Loại dữ liệu khách hàng nào đã bị lộ trong sự cố rò rỉ của Adidas?

Dữ liệu bị lộ bao gồm thông tin liên hệ của khách hàng như tên, địa chỉ email và số điện thoại. Mật khẩu và chi tiết thẻ thanh toán không bị ảnh hưởng.

Hacker đã giành quyền truy cập vào dữ liệu khách hàng của Adidas bằng cách nào?

Hacker đã xâm nhập một nhà cung cấp dịch vụ khách hàng bên thứ ba được Adidas ký hợp đồng và nắm giữ dữ liệu khách hàng để hỗ trợ các hoạt động dịch vụ.

Tại sao thông tin liên hệ vẫn bị coi là nguy hiểm ngay cả khi không có mật khẩu hoặc chi tiết thanh toán?

Tên, địa chỉ email và số điện thoại có thể được sử dụng để tạo ra các chiến dịch lừa đảo có chủ đích, tấn công hoán đổi SIM và các kế hoạch kỹ thuật xã hội mà cuối cùng có thể dẫn đến đánh cắp thông tin xác thực hoặc gian lận tài chính.

Tại sao các nhà cung cấp bên thứ ba là mục tiêu hấp dẫn đối với hacker?

Các nhà cung cấp như trung tâm cuộc gọi thuê ngoài thường có mức đầu tư bảo mật thấp hơn các thương hiệu lớn mà họ phục vụ, nhưng lại nắm giữ dữ liệu của hàng triệu khách hàng tương tự, khiến họ trở thành mục tiêu mềm hơn nhưng có giá trị.

Sự cố rò rỉ của Adidas có phải là sự việc cá biệt trong số các nhà bán lẻ lớn không?

Không, mô thức này đã được xác lập rõ ràng và đang gia tăng; một sự cố tương tự đã xảy ra với Zara, nơi một cuộc tấn công mạng vào nhà cung cấp công nghệ cũ đã làm lộ dữ liệu cá nhân của khoảng 197.400 khách hàng.

Sự cố rò rỉ dữ liệu Adidas: Nhà cung cấp bên thứ ba làm lộ thông tin liên hệ khách hàng

Adidas đã xác nhận rằng thông tin liên hệ của khách hàng đã bị hacker lấy cắp thông qua một nhà cung cấp dịch vụ khách hàng bên thứ ba bị xâm nhập. Gã khổng lồ đồ thể thao cho biết mật khẩu và chi tiết thanh toán không bị ảnh hưởng, nhưng sự cố này là một lời nhắc nhở rõ ràng rằng rủi ro rò rỉ dữ liệu từ nhà cung cấp bên thứ ba vượt xa phạm vi bảo mật của bất kỳ công ty đơn lẻ nào. Khi một nhà cung cấp có quyền truy cập vào dữ liệu của bạn bị xâm nhập, khách hàng của bạn sẽ phải trả giá, bất kể các biện pháp kiểm soát nội bộ của bạn có chắc chắn đến đâu.

Cách thức xảy ra sự cố rò rỉ Adidas: Giải thích về quyền truy cập của bên thứ ba

Adidas không phải là bề mặt tấn công trực tiếp ở đây. Thay vào đó, một công ty bên thứ ba được ký hợp đồng xử lý các hoạt động dịch vụ khách hàng đã nắm giữ dữ liệu về khách hàng của Adidas và chính là điểm bị xâm nhập. Đây là một vụ tấn công chuỗi cung ứng điển hình: thay vì cố gắng chọc thủng hàng phòng thủ của một thương hiệu toàn cầu lớn, kẻ tấn công xác định một nhà cung cấp nhỏ hơn, thường ít được bảo vệ hơn trong hệ sinh thái của thương hiệu đó.

Các nền tảng dịch vụ khách hàng thường xuyên nhận được quyền truy cập vào tên, địa chỉ email, số điện thoại và lịch sử mua hàng để nhân viên có thể phản hồi các yêu cầu hỗ trợ. Mức độ truy cập đó khiến chúng trở thành mục tiêu có giá trị. Từ góc độ của hacker, một trung tâm cuộc gọi thuê ngoài quy mô vừa có thể có mức đầu tư bảo mật thấp hơn nhiều so với hạ tầng cốt lõi của Adidas, nhưng lại nắm giữ dữ liệu của hàng triệu khách hàng giống hệt như vậy.

Dữ liệu khách hàng nào đã bị lộ và tại sao thông tin liên hệ vẫn quan trọng

Adidas xác nhận rằng dữ liệu bị lộ bao gồm thông tin liên hệ của khách hàng. Không có mật khẩu, không có số thẻ thanh toán. Nhìn bề ngoài, điều đó nghe có vẻ như một pha thoát hiểm trong gang tấc, nhưng thông tin liên hệ không hề vô hại chút nào.

Tên, địa chỉ email và số điện thoại là nguyên liệu thô cho các chiến dịch lừa đảo (phishing), tấn công hoán đổi SIM và kỹ thuật xã hội (social engineering). Một kẻ đe dọa biết bạn là khách hàng của Adidas có thể tạo ra những email giả mạo thuyết phục về các vấn đề đơn hàng hoặc cập nhật chương trình khách hàng thân thiết. Đó chính là điểm khởi đầu cho hành vi đánh cắp thông tin xác thực hoặc gian lận tài chính về sau.

Sự cố rò rỉ này cũng đặt ra câu hỏi về việc nhà cung cấp đó đã lưu giữ dữ liệu trong bao lâu, liệu dữ liệu có được mã hóa khi lưu trữ hay không và những biện pháp kiểm soát truy cập nào đã được áp dụng. Các công ty thường xuyên chia sẻ dữ liệu với nhà cung cấp mà không thực thi các chính sách thu thập dữ liệu tối thiểu nghiêm ngặt, nghĩa là đôi khi nhà cung cấp nắm giữ nhiều thông tin hơn mức họ thực sự cần để làm việc.

Bài toán chuỗi cung ứng: Tại sao các thương hiệu lớn liên tục bị tấn công thông qua nhà cung cấp

Adidas không đơn độc. Mô thức các nhà bán lẻ lớn bị lộ dữ liệu thông qua các đối tác bên thứ ba đã được xác lập rõ ràng và đang gia tăng. Một kịch bản gần như tương tự đã xảy ra với Zara, khi một cuộc tấn công mạng vào một nhà cung cấp công nghệ cũ đã làm lộ dữ liệu cá nhân của khoảng 197.400 khách hàng, với nhóm ShinyHunters có liên quan đến vụ việc. Cả hai trường hợp đều tuân theo cùng một logic: tấn công nhà cung cấp, tiếp cận khách hàng của thương hiệu.

Vấn đề mang tính cấu trúc. Các thương hiệu toàn cầu dựa vào mạng lưới rộng lớn gồm các nhà thầu, dịch vụ thuê ngoài và nền tảng SaaS. Mỗi kết nối đó là một điểm xâm nhập tiềm năng, và tình trạng bảo mật của mỗi nhà cung cấp là vô cùng khác biệt. Một công ty có thể đầu tư mạnh vào kiến trúc bảo mật của riêng mình nhưng vẫn bị lộ dữ liệu vì một nhà cung cấp dịch vụ khách hàng thuê ngoài ở bên kia thế giới không thực thi xác thực đa yếu tố trên các tài khoản quản trị của họ.

Điều này không chỉ giới hạn trong ngành bán lẻ. Động thái tương tự đã xuất hiện trong lĩnh vực chăm sóc sức khỏe, viễn thông và dịch vụ CNTT. Quy mô và mức độ nhạy cảm của dữ liệu bị lộ có khác nhau, nhưng các rủi ro rò rỉ dữ liệu từ nhà cung cấp bên thứ ba về cơ bản là giống hệt nhau về mặt cấu trúc giữa các ngành.

Vượt ra ngoài VPN: Thu thập dữ liệu tối thiểu và minh bạch với nhà cung cấp như các công cụ bảo vệ quyền riêng tư

Hầu hết các lời khuyên về quyền riêng tư đều tập trung vào những gì cá nhân có thể làm: sử dụng mật khẩu mạnh, bật xác thực hai yếu tố, cảnh giác với email lừa đảo. Lời khuyên đó vẫn có giá trị. Nhưng sự cố rò rỉ của Adidas cho thấy các biện pháp phòng ngừa cá nhân có giới hạn khi công ty nắm giữ dữ liệu của bạn không áp dụng cùng mức độ nghiêm ngặt đó cho các nhà cung cấp của họ.

Đối với các tổ chức, các đòn bẩy thực tế là kiểm toán nhà cung cấp, yêu cầu thu thập dữ liệu tối thiểu theo hợp đồng và các biện pháp kiểm soát truy cập chặt chẽ quản lý việc bên thứ ba có thể lưu trữ thông tin gì và trong bao lâu. Các nhà cung cấp chỉ nên nắm giữ dữ liệu mà họ thực sự cần để thực hiện chức năng theo hợp đồng, và dữ liệu đó phải được xóa theo một lịch trình xác định.

Đối với người tiêu dùng, bài học thực tế là về việc quản lý mức độ lộ diện thay vì loại bỏ nó. Sử dụng một địa chỉ email riêng cho các tài khoản bán lẻ, thận trọng với bất kỳ liên hệ không mong muốn nào nhắc đến giao dịch mua hàng của bạn, và theo dõi các nỗ lực lừa đảo sau khi công bố sự cố rò rỉ đều là những bước đi hợp lý. Các công cụ tạo bí danh email tập trung vào quyền riêng tư cũng có thể giảm thiểu phạm vi ảnh hưởng khi một nhà cung cấp nắm giữ một trong các địa chỉ của bạn bị xâm nhập.

Điều này có ý nghĩa gì với bạn

Nếu bạn có tài khoản Adidas, hãy đặc biệt xem xét kỹ lưỡng bất kỳ email hoặc tin nhắn nào đề cập đến tài khoản, đơn hàng hoặc chi tiết cá nhân của bạn trong những tuần tới. Đừng nhấp vào liên kết trong các email không mong muốn tự xưng là từ Adidas, ngay cả khi chúng trông có vẻ hợp lệ. Nếu bạn sử dụng lại email hoặc tên người dùng của tài khoản Adidas ở nơi khác, đây là thời điểm tốt để xem xét lại các tài khoản đó.

Rộng hơn, những sự cố như thế này đáng để theo dõi vì chúng tiết lộ các mô hình mang tính hệ thống. Xem xét cách các sự cố rò rỉ tương tự diễn ra, bao gồm sự cố rò rỉ từ nhà cung cấp bên thứ ba của Zara, sẽ cho thấy bức tranh rõ ràng hơn về cách thức lộ dữ liệu từ các nhà cung cấp bán lẻ hoạt động và loại thông tin nào thường có nguy cơ.

Điểm chính:

Thông tin liên hệ thực sự có giá trị đối với kẻ tấn công ngay cả khi không có mật khẩu hay dữ liệu thanh toán.
Rủi ro rò rỉ dữ liệu từ nhà cung cấp bên thứ ba có nghĩa là dữ liệu của bạn chỉ được bảo vệ ở mức độ của mắt xích yếu nhất trong mạng lưới nhà cung cấp của một thương hiệu.
Sử dụng các địa chỉ email riêng biệt cho các tài khoản bán lẻ khi có thể để hạn chế mức độ lộ diện trên nhiều nền tảng.
Cảnh giác với các nỗ lực lừa đảo đề cập đến mối quan hệ của bạn với một thương hiệu sau bất kỳ thông báo rò rỉ dữ liệu nào.
Gây áp lực để các công ty công bố các quy trình kiểm toán nhà cung cấp và chính sách lưu giữ dữ liệu là một mối quan tâm chính đáng của người tiêu dùng và đáng được lên tiếng.