阿迪达斯数据泄露

德国运动服装巨头阿迪达斯 （Adidas） 已确认发生重大数据泄露事件，涉及通过受感染的第三方客户服务提供商访问的客户联系信息。

该事件于 2025 年 5 月 23 日披露，暴露了之前与该公司客户服务台互动过的消费者的联系方式，尽管泄露事件并未泄露密码、信用卡数据或其他与支付相关的信息。

此次泄露事件体现了主要零售商面临的日益严峻的网络安全挑战。根据Verizon 的《2025 年数据泄露调查报告》，第三方泄露现在占所有数据事件的 30%，比上一年的 15% 翻了一番。

通过第三方客户服务提供商泄露数据

未经授权的外部方通过 Adidas 第三方客户服务提供商基础设施中的漏洞访问了消费者数据。

该通知指出，泄露的数据主要包括之前联系过该公司客户服务台的客户的联系信息。

公司已启动将适用法规通知可能受影响的消费者和适当的数据保护机构的流程。

这一事件反映了影响零售业的更广泛的流行病。阿迪达斯加入了越来越多的受感染组织名单，包括 Marks & Spencer、Harrods、Co-Op 和 Dior，所有这些组织都在最近几个月经历了类似的违规行为。

当恶意行为者入侵供应商、供应商或承包商以访问其客户的敏感信息时，就会发生第三方数据泄露。

这些供应链攻击已成为威胁行为者的首选方法，现在 62% 的网络入侵来自第三方来源。

第三方泄露的财务影响超过直接泄露，由于声誉受损和业务中断，成本比平均水平高出 5%。

小型分包商和服务提供商是网络犯罪分子的诱人目标，他们试图绕过大型组织强大的网络安全防御。

消费者保护措施

此次泄露触发了数据保护框架下的多项合规义务，包括 GDPR 和国家违规通知法规。

组织必须实施全面的第三方风险管理 （TPRM） 计划，其中包括供应商安全评估、多重身份验证 （MFA） 和零信任架构。

数据安全态势管理 （DSPM） 解决方案增强了对供应商访问权限的可见性，并可以在利用之前主动识别潜在漏洞。

如 Azure 安全框架中所述，静态加密协议可确保即使访问数据，也可以通过分层密钥管理系统中使用 AES256 密钥的对称加密来保护数据。

该事件凸显了实施信封加密方法并在所有第三方集成中保持严格的访问控制以最大限度地降低暴露风险的极端重要性。

原文始发于微信公众号（网安百色）：阿迪达斯数据泄露