaS-платформ. Каждое из этих подключений является потенциальной точкой входа, а уровень защищённости каждого поставщика существенно варьируется. Компания может вкладывать значительные средства в собственную архитектуру безопасности и всё равно оказаться уязвимой — потому что аутсорсер клиентской поддержки на другом конце света не внедрил многофакторную аутентификацию для административных учётных записей.

Это явление не ограничивается розничной торговлей. Та же динамика прослеживается в здравоохранении, телекоммуникациях и сфере ИТ-услуг. Масштаб и чувствительность раскрытых данных различаются, однако лежащие в основе риски утечки данных через сторонних поставщиков структурно одинаковы во всех отраслях.

За пределами VPN: минимизация данных и прозрачность поставщиков как инструменты защиты конфиденциальности

Большинство советов по конфиденциальности сосредоточены на том, что могут сделать сами пользователи: использовать надёжные пароли, включить двухфакторную аутентификацию, остерегаться фишинговых писем. Эти советы по-прежнему актуальны. Однако утечка данных Adidas наглядно показывает, что индивидуальные меры предосторожности имеют свои пределы, когда компания, хранящая ваши данные, не применяет ту же строгость в отношении своих поставщиков.

Для организаций практическими рычагами воздействия являются аудиты поставщиков, договорные требования по минимизации данных и строгий контроль доступа, регулирующий, какую информацию третьи стороны могут хранить и как долго. Поставщики должны располагать только теми данными, которые действительно необходимы им для выполнения договорной функции, а сами данные должны удаляться по установленному графику.

Для потребителей реалистичный вывод состоит в управлении степенью раскрытия данных, а не в её полном устранении. Использование отдельного адреса электронной почты для учётных записей в интернет-магазинах, осторожность в отношении любых нежелательных обращений со ссылками на ваши покупки и мониторинг попыток фишинга после публичного раскрытия информации об утечках — всё это разумные меры. Инструменты для создания псевдонимов электронной почты с акцентом на конфиденциальность также позволяют ограничить последствия в случае компрометации поставщика, хранящего один из ваших адресов.

Что это значит для вас

Если у вас есть учётная запись Adidas, в ближайшие недели проявляйте особую бдительность в отношении любых входящих писем или сообщений, касающихся вашей учётной записи, заказов или персональных данных. Не переходите по ссылкам в нежелательных письмах, якобы отправленных от Adidas, даже если они выглядят убедительно. Если вы используете адрес электронной почты или имя пользователя от Adidas на других платформах, сейчас самое время проверить эти учётные записи.

В более широком контексте инциденты подобного рода заслуживают внимания, поскольку они выявляют системные закономерности. Анализ того, как разворачиваются аналогичные утечки, в том числе утечка данных Zara через стороннего поставщика, даёт более чёткое представление о том, как работает раскрытие данных через поставщиков в розничной сфере и какая информация чаще всего оказывается под угрозой.

Ключевые выводы:

• Контактная информация представляет реальную ценность для злоумышленников даже в отсутствие паролей или платёжных данных.
• Риски утечки данных через сторонних поставщиков означают, что ваши данные защищены ровно настолько, насколько защищено самое слабое звено в сети поставщиков бренда.
• По возможности используйте отдельные адреса электронной почты для учётных записей в интернет-магазинах, чтобы ограничить раскрытие данных на разных платформах.
• Будьте внимательны к попыткам фишинга, апеллирующим к вашим отношениям с брендом, после любого публичного раскрытия информации об утечке.
• Требование к компаниям публиковать сведения о практиках аудита поставщиков и политиках хранения данных является законной потребительской проблемой, заслуживающей внимания.