网络安全预警通报
安全新闻 2025年6月27日
德国运动品牌巨头阿迪达斯已确认发生重大数据泄露事件,攻击者通过入侵第三方客户服务提供商获取了客户联系信息。
2025年5月23日披露的这起事件,导致曾与该公司客服中心互动过的消费者联系方式外泄,但密码、信用卡数据等支付相关信息未受影响。
该事件凸显了大型零售商面临的日益严峻的网络安全挑战。根据Verizon《2025年数据泄露调查报告》,第三方引发的数据泄露事件占比已达30%,较上年的15%翻了一番。
第三方客服系统成入侵突破口
未经授权的攻击者利用阿迪达斯第三方客户服务提供商基础设施中的漏洞获取了消费者数据。
公司声明显示,泄露数据主要为曾联系过客服热线的客户联系方式信息。目前阿迪达斯已启动应急响应,向可能受影响的消费者及相关数据保护监管机构发出通知。
这起事件反映了零售行业普遍面临的安全危机。阿迪达斯加入了近期遭遇类似事件的品牌名单,包括玛莎百货、哈罗德百货、Co-Op和迪奥等。
供应链攻击成主流威胁
当恶意攻击者入侵供应商或承包商系统以获取其客户敏感信息时,就会发生第三方数据泄露。这类供应链攻击已成为威胁行为者的首选方式,当前62%的网络入侵源自第三方渠道。
第三方数据泄露造成的经济损失超过直接攻击,由于声誉损害和业务中断等因素,其成本比平均水平高出5%。网络安全防护较弱的小型分包商和服务提供商,正成为攻击者突破大型企业安全防线的理想跳板。
企业需强化第三方风险管理
该事件触发了GDPR等数据保护框架下的多项合规义务。企业应当实施全面的第三方风险管理(TPRM)计划,包括供应商安全评估、多因素认证(MFA)和零信任架构。
数据安全态势管理(DSPM)解决方案能增强对供应商访问权限的可视性,在漏洞被利用前主动识别风险。如Azure安全框架所述,静态数据加密协议通过AES256密钥的分层管理系统实施对称加密,确保数据即使被访问仍受保护。
此次事件突出表明,必须实施信封加密方法,并对所有第三方集成保持严格的访问控制,才能最大限度降低数据暴露风险。
双重攻击锁定饮料巨头
两起可能影响数百万消费者的重大网络安全事件中,臭名昭著的黑客组织Everest 和 Gehenna 分别宣称入侵了可口可乐系统。根据暗网论坛帖子显示,勒索软件组织 Everest 声称窃取了可口可乐内部机密信息,而黑客组织 Gehenna 则宣称在 2025 年 5 月初攻破了可口可乐欧洲太平洋合作伙伴(CCEP)的 Salesforce 数据库。
自2020 年活跃至今的 Everest 组织声称,已从可口可乐系统中窃取敏感内部机密信息。据其披露,被盗数据主要涉及中东地区业务。该组织此前曾与针对 NASA 和巴西政府的高调攻击事件有关联。
2300 万条记录遭泄露
在另一起可能更具破坏性的事件中,Gehenna 组织宣称成功入侵了 CCEP 的 Salesforce 控制面板。该组织声称窃取了 2016 年至 2025 年间的 2300 余万条记录,包括 Salesforce 账户、联系人、产品及包含高度敏感 CRM 信息的客户案例。
这并非可口可乐及其关联公司首次面临网络安全挑战。2023 年,某可口可乐装瓶商曾向黑客支付 150 万美元以阻止被盗文件泄露;2018 年,该公司披露过一起前员工私存公司数据导致约 8000 名员工信息泄露的事件。
Everest 声明时机存疑
Everest 组织的声明时机尤为耐人寻味——该组织的暗网泄密站点在 2025 年 4 月初刚遭不明攻击者篡改。安全研究人员发现,该站点被替换为"不要犯罪 犯罪有害 布拉格敬上"的留言后彻底下线。
作为可口可乐在欧洲和亚太地区最大的装瓶商与分销商,CCEP 正致力于成为"全球数字化程度最高的装瓶企业"。如此规模的入侵可能严重影响其数字化转型进程,并导致敏感商业和客户数据暴露。
官方尚未确认事件
安全分析师指出,可口可乐及CCEP 均未正式确认这些入侵事件。已知 Everest 组织从事数据勒索活动,自 2021 年起攻击范围持续扩大。"勒索软件组织常通过夸大其词迫使受害者支付赎金,"曾评论过 Everest 策略的美国医院协会专家 John Riggi 表示。
截至发稿时,可口可乐尚未就这些指控发布官方声明。建议可口可乐客户及合作伙伴关注公司官方通告,以获取潜在数据泄露应对指南及安全措施建议
▼
能信安——新一代网络安全领先企业!
深圳市能信安科技股份有限公司,是以安全、移动、泛在和大数据为主要方向的专业技术公司,致力于移动互联安全、车联网安全、物联网安全、大数据安全和人工智能安全技术。
公司是公安部、工信部网络安全技术支撑单位,国家网络安全威胁和漏洞信息共享平台技术支撑单位,是深圳大运会、党的十八大、2020年全国两会、2021年联合国生物多样性大会网络安全技术支撑单位。公司是国家级专精特新“小巨人”企业,中国移动安全十强企业,全国网络安全百强企业,具有良好的品牌影响力。
公司为中国新一代网络安全领先企业。在移动安全领域,公司可提供业界最先进、完整的技术、产品与解决方案,引领移动互联安全的技术潮流。主要产品及服务包括移动应用安全防火墙、无线安全检测及防御系统、移动应用安全检测及加固技术等。在数据安全领域,提供业界领先的数据安全治理、数据安全合格产品与服务。
公司依托于多年网络安全领域的技术经验及专业资质,向各类政府机关及企事业单位提供等级(分级)保护顾问咨询、关基保护顾问咨询、数据安全治理、密码改造顾问咨询、信息系统风险评估、安全体系建设咨询、修复加固服务、渗透测试服务、应急响应服务、安全运维保障服务。
原文始发于微信公众号(能信安资讯):阿迪达斯数据泄露事件:第三方服务商漏洞致客户信息外泄
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论