スポーツウェア大手のアディダスは木曜日、ハッカー集団Lapsus$が同社のエクストラネットから81万5000行の機密情報にアクセスしたと公に主張した後、独立系ライセンスパートナーでの潜在的なデータ流出を調査していると述べた。
2月16日付の地下フォーラム「BreachForums」への投稿で、「GOD User」という名前で活動し、Lapsus$の特徴的な黒と赤のロゴを表示するアカウントが流出を発表した。
投稿では、名前、メールアドレス、パスワード、誕生日、勤務先など、および「多くの技術データ」を含む流出データが列記されていた。本誌が確認したスクリーンショットでは、「Adidas Extranet」というタイトルが表示され、「adidas.comエクストラネットの一部 – 81万5000行」と明確に述べられている。
ぼかされたダウンロードリンクとTelegramチャンネルも含まれており、「もっと大きなことが来ている、待つだけだ。
気に入るだろう。」アディダスは迅速に対応し、インシデントは自社のコアシステムではなく第三者パートナーが関わっていることを確認した。
「当社の独立系ライセンスパートナーおよび格闘技製品の販売業者の1社での潜在的なデータ保護インシデントについて認識させられました」とアディダスのスポークスパーソンは記者に述べた。
「これは独自のITシステムを持つ独立した企業です。アディダスのIT基盤、当社独自のeコマースプラットフォーム、または当社の消費者データがインシデントの影響を受けた兆候はありません。」
同社は流出がいつ発生したか、また流出した「技術データ」の正確な性質を明かすことを拒否した。
これは1年未満の間にアディダスが関わる2番目の既知の第三者流出です。2025年5月、同社は外部カスタマーサービスプロバイダーからデータが盗まれたことを顧客に通知しました。
グループの最新投稿には、「GOD User」アカウントのフォーラム統計が含まれています:16件の投稿、11個のスレッド、2025年12月に参加、評判スコアは182。
サイバーセキュリティアナリストは、パートナーネットワークの侵害は大手ブランドにとって増加するリスクであり、攻撃者が主要な防御を侵害することなく企業に圧力をかけることを可能にしていると述べています。アディダスは当局および影響を受けたパートナーと協力していると述べました。
格闘技流通業者に保有されていた可能性のある情報を持つユーザーは、パスワードを変更し、疑わしい活動についてアカウントを監視するよう勧告されています。
ハッカーたちはフォーラム投稿以外に、流出したと主張されているデータのサンプルをまだ公開していません。
翻訳元: https://cyberpress.org/adidas-data-breach/