Adidas alerta sobre violação de dados

27/05/2025 mindsecblog Notícias 0

Adidas alerta sobre violação de dados após hackear provedor de atendimento ao cliente.

A gigante alemã de artigos esportivos Adidas divulgou uma violação de dados depois que invasores hackearam um provedor de atendimento ao cliente e roubaram alguns dados de clientes.

A violação, divulgada em 23 de maio de 2025, não envolveu informações confidenciais, como senhas ou detalhes de pagamento, mas expôs as informações de contato de clientes que já haviam interagido com o help desk da Adidas.

Isso incluía nomes, endereços de e-mail, números de telefone e possivelmente endereços residenciais e datas de nascimento, de acordo com relatos de incidentes semelhantes.

Este incidente destaca uma tendência crescente em segurança cibernética: ataques que exploram provedores de serviços terceirizados.

De acordo com o Relatório de Investigações de Violações de Dados da Verizon de 2025 , 30% das violações no ano passado envolveram entidades terceirizadas, o dobro da porcentagem do ano anterior.

Esses terceiros, incluindo fornecedores, parceiros de hospedagem e suporte de TI terceirizado, geralmente atuam como guardiões de dados confidenciais de clientes, o que os torna alvos atraentes para cibercriminosos.

Em nota a Adidas afirma que “tomou conhecimento recentemente de que uma parte externa não autorizada obteve determinados dados do consumidor por meio de um provedor de atendimento ao cliente terceirizado”, disse a empresa. 

“Tomamos medidas imediatamente para conter o incidente e iniciamos uma investigação abrangente, colaborando com os principais especialistas em segurança da informação”, complementou

A Adidas acrescentou que as informações roubadas não incluíam informações relacionadas ao pagamento ou senhas dos clientes afetados, já que os agentes da ameaça por trás da violação só obtiveram acesso ao contato.

A empresa também notificou as autoridades relevantes sobre este incidente de segurança e alertará os afetados pela violação de dados.

“A Adidas está no processo de informar os consumidores potencialmente afetados, bem como as autoridades de proteção de dados e aplicação da lei, de acordo com a legislação aplicável”, acrescentou .

“Continuamos totalmente comprometidos em proteger a privacidade e a segurança de nossos consumidores e lamentamos sinceramente qualquer inconveniente ou preocupação causada por este incidente.”

A Adidas ainda não revelou mais detalhes sobre este incidente, incluindo o nome do provedor de serviços afetado, quando o incidente foi detectado, quantas pessoas foram afetadas e se sua própria rede foi comprometida durante o ataque.

No início deste mês, a Adidas divulgou vazamentos de dados que afetaram clientes na Turquia e na Coreia do Sul que contataram o centro de atendimento ao cliente da empresa em 2024 ou antes. As informações roubadas nesses vazamentos incluem nomes, endereços de e-mail, números de telefone, datas de nascimento e endereços.

Em junho de 2018, a Adidas divulgou outra violação depois que invasores desconhecidos roubaram informações de contato, nomes de usuário e senhas criptografadas de “alguns milhões” de compradores que usaram o site americano da empresa de artigos esportivos.

Resposta a incidentes e conformidade regulatória

Ao descobrir a violação, a Adidas imediatamente iniciou medidas de contenção e iniciou uma investigação forense abrangente em colaboração com os principais especialistas em segurança da informação.

A empresa está notificando os consumidores potencialmente afetados e informou as autoridades de proteção de dados e de aplicação da lei relevantes, conforme exigido por lei.

A resposta da Adidas está alinhada às melhores práticas do setor para gerenciamento de violações de dados, que incluem:

  • Contenção de incidentes: isolamento imediato dos sistemas afetados para evitar mais acessos não autorizados.
  • Análise forense: envolver especialistas em segurança cibernética para determinar o escopo, o vetor de ataque e o impacto da violação.
  • Notificação regulatória: relatar o incidente às autoridades de proteção de dados e às autoridades policiais, conforme exigido por regulamentações como o Regulamento Geral de Proteção de Dados (GDPR).
  • Notificação ao consumidor: informar os indivíduos afetados sobre a natureza da violação e as próximas etapas recomendadas.

Vale ressaltar que a Adidas não divulgou o nome do provedor terceirizado comprometido, o número exato de clientes afetados ou se sua rede interna foi violada.

Essa falta de detalhes é comum nos estágios iniciais das investigações de violações, à medida que as empresas trabalham para verificar fatos e se coordenar com as autoridades.

Impacto da indústria e salvaguardas técnicas

violação da Adidas ocorre em meio a uma onda de ataques cibernéticos direcionados ao setor de varejo, com incidentes recentes afetando grandes marcas como Marks & Spencer e Co-op no Reino Unido.

Esses ataques renovaram o escrutínio sobre a segurança das cadeias de suprimentos e relacionamentos com terceiros no setor varejista.

Termos técnicos relevantes para este incidente incluem:

  • Informações de identificação pessoal (PII): dados que podem identificar um indivíduo, como nome, endereço e informações de contato.
  • Vetor de ataque: método ou caminho usado por criminosos cibernéticos para obter acesso não autorizado, neste caso, um provedor de serviços terceirizado.
  • Plano de Resposta a Incidentes: Um conjunto documentado de procedimentos para detectar, responder e se recuperar de incidentes de segurança cibernética.
  • Minimização de dados: A prática de limitar a coleta e retenção de dados pessoais ao mínimo necessário para fins comerciais.

Para mitigar riscos semelhantes, é aconselhável que as organizações adotem estruturas robustas de gerenciamento de riscos de terceiros, realizem auditorias de segurança regulares e implementem controles técnicos, como autenticação multifator (MFA), criptografia em repouso e em trânsito e segmentação de rede.

Exemplo de código de manipulação segura de dados (pseudocódigo Python):

pitãoimport hashlib

def store_contact_info(name, email, phone):
    # Hash sensitive data before storage
    hashed_email = hashlib.sha256(email.encode()).hexdigest()
    hashed_phone = hashlib.sha256(phone.encode()).hexdigest()
    # Store hashed data in secure database
    db.store({'name': name, 'email': hashed_email, 'phone': hashed_phone})

Este pseudocódigo demonstra como o hash pode ajudar a proteger informações de contato, reduzindo o impacto de uma violação de dados.

À medida que as ameaças cibernéticas evoluem, o incidente da Adidas serve como um lembrete de que até mesmo dados não financeiros, quando expostos, podem levar a danos à reputação e ao escrutínio regulatório.

O investimento contínuo em segurança cibernética e gerenciamento vigilante da cadeia de suprimentos continua sendo essencial para organizações que lidam com dados de consumidores.

Fonte: GBHackers & BleepingComputer

Veja também:

About mindsecblog 3054 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

Backup inteligente: a proteção de dados como ativo fundamental para uma marca

11/01/2024 mindsecblog Artigos, LGPD & PRIVACY, Notícias 7

Backup inteligente: a proteção de dados como ativo fundamental para uma marca. O Brasil está no topo das pesquisas na América Latina sobre dados confidenciais vazados, ataques de ransomware e invasões a grandes instituições. De acordo […]

Artigos

O que é o KYC (Know Your Customer)

18/06/2024 mindsecblog Artigos, Notícias 0

O que é o KYC (Know Your Customer) ou “Conheça seu Cliente” e como isso pode impactar sua Startup O KYC (Know Your Customer), termo em inglês que significa “Conheça Seu Cliente”, é um conjunto […]

Notícias

Ataques de DDoS: como identificá-los e o que fazer se for vítima

22/05/2024 mindsecblog Notícias 1

Ataques de DDoS: como identificá-los e o que fazer se for vítima. Geralmente orquestrados por botnets, os ataques de negação de serviço (DDoS) são empregados de várias maneiras pelos cibercriminosos. Saiba as principais formas de […]

Be the first to comment

Deixe sua opinião!