A Adidas confirmou que está investigando ativamente um possível vazamento de dados envolvendo um de seus parceiros independentes. A investigação foi iniciada após um ator de ameaças, usando o pseudônimo "LAPSUS-GROUP", alegar acesso não autorizado ao portal extranet da gigante do esporte.
O que se sabe sobre o incidente
O grupo, acreditado estar associado ao coletivo Scattered Lapsus$ Hunters, conhecido por intrusões baseadas em engenharia social, afirma ter exfiltrado aproximadamente 815.000 linhas de dados do Adidas Extranet. Este portal é uma ferramenta web restrita usada por parceiros comerciais, fornecedores e varejistas autorizados para interagir com a empresa.
O conjunto de dados supostamente roubado inclui nomes, sobrenomes, endereços de e-mail, senhas, datas de aniversário, informações da empresa e o que o ator de ameaças descreveu como "muitos dados técnicos". O grupo também insinuou divulgações futuras, afirmando que "algo maior está por vir", e separadamente alegou possuir cerca de 420GB de dados relacionados à Adidas vinculados ao mercado francês.
Posicionamento oficial e padrão preocupante
"Fomos informados sobre um potencial incidente de proteção de dados em um de nossos parceiros de licenciamento independentes e distribuidor de produtos de artes marciais", confirmou um porta-voz da Adidas ao The Register. "Esta é uma empresa independente com seus próprios sistemas de TI." A Adidas afirmou explicitamente que "não há indicação de que a infraestrutura de TI da Adidas, nossas próprias plataformas de e-commerce ou quaisquer dados de nossos consumidores sejam afetados pelo incidente".
Este incidente segue um vazamento separado em terceiros divulgado em maio de 2025, quando uma parte não autorizada obteve acesso a um provedor de serviços ao cliente terceirizado usado pela Adidas, expondo detalhes de contato de clientes que haviam entrado em contato anteriormente com a central de ajuda da marca. Naquele incidente, nenhuma senha ou dado financeiro foi comprometido. A recorrência de incidentes envolvendo terceiros marca um padrão preocupante para a gigante alemã do esporte, reforçando preocupações em torno da segurança da cadeia de suprimentos e do gerenciamento de acesso de fornecedores.
Investigação em andamento e lições de segurança
A Adidas se recusou a confirmar a linha do tempo do comprometimento ou especificar quais dados foram acessados, deixando questões sem resposta enquanto a investigação continua. Especialistas em segurança recomendam que as empresas aplicem o princípio do menor privilégio de forma rigorosa, exijam autenticação multifator para todas as interações com fornecedores terceirizados e realizem auditorias regulares em portais voltados para parceiros para minimizar a exposição em superfícies de ataque do tipo extranet.
A falta de detalhes sobre o escopo completo e a linha do tempo real do ataque permanece um ponto de atenção. A empresa não especificou se as senhas supostamente vazadas estavam criptografadas ou em texto simples, nem detalhou as medidas imediatas de resposta ao incidente tomadas com os parceiros afetados.