Похитители данных атакуют Adidas и другие спортивные и фитнес сайты
Adidas AG сообщили «соответствующим» клиентам своего сайта электронной коммерции adidas.com/U.S. о потенциальном инциденте, связанном с безопасностью в Интернете. Компании стало известно, что 26 июня неопределенная сторона сообщила о том, что приобрела ограниченный объем данных о некоторых клиентах Adidas.
Данные затрагивают миллионы клиентов, сообщила представитель Adidas. Согласно предварительным расследованиям, скомпрометированные записи включают контактную информацию, имена пользователей и зашифрованные пароли. В пресс-релизе Adidas заявили, что не считают, что данные кредитных карт потребителей или информация о фитнесе были затронуты, однако тем не менее, они продолжат проводить «доскональный анализ».
По крайней мере, еще две другие компании сообщили о нарушениях безопасности в последние недели, обе из Великобритании. Одна из них является продавцом продуктов питания Fortnum & Mason — известным как «королевский бакалейщик», в котором было скомпрометировано 23 000 деталей о клиентах, включая адреса и номера телефонов. Другой компанией была Ticketmaster UK, которая 23 июня сообщила, что они выявили вредоносное ПО, которое затронуло почти 5% всех клиентов, которые использовали чатбота, отправляя ему имена, адреса электронной почты, номера телефонов, платежные данные и данные для входа с февраля 2017 до 23 июня нынешнего года. Компания была проинформирована о нарушении в апреле цифровым банком Великобритании, Monzo.
Время не стоит на месте, а также как и похитители данных. В соответствии с их подходом к нацеливанию на конкретные бизнес-сегменты, утечка данных в Adidas показывает тенденцию идти в сторону спортивных товаров и компаний, связанных со здоровьем и фитнесом. Все это произошло сразу после других утечек данных, например, приложение MyFitnessPal от Under Armor у которого в апреле «увели» данные более 150 млн. клиентов. Under Armor использует приложение о еде и питании для продвижения своих продаж в электронной коммерции. Также в апреле стало известно об утечке с сайта Panera Bread, затронувшей данные 37 млн. клиентов. Panera продвигает образ ориентированного на здоровье ресторана быстрого питания.
Другие недавние утечки данных розничных компаний включали системы продажи в некоторых магазинах Saks Fifth Avenue, Saks Off 5th и Lord & Taylor в прошлом году, что привело к краже около 5 млн. номеров кредитных и дебетовых карт. Эта утечка у трех торговых марок Hudson’s Bay Co. была самой крупной и наиболее разрушительной в индустрии ритейла.
Также фиксировались утечки данных, которые были вызваны вредоносными программами, установленными на POS-системах в магазинах, управляемых The Buckle, Eddie Bauer, Kmart и Forever21. Sears предупредил клиентов о «инциденте с безопасностью» 4 апреля, что также затронуло авиакомпании Kmart и Delta, которые используют ту же службу онлайн-поддержки, что и Sears. Best Buy, Saks Fifth Avenue, Lord and Taylor, Sonic, Whole Foods, Gamestop и Arby’s также находятся в списке розничных магазинов, пострадавших в прошлом году.
По данным отчета Radware 2018 Executive Application and Network Security, около 66% розничных и оптовых торговцев, опрошенных компанией по технологиям безопасности Radware, признались в выплате выкупа хакеру в течение последнего года. Это противоречит здравому смыслу о том, как реагировать на атаки с целью выкупа. Кроме того, несколько торговых и платежных компаний присоединились к созданию Secure Payments Partnership, которое работает в направлении более быстрых и безопасных платежных систем.
Общность между утечками в Panera и Ticketmaster UK заключалась в нерешительности, чтобы немедленно выяснить масштаб ущерба. Adidas избежал этой ловушки.
«Каждый раз, когда новая утечка данных обнаруживается у надежного продавца, потребительское доверие к этому бренду уменьшается», — сказал Джо Стунц, вице-президент по кибербезопасности в One World Identity. «К чести Adidas они быстро обнародовали эту утечку, потому что, как мы видели на примере других инцидентов, никакая утечка не остается тайной долгое время, и попытки ее скрыть могут еще больше ослабить доверие потребителей к этому бренду».
Рост электронной коммерции и мобильных платежей привел к тому, что хакеры смогли проникнуть в базы данных ритейлеров и украсть данные о клиентах. Утечка в Saks Fifth Avenue, а также в Adidas, сделала общей темой этих инцидентов централизацию огромных объемов данных о клиентах, включая учетные данные для входа в систему платежей и ритейла, номера банковских карточек и т. д.
Ритейлеры и поставщики платежных услуг должны бороться с этим путем децентрализации, в варианте, когда данные клиента хранятся на его мобильном устройстве. Это ликвидирует цель и заставляет хакеров переходить от устройства к устройству, чтобы попытаться получить хотя бы один набор учетных данных, что в конечном итоге должно их сдерживать, а если нет, то в 2018 году мы можем ожидать еще большего количества утечек данных в ритейле.