阿迪达斯连曝三起数据泄露事件，暴露全球零售业供应链安全系统性隐患

1. 韩国分部：客服系统未授权访问5月16日，阿迪达斯韩国分部披露数据泄露事件，确认攻击者通过未授权访问客服系统，窃取2024年前与客服交互用户的姓名、出生日期、联系方式（电话/邮箱/地址）。强调“未涉及支付信息”，公司未公布受影响人数。

2. 土耳其分部：第三方供应商漏洞紧随其后，土耳其分部通报类似事件，泄露数据字段与韩国一致，并补充性别信息。调查显示，攻击者利用当地外包客服供应商的权限漏洞横向渗透，而该供应商甚至未启用基础入侵检测系统。

3. 全球客服平台：第三方服务商沦陷阿迪达斯全球总部于5月23日发布声明，确认“外部攻击者通过第三方客户服务商获取历史交互用户联系信息”，5月27日补充称影响范围仍在评估。尽管支付数据未泄露，但姓名、邮箱、电话的组合信息已被安全机构标记为“精准社工攻击高价值资产”。

值得注意的是，这三起事件均未涉及阿迪达斯自身的核心IT系统，而是通过其全球分布的外包客服平台——这些技术能力薄弱、访问权限广泛的第三方节点，成为攻击者下手的突破口。

这些事件的共同特征是：攻击者通过拥有大量客户数据访问权限但安全防护薄弱的第三方供应商，实施“曲线入侵”，最终危及头部品牌的客户隐私与声誉。

目前，阿迪达斯已向监管机构报备并邀请外部安全公司介入调查，但对于事件波及的客户数量、受影响国家与具体供应商名称，公司始终未予披露。这种信息不透明的应对方式，引发了业界对其事件响应态度和客户告知义务的普遍质疑。

与此同时，多个安全社区指出，泄露的客户联系信息极有可能被用于钓鱼邮件、伪装客服等社会工程攻击，长期威胁客户安全体验，进而侵蚀品牌声誉。

这些事件再次警示业界：企业的客户数据安全防线，并不止于自身系统，而是遍布其全球供应链的每一个薄弱节点。只要其中任何一环存在配置不当、权限过宽、监控缺失等问题，就可能成为黑客渗透的“短板入口”。

阿迪达斯的三起事件并非孤立的偶发，而是一个更广泛趋势的缩影。在“数据即资产”的商业逻辑驱动下，越来越多核心信息和客户关系被委托给外部服务商管理，企业边界日趋模糊，攻击面大幅扩展。然而，大量第三方节点的安全治理却长期被忽视，其风险在“看不见”的地方积累，最终演化为“爆雷式”危机。

值得注意的是，全球主要监管机构已开始以立法形式强化对供应链安全的治理要求。例如，欧盟《NIS2》指令要求关键基础设施企业强化第三方风险评估，美国CIRCIA法案则推动重要企业在遭遇网络安全事件后快速报告并追踪影响范围。未来，不具备全面供应链安全能力的企业，将不仅面临品牌声誉风险，也可能被法律追责。

真正的安全，不仅在于自我防守，更在于对复杂生态中信任链条的全局掌控。重建一个以“零信任”为基础、以“持续验证”为机制、以“合作治理”为保障的数字供应链安全体系，正成为所有大型企业必须面对的新挑战。

消息来源：

https://hackread.com/adidas-confirms-cyber-attack-customer-data-stolen/https://www.adidas-group.com/en/data-security-information