连遭三劫：阿迪达斯遭遇第三次客户数据泄露，数据保护能力受质疑

2025年5月23日，全球运动品牌巨头阿迪达斯确认发生第三次客户数据泄露事件。此次事件源于第三方客户服务提供商系统遭未授权访问，主要影响曾联系客服中心的消费者，泄露信息包括姓名、电话、邮箱等联系数据，但未涉及密码、信用卡等支付信息。阿迪达斯已启动内部调查，协同网络安全专家及执法部门处理，并依据隐私法规通知受影响的客户。

此前，阿迪达斯土耳其及韩国分公司分别于5月中旬披露类似事件，均因客服系统漏洞导致用户个人信息外泄，但公司未公布具体受影响人数及事件关联性。尽管三次泄露均未涉及财务数据，但阿迪达斯旗下adiClub忠诚计划覆盖全球50国超3.03亿会员，事件引发对其数据保护能力的质疑。事件曝光后，公司股价一度下跌2.7%，后逐步回升。

此次事件再次凸显零售业数据安全风险。近期，玛莎百货因网络攻击损失约4亿美元利润，山姆会员商店亦遭Clop勒索团伙攻击调查。阿迪达斯呼吁用户警惕钓鱼诈骗，但尚未提供信用监控服务。行业普遍面临第三方服务商漏洞威胁，客户隐私保护与供应链安全管理成为焦点议题。

德国运动服装巨头阿迪达斯已确认，未经授权的第三方通过第三方客户服务提供商访问了客户数据，这是最近几周内该运动服装巨头客户服务系统发生的第三起公开事件。

根据阿迪达斯官网发布的官方声明，此次数据泄露事件主要影响了此前联系过阿迪达斯客服中心的个人。泄露的数据主要包括联系信息，但阿迪达斯强调，此次事件并未涉及密码、信用卡号或支付相关数据。

阿迪达斯表示，在发现数据泄露事件后，公司立即与外部网络安全专家协调启动了内部调查。公司已通知相关数据保护和执法部门，并正在根据适用的数据隐私法通知受影响的消费者。

这份声明是标准的公关用语，确认发生事件，关键信息安全，已报告执法机构，致歉并表决心。堪称教科书式的网络安全事件危机公关，完全胜过下意识的捂盖子、删帖子式的应激式反应。

此次最新披露是继此前两起涉及阿迪达斯土耳其和韩国业务的区域性事件之后。5月16日，阿迪达斯韩国公司提醒客户，未经授权的访问导致个人信息泄露，包括全名、电话号码、电子邮件地址、性别和出生日期。几天后，阿迪达斯土耳其公司也向受影响的个人发送了类似的通知，确认客户数据在与客服互动后遭到泄露。

在之前的两起事件中，阿迪达斯都表示其财务数据仍然安全，并建议用户对潜在的网络钓鱼攻击或诈骗保持警惕。迄今为止，该公司尚未披露每起事件中受影响的用户数量，也尚未确认这三起事件是否存在关联。

阿迪达斯总部位于德国，是全球最大的运动服饰品牌之一，其adiClub忠诚度计划在50个国家/地区拥有超过3.03亿会员。鉴于其庞大的全球业务，即使是少量的客户联系数据泄露，也会引发对客户信任和数据保护实践的严重担忧。

事件发生后，阿迪达斯重申了对消费者隐私的承诺，并表示：“我们将继续全力致力于保护消费者的隐私和安全，并对此次事件造成的任何不便或担忧深表歉意。”

我们鼓励受影响的客户对未经请求的通信保持警惕，避免点击可疑链接，并监控其账户是否存在任何异常活动。虽然尚未收到任何欺诈证据，但阿迪达斯尚未提供信用监控或身份保护服务。

5月份，接连发生数据泄露事件，影响到国内消费者。此前，全球奢侈品牌迪奥也因国内客户信息泄露而引发争议。

5月13日，迪奥官网发布公告称：“5月7日，我们发现未经授权的第三方访问了公司持有的部分客户数据。我们已采取措施，以遏制1月26日发生的此类违规行为。”问题在于，今年1月发生的顾客姓名、手机号码、邮箱地址、购买信息等信息泄露事件，直到5月7日才被确认。尽管购买信息（数据）一旦泄露，必然会变得敏感，但据报道，迪奥当时并未向韩国互联网振兴院（KISA）报告此事，引发了批评。

英国零售商玛莎百货（M&S）最近承认，在持续三周多的网络攻击后，其部分客户数据遭到泄露。

Co-op是一家英国合作社，拥有2,000 家机构，包括杂货店和殡葬服务，该公司也正在从导致关键IT系统关闭的攻击中恢复。

5月初，Co-op报告称客户姓名和联系方式被盗，但保证密码和财务信息仍然安全。

英国奢侈品百货公司哈罗德百货在检测到未经授权的访问尝试后暂时关闭了某些系统。

路透社最近报道称，破坏英国零售业务的网络攻击者现在将注意力转向美国的类似目标。

谷歌网络安全部门分析师约翰·赫尔奎斯特 (John Hultquist) 警告美国零售商注意这些威胁，称攻击者“具有攻击性、创造性，并且特别擅长规避成熟的安全程序”。

【闲话简评】

阿迪达斯三度因第三方客服系统漏洞泄露用户数据，其声明回避了事件后续的连锁风险，虽强调“财务数据未受影响”，但轻描淡写的态度掩盖了更严峻的风险。姓名、电话、邮箱等信息的泄露，实为精准网络攻击的“黄金燃料”——攻击者可借此定制钓鱼邮件（如“订单异常”诈骗）、实施社交工程（如伪装客服骗取验证码），或通过撞库攻破用户其他账户（如电商、社交平台）。阿迪达斯的回应存在明显盲区：供应链安全失控：第三方服务商屡成漏洞源头，却未公布整改措施，暴露企业对供应商安全评估的形式化。透明度缺失：拒绝披露受影响用户规模及事件关联性，削弱公众信任，且未提供实质补救（如信用监控）。除了企业需要反思，即选择第三方服务商时应强制安全合规审计，还需要用户则树立“数据最小化”意识——非必要不提供隐私信息。

参考资源

1、https://cyberinsider.com/adidas-hit-by-third-customer-data-breach-linked-to-support-systems/

2、https://www.adidas-group.com/en/data-security-information

3、https://www.businesskorea.co.kr/news/articleView.html?idxno=242481

4、https://www.hurriyetdailynews.com/adidas-turkiye-unveils-data-breach-affecting-customer-information-209384

原文始发于微信公众号（网空闲话plus）：连遭三劫：阿迪达斯遭遇第三次客户数据泄露，数据保护能力受质疑