Rò Rỉ Dữ Liệu Adidas: Cảnh Báo Nghiêm Trọng Chuỗi Cung Ứng

Adidas hiện đang tiến hành điều tra về một sự cố rò rỉ dữ liệu tiềm năng liên quan đến một đối tác bên thứ ba độc lập. Sự việc được công khai sau khi một tác nhân đe dọa với biệt danh “LAPSUS-GROUP” đăng tải thông tin trên BreachForums vào ngày 16 tháng 2 năm 2026. Tác nhân này cáo buộc đã truy cập trái phép vào cổng extranet của gã khổng lồ đồ thể thao.

Vụ việc này nhấn mạnh những thách thức liên tục trong việc quản lý an ninh chuỗi cung ứng và truy cập của nhà cung cấp, đặc biệt là với các hệ thống bên ngoài.

Chi tiết Về Sự Cố Xâm Nhập Hệ Thống

Tác nhân đe dọa, được cho là có liên kết với nhóm “Scattered Lapsus$ Hunters collective”, một tập thể được biết đến với các vụ xâm nhập dựa trên kỹ thuật xã hội, đã tuyên bố đã đánh cắp khoảng 815.000 hàng dữ liệu từ Adidas Extranet.

Adidas Extranet là một cổng thông tin web hạn chế. Nền tảng này được sử dụng bởi các đối tác kinh doanh, nhà cung cấp và nhà bán lẻ được ủy quyền để tương tác với công ty.

Dữ liệu bị đánh cắp bao gồm các thông tin nhạy cảm. Các thông tin này tiềm ẩn nguy cơ cao nếu rơi vào tay kẻ xấu hoặc bị lạm dụng.

Dữ liệu Bị Ảnh Hưởng và Quy Mô

Tập dữ liệu bị đánh cắp được cho là chứa nhiều loại thông tin cá nhân và doanh nghiệp. Cụ thể bao gồm:

• Tên và họ của người dùng.
• Địa chỉ email.
• Mật khẩu (thường được lưu dưới dạng hash, nhưng vẫn gây rủi ro nếu bị crack).
• Ngày sinh.
• Thông tin công ty liên quan đến các đối tác.
• Và “rất nhiều dữ liệu kỹ thuật” theo mô tả của tác nhân đe dọa.

Nhóm này cũng ám chỉ về những tiết lộ lớn hơn sắp tới, với tuyên bố “something bigger is coming.” Họ cũng riêng biệt tuyên bố đang nắm giữ khoảng 420GB dữ liệu liên quan đến Adidas. Số liệu này đặc biệt tập trung vào thị trường Pháp.

Adidas đã xác nhận về sự cố này. Đại diện Adidas chia sẻ với The Register: “Chúng tôi đã nhận được thông tin về một sự cố bảo vệ dữ liệu tiềm năng tại một trong những đối tác cấp phép và nhà phân phối độc lập của chúng tôi cho các sản phẩm võ thuật.”

Adidas cũng nhấn mạnh: “Đây là một công ty độc lập với hệ thống IT riêng của họ.” Công ty đã tuyên bố rõ ràng rằng “không có dấu hiệu cho thấy hạ tầng IT của Adidas, các nền tảng thương mại điện tử riêng của chúng tôi, hoặc bất kỳ dữ liệu người tiêu dùng nào của chúng tôi bị ảnh hưởng bởi sự cố.”

Tuy nhiên, việc dữ liệu nhạy cảm của các đối tác bị lộ vẫn là một vấn đề nghiêm trọng. Nó có thể dẫn đến các chiến dịch lừa đảo (phishing) nhắm mục tiêu hoặc tấn công chuỗi cung ứng.

Nhóm Tác Nhân Đe Dọa và Phương Pháp Tấn Công

“LAPSUS-GROUP” là một biệt danh được sử dụng bởi tác nhân đe dọa. Nhóm này được cho là có liên quan đến “Scattered Lapsus$ Hunters collective”.

Nhóm “Scattered Lapsus$ Hunters” nổi tiếng với các vụ xâm nhập dựa trên kỹ thuật xã hội (social engineering). Các chiến thuật này thường tập trung vào việc thao túng con người để lấy thông tin nhạy cảm hoặc truy cập vào hệ thống. Để biết thêm về các chiến thuật của nhóm này, có thể tham khảo các báo cáo về các cuộc tấn công nhắm vào lĩnh vực tài chính.

Việc sử dụng kỹ thuật xã hội cho thấy các cuộc tấn công thường không dựa vào các lỗ hổng kỹ thuật phức tạp. Thay vào đó, chúng khai thác yếu tố con người, vốn là một điểm yếu phổ biến trong bảo mật.

Phương pháp này đặc biệt hiệu quả trong việc thâm nhập vào các hệ thống extranet hoặc cổng đối tác. Các cổng này thường được thiết kế để dễ dàng truy cập bởi nhiều bên thứ ba.

Mối Đe Dọa Mạng và Tầm Quan Trọng của An Ninh Chuỗi Cung Ứng

Sự cố này diễn ra sau một vụ rò rỉ dữ liệu của bên thứ ba riêng biệt được công bố vào tháng 5 năm 2025. Trong vụ việc đó, một bên không được ủy quyền đã truy cập vào một nhà cung cấp dịch vụ khách hàng bên thứ ba được Adidas sử dụng. Vụ việc đã làm lộ thông tin liên hệ của những khách hàng đã liên hệ với bộ phận trợ giúp của thương hiệu.

Trong vụ việc năm 2025, không có mật khẩu hay dữ liệu tài chính nào bị xâm phạm. Tuy nhiên, sự tái diễn của các sự cố liên quan đến bên thứ ba đánh dấu một mô hình đáng lo ngại đối với gã khổng lồ đồ thể thao của Đức.

Các sự cố này củng cố những lo ngại xung quanh an ninh chuỗi cung ứng và quản lý truy cập của nhà cung cấp. Mỗi điểm tiếp xúc với bên thứ ba đều là một điểm yếu tiềm ẩn. Các tổ chức cần nhận thức rõ về nguy cơ này.

Dù Adidas từ chối xác nhận thời gian của vụ xâm phạm. Công ty cũng không chỉ định dữ liệu cụ thể nào đã được truy cập trong sự cố mới nhất. Điều này để lại nhiều câu hỏi chưa được giải đáp trong quá trình điều tra đang tiếp diễn.

Tác Động của Rò Rỉ Dữ liệu Extranet

Extranet là cầu nối giữa công ty và các đối tác bên ngoài. Do đó, việc bị xâm nhập có thể có nhiều tác động nghiêm trọng:

• Nguy cơ lừa đảo (Phishing): Thông tin liên hệ và tên công ty có thể được dùng để tạo email lừa đảo tin cậy hơn, nhắm vào nhân viên hoặc đối tác khác.
• Xâm nhập chuỗi cung ứng: Dữ liệu kỹ thuật có thể cung cấp thông tin chi tiết về hệ thống của Adidas hoặc các đối tác khác. Từ đó tạo điều kiện cho các cuộc tấn công tiếp theo.
• Đánh cắp danh tính: Mật khẩu và thông tin cá nhân bị lộ có thể được sử dụng để truy cập vào các tài khoản khác của người dùng.
• Thiệt hại danh tiếng: Dù dữ liệu chính của Adidas không bị ảnh hưởng, sự cố tại đối tác vẫn có thể làm suy giảm lòng tin của công chúng và đối tác.

Các Biện Pháp Bảo Mật và Thực Tiễn Tốt Nhất

Các chuyên gia bảo mật khuyến nghị các doanh nghiệp thực thi các chính sách bảo mật nghiêm ngặt để giảm thiểu rủi ro từ các bề mặt tấn công kiểu extranet. Đây là những điểm quan trọng để củng cố an ninh mạng.

Áp Dụng Nguyên Tắc Quyền Truy Cập Tối Thiểu (Least-Privilege Access)

Nguyên tắc này yêu cầu cấp cho người dùng hoặc hệ thống chỉ những quyền truy cập cần thiết để thực hiện công việc của họ, không hơn. Đối với các đối tác bên thứ ba, điều này có nghĩa là:

• Xác định rõ ràng vai trò và nhu cầu truy cập của từng đối tác.
• Chỉ cấp quyền truy cập vào các tài nguyên và dữ liệu cụ thể mà họ cần để hoạt động.
• Đảm bảo rằng quyền truy cập được thu hồi ngay lập tức khi không còn cần thiết.

Yêu Cầu Xác Thực Đa Yếu Tố (MFA)

MFA nên được áp dụng bắt buộc cho tất cả các tương tác của nhà cung cấp bên thứ ba. MFA thêm một lớp bảo mật quan trọng bằng cách yêu cầu hai hoặc nhiều yếu tố xác minh độc lập để cấp quyền truy cập. Các vấn đề liên quan đến MFA cũng cần được đánh giá để đảm bảo triển khai hiệu quả.

Các yếu tố này có thể bao gồm:

• Cái bạn biết (mật khẩu).
• Cái bạn có (mã từ ứng dụng authenticator, khóa bảo mật vật lý).
• Cái bạn là (sinh trắc học).

Việc triển khai MFA làm giảm đáng kể nguy cơ tài khoản bị xâm phạm. Điều này ngay cả khi mật khẩu bị đánh cắp trong một vụ rò rỉ dữ liệu.

Kiểm Toán Định Kỳ Cổng Thông Tin Đối Tác

Thực hiện kiểm toán bảo mật định kỳ cho các cổng thông tin dành cho đối tác. Các cuộc kiểm toán này giúp xác định và khắc phục các lỗ hổng tiềm ẩn. Chúng cũng giúp đảm bảo tuân thủ các chính sách bảo mật. Quy trình kiểm toán nên bao gồm:

• Đánh giá cấu hình bảo mật.
• Kiểm tra quyền truy cập của người dùng.
• Rà soát nhật ký hoạt động để phát hiện hành vi bất thường.
• Đánh giá toàn diện các control bảo mật được triển khai.

Thông qua các biện pháp này, các doanh nghiệp có thể giảm thiểu đáng kể khả năng xảy ra các vụ xâm nhập tương tự. Đặc biệt là những vụ có liên quan đến các đối tác bên thứ ba. Đây là một phần không thể thiếu của chiến lược an toàn thông tin toàn diện.