Van overbereide administrollen tot lang vergeten leveranciers, deze aanvallers glijden door de scheuren van vertrouwen en toegang. Dit is hoe vijf winkels zich ontvouwden, en waar ze over onthullen …
In de afgelopen maanden zijn grote retailers zoals Adidas, The North Face, Dior, Victoria’s Secret, Cartier, Marks & Spencer en Co -op allemaal geschonden. Deze aanvallen waren geen verfijnde malware of zero-day exploits. Ze waren identiteitsgestuurde, exploiteerden overprivisieerde toegang en niet-gemonitoring serviceaccounts en gebruikten de menselijke laag door tactieken zoals social engineering.
Aanvallers hoefden niet in te breken. Ze kwamen in. Ze gingen onopgemerkt door SaaS -apps, vaak met behulp van echte referenties en legitieme sessies.
En hoewel de meeste retailers niet alle technische details deelden, zijn de patronen duidelijk en terugkerend.
Hier is een uitsplitsing van de vijf recente spraakmakende inbreuken in de detailhandel:
1. Adidas: exploitatie van vertrouwen van derden
Adidas bevestigde een datalek veroorzaakt door een aanval op een externe klantenservice. Het bedrijf zei dat klantgegevens zijn blootgesteld, inclusief namen, e -mailadressen en bestelgegevens. Geen malware. Geen inbreuk aan hun zijde. Alleen de ontploffingsradius van een verkoper die ze vertrouwden.
Hoe deze aanvallen zich ontvouwen in SaaS -identiteiten:
SaaS -tokens en servicerekeningen die aan leveranciers worden verleend, vereisen vaak geen MFA, vervalt niet en vliegen onder de radar. Zodra de toegang niet langer nodig is, maar nooit is ingetrokken, worden ze stille toegangspunten, perfect voor supply chain -compromissen die toewijzen aan tactieken zoals T1195.002, waardoor aanvallers een manier krijgen zonder alarmen af te zetten.
Beveiligingsafhankelijkheid:
Je beveiligt je gebruikers niet alleen. Je beveiligt ook de toegang die leveranciers achterlaten. SaaS -integraties blijven langer rond dan de werkelijke contracten, en aanvallers weten precies waar ze moeten kijken.
2. The North Face: van wachtwoord hergebruiken om misbruik te bevoorrechten
De North Face bevestigde een referentie -vulaanval (MITER T1110.004) waar dreigingsactoren gelekte referenties (gebruikersnamen en wachtwoorden) gebruikten om toegang te krijgen tot klantaccounts. Geen malware, geen phishing, alleen zwakke identiteitshygiëne en geen MFA. Eenmaal binnen hebben ze persoonlijke gegevens geëxfiltreerd, waardoor een grote kloof in basisidentiteitscontroles werd blootgelegd.
Hoe deze aanvallen zich ontvouwen in SaaS -identiteiten:
SaaS -aanmeldingen zonder MFA zijn nog steeds overal. Zodra aanvallers geldige inloggegevens hebben, kunnen ze direct en rustig toegang krijgen tot accounts, waardoor geen eindpuntbescherming wordt geactiveerd of waarschuwingen opgehaald.
Beveiligingsafhankelijkheid:
Referentie -vulling is niets nieuws. Het was de vierde inbreuk op de referentie voor de North Face sinds 2020. Elke herinnering is een herinnering dat het hergebruik van het wachtwoord zonder MFA een wijd open deur is. En hoewel veel organen MFA afdwingen voor werknemers, servicerekeningen en bevoorrechte rollen, worden ze vaak onbeschermd. Aanvallers weten het, en ze gaan waar de gaten zijn.
Wil je dieper gaan? Download de ‘SaaS Identity Security Guide‘ Om te leren hoe je elke identiteit, menselijke of niet-menselijke, over je SaaS-stapel proactief kunt beveiligen.
3. M&S & Co-op: Gebroken door geleend vertrouwen
UK Retailers Marks & Spencer en Co-op werden naar verluidt het doelwit van de verspreide spin van de dreigingsgroep, bekend om op identiteit gebaseerde aanvallen. Volgens rapporten gebruikten ze SIM -swapping en social engineering om zich voor te doen als werknemers en het te misleiden om de bureaus te helpen bij het resetten van wachtwoorden en MFA, waardoor MFA effectief omzeilde, allemaal zonder malware of phishing.
Hoe deze aanvallen zich ontvouwen in SaaS -identiteiten:
Zodra aanvallers de MFA omzeilen, richten ze zich op een overdragende SaaS -rollen of slapende serviceverslagen om lateraal te bewegen binnen de systemen van de organisatie, het oogsten van gevoelige gegevens of het verstoren van activiteiten onderweg. Hun acties gaan op in met legitiem gebruikersgedrag (T1078) en met wachtwoordresets aangedreven door de bureau -imitatie (T1556.003), krijgen ze stilletjes doorzettingsvermogen en controle zonder alarmen te verhogen.
Beveiligingsafhankelijkheid:
Er is een reden waarom identiteits-eerste aanvallen zich verspreiden. Ze maken gebruik van wat al vertrouwd is en laten vaak geen malware -voetafdruk achter. Om het risico te verminderen, volgt u SaaS-identiteitsgedrag, inclusief zowel menselijke als niet-menselijke activiteit, en beperken hij helpdesk-privileges door isolatie en escalatiebeleid. Gerichte training voor ondersteunend personeel kan ook sociale engineering blokkeren voordat het gebeurt.
4. Victoria’s Secret: wanneer SaaS -beheerders ongecontroleerd worden
Victoria’s Secret vertraagde zijn winst-release nadat een cyberincident zowel e-commerce als systemen in de winkel verstoorde. Hoewel weinig details werden bekendgemaakt, sluit de impact overeen met scenario’s met interne verstoring via SaaS -systemen die retailactiviteiten beheren, zoals inventaris, orderverwerking of analysetools.
Hoe deze aanvallen zich ontvouwen in SaaS -identiteiten:
Het echte risico is niet alleen gecompromitteerde referenties. Het is de ongecontroleerde kracht van overbereide SaaS -rollen. Wanneer een verkeerd geconfigureerde beheerder of oud token wordt gekaapt (T1078.004), hebben aanvallers geen malware nodig. Ze kunnen kernbewerkingen verstoren, van voorraadbeheer tot orderverwerking, allemaal binnen de SaaS -laag. Geen eindpunten. Alleen vernietiging (T1485) op schaal.
Beveiligingsafhankelijkheid:
SaaS -rollen zijn krachtig en vaak vergeten. Een enkele overbelovende identiteit met toegang tot kritieke zakelijke toepassingen kan chaos activeren, waardoor het cruciaal is om stringente toegangscontroles en continue monitoring toe te passen op deze high-impact identiteiten voordat het te laat is.
5. Cartier & Dior: de verborgen kosten van klantenondersteuning
Cartier en Dior hebben bekendgemaakt dat aanvallers toegang hebben tot klantinformatie via platforms van derden die worden gebruikt voor CRM- of klantenservicefuncties. Dit waren geen infrastructuurhacks; Ze waren inbreuken op platforms bedoeld om klanten te helpen, niet bloot te stellen.
Hoe deze aanvallen zich ontvouwen in SaaS -identiteiten:
Klantenondersteuningsplatforms zijn vaak op SaaS gebaseerd, met aanhoudende tokens en API-toetsen die ze stilletjes verbinden met interne systemen. Deze niet-menselijke identiteiten (T1550.003) roteren zelden, ontsnappen vaak gecentraliseerd IAM en worden gemakkelijke overwinningen voor aanvallers die zich op schaalgegevens richten.
Beveiligingsafhankelijkheid:
Als uw SaaS -platforms klantgegevens raken, maken ze deel uit van uw aanvalsoppervlak. En als u niet bijhoudt hoe machine -identiteiten toegang krijgen tot hen, beschermt u de frontlinies niet.
Laatste gedachte: je SaaS -identiteiten zijn niet onzichtbaar. Ze zijn gewoon niet gemonitord.
Uw SaaS -identiteiten zijn niet onzichtbaar; Ze zijn gewoon niet gemonitord. Deze inbreuken hadden geen chique exploits nodig. Ze hadden gewoon een misplaatst vertrouwen nodig, een hergebruikte referentie, een ongecontroleerde integratie of een account die niemand heeft beoordeeld.
Terwijl beveiligingsteams eindpunten en verharde SaaS -aanmeldingen hebben vergrendeld, liggen de echte gaten in die verborgen SaaS -rollen, slapende tokens en over het hoofd gezien helpdesk overschrijven. Als deze nog steeds onder de radar vliegen, heeft de inbreuk al een voorsprong.
Wing Security is hiervoor gebouwd.
Wing’s meerlagige platform beschermt continu uw SaaS-stapel, ontdekt blinde vlekken, verhardende configuraties en het detecteren van SaaS-identiteitsbedreigingen voordat ze escaleren.
Het is een bron van waarheid die de stippen verbindt over apps, identiteiten en risico’s, zodat u het geluid kunt doorsnijden en inbreuken kunt stoppen voordat ze beginnen.
👉 Krijg een demo van vleugelbeveiliging om te zien wat zich verstopt in uw SaaS -identiteitslaag.
