Negli ultimi mesi, il settore retail globale è stato colpito da una serie di gravi violazioni della sicurezza che hanno interessato marchi noti come Adidas, The North Face, Dior, Victoria's Secret, Cartier, Marks & Spencer e Co-op. Questi attacchi non sono stati il risultato di malware sofisticati o exploit zero-day, ma sono stati guidati da tattiche basate sull'identità e sull'accesso, sfruttando privilegi eccessivi e account di servizio non monitorati, spesso accompagnati da tecniche di social engineering.

Adidas: violazione tramite fornitori terzi

Uno dei casi più eclatanti riguarda Adidas, che ha subito una violazione dei dati a causa di un attacco a un fornitore terzo di servizi clienti. In questo scenario, le credenziali e le integrazioni SaaS lasciate attive dopo la fine dei contratti hanno rappresentato un facile punto d'ingresso per gli attaccanti, dimostrando quanto sia fondamentale non solo proteggere gli utenti interni, ma anche gestire attentamente gli accessi esterni dei fornitori.

The North Face: attacco di credential stuffing

The North Face ha invece subito un attacco di credential stuffing, in cui hacker hanno sfruttato credenziali trapelate per accedere agli account dei clienti. L'assenza del secondo fattore di autenticazione (MFA) e una debole gestione delle password hanno facilitato il compito degli attaccanti, che sono riusciti a esfiltrare dati personali senza dover ricorrere a tecniche invasive o visibili.

Marks & Spencer e Co-op: social engineering e attacchi all’identità

Anche Marks & Spencer e Co-op sono stati presi di mira dal gruppo Scattered Spider, noto per attacchi basati sull'identità. Attraverso tecniche di SIM swapping e social engineering, gli hacker sono riusciti a impersonare dipendenti e a ingannare i help desk IT, ottenendo la reimpostazione di password e codici MFA. Questo ha permesso movimenti laterali all'interno dei sistemi SaaS aziendali, senza lasciare tracce di malware.

Victoria's Secret: interruzione operativa SaaS

Victoria's Secret ha dovuto posticipare la pubblicazione dei risultati finanziari a causa di un incidente informatico che ha interessato piattaforme SaaS critiche per le operazioni, come la gestione dell'inventario e degli ordini. Qui il rischio principale era legato alle identità SaaS sovraprivilegiate e agli account amministrativi non monitorati che, se compromessi, possono causare interruzioni operative su larga scala.

Cartier e Dior: accesso non autorizzato tramite piattaforme di terze parti

Infine, Cartier e Dior hanno comunicato accessi non autorizzati alle informazioni dei clienti tramite piattaforme SaaS di supporto clienti di terze parti. Le identità non umane, come token e chiavi API persistenti, spesso sfuggono ai controlli centralizzati di identità, diventando bersagli ideali per chi cerca dati sensibili.

Questi incidenti dimostrano quanto sia cruciale monitorare costantemente tutte le identità SaaS, umane e non, applicare controlli di accesso rigorosi e aggiornare le policy di sicurezza per prevenire attacchi basati sull'identità che sfruttano la fiducia e la mancata supervisione.