Группировка Lapsus$ заявила о взломе экстранета Adidas и краже 815 000 строк данных, имена, электронные адреса, пароли, даты рождения, названия компаний и «большой объём технической информации». Adidas подтвердила инцидент, но переложила ответственность на стороннего партнёра, по словам представителя компании, речь идёт о потенциальном инциденте защиты данных у независимого лицензионного партнёра и дистрибьютора спортивных товаров, который работает на собственной IT-инфраструктуре. Немецкий спортивный гигант утверждает, что его собственные системы, интернет-магазины и данные покупателей не пострадали.
Заявление Lapsus$ появилось 16 февраля на теневом форуме. Однако изучив выложенные SQL-файлы, мы пришли к выводу, что группировка сильно преувеличивает масштаб. Персональные данные в дампе принадлежат клиентам и сотрудникам компаний-реселлеров, которые перепродают продукцию Adidas, а реально затронуто около 130 аккаунтов. Называть это крупной утечкой Adidas некорректно.
При этом Lapsus$ в своём Telegram-канале заявила, что дамп экстранета, это даже не главное. По словам хакеров, у них есть порядка 420 ГБ данных Adidas, связанных с французским рынком, а также обещание:
Скоро будет кое-что покрупнее. Вам понравится.
Для Adidas это уже третий инцидент с утечками менее чем за год. В мае 2025 компания уведомила клиентов, что неизвестный получил доступ к данным через стороннего поставщика клиентского сервиса. В октябре 2025 объединение Scattered Lapsus$ Hunters, коалиция Lapsus$, Scattered Spider и ShinyHunters, включило Adidas в список из примерно 40 жертв масштабной кампании, нацеленной на клиентов Salesforce. Тогда хакеры заявили о краже 37 ГБ данных, связанных с Adidas, а общий объём украденного у всех жертв оценивали в «почти миллиард записей». Атака на Salesforce-окружения строилась на голосовом фишинге: злоумышленники звонили сотрудникам компаний, представлялись IT-поддержкой и выманивали доступ к OAuth-токенам и учётным записям.
Читайте также: Хакерский «подарок» под елку: французские университеты взломаны, данные тысяч студентов утекли в сеть
Lapsus$, группа молодых хакеров, получившая известность в 2021–2022 годах после серии громких взломов. Среди жертв того периода: Nvidia, Microsoft, Samsung, Vodafone, Revolut и Okta. Группировка использовала социальную инженерию, подмену SIM-карт и даже подкуп сотрудников для получения паролей и кодов двухфакторной аутентификации. В 2022 году британская полиция задержала семерых подозреваемых в возрасте от 16 до 21 года. Летом 2025 года, несмотря на аресты, часть участников вошла в коалицию Scattered Lapsus$ Hunters.
Adidas не ответила на вопросы о том, когда именно произошёл взлом и какие данные были украдены. Компания ограничилась заявлением:
Нет признаков того, что инфраструктура Adidas, собственные платформы электронной коммерции или данные потребителей затронуты.
Впрочем, три инцидента за десять месяцев, все через сторонних партнёров, ставят вопрос уже не о конкретной утечке, а о том, насколько Adidas контролирует безопасность своей партнёрской экосистемы.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
