Niemiecki gigant odzieży sportowej Adidas padł ofiarą cyberataku, w wyniku którego doszło do wycieku danych osobowych klientów. Firma potwierdziła, że nieuprawniona osoba trzecia uzyskała dostęp do części danych konsumenckich za pośrednictwem zewnętrznego dostawcy usług obsługi klienta.
Choć incydent nie objął danych dotyczących płatności, takich jak numery kart kredytowych czy hasła, skradzione informacje obejmują głównie dane kontaktowe osób, które w przeszłości kontaktowały się z działem obsługi klienta marki. Dotyczy to również Polaków korzystających z biura obsługi klienta producenta odzieży.
Adidas natychmiast po wykryciu naruszenia podjął działania mające na celu ograniczenie skutków incydentu. Rozpoczęto wewnętrzne śledztwo przy współpracy z ekspertami ds. bezpieczeństwa IT, a także poinformowano odpowiednie organy ochrony danych i ścigania. Równocześnie firma rozpoczęła proces informowania potencjalnie poszkodowanych klientów.
W oficjalnym oświadczeniu opublikowanym na stronie internetowej, Adidas podkreślił, że wyciek nie dotyczy żadnych informacji finansowych i wyraził żal z powodu zaistniałej sytuacji. „Pozostajemy w pełni zaangażowani w ochronę prywatności i bezpieczeństwa naszych konsumentów” – zapewnia firma.
Incydent wpisuje się w szerszy kontekst rosnącej liczby cyberataków na firmy detaliczne. Tylko w ostatnich miesiącach ofiarami podobnych ataków padły m.in. Marks & Spencer, Harrods, Co-op Group czy Dior. Według danych firmy KnowBe4, w 2024 roku liczba ataków na sektor detaliczny wzrosła aż o 56%, głównie z wykorzystaniem phishingu i narzędzi opartych na sztucznej inteligencji. Średni koszt jednego naruszenia danych w tym sektorze osiągnął 3,48 miliona dolarów.
Brytyjska Organizacja konsumencka Which? ostrzega, że klienci mogą być narażeni na dalsze próby oszustw – w tym fałszywe wiadomości e-mail lub telefony – i zaleca czujność, m.in. monitorowanie rachunków bankowych i raportów kredytowych. Choć nie podano liczby poszkodowanych klientów Adidasa, eksperci przypominają, że nawet częściowy wyciek danych może stanowić poważne zagrożenie, jeśli zostanie wykorzystany do tzw. credential harvesting – kradzieży danych umożliwiających dostęp do innych usług.
Co ważne, nie ma obecnie przesłanek, by łączyć incydent w Adidasie z głośnymi atakami grupy hakerskiej Scattered Spider, odpowiedzialnej prawdopodobnie za niedawne ataki na M&S i Harrods. Adidas odnotował jednak również inne przypadki naruszeń danych w swoich strukturach – m.in. w Turcji i Korei Południowej.
Incydent ten po raz kolejny przypomina o kruchości cyfrowego bezpieczeństwa nawet wśród globalnych marek i o rosnącym znaczeniu inwestycji w ochronę danych osobowych.
