Современный ритейл сталкивается с новыми вызовами в области кибербезопасности. В последние месяцы ряд крупных мировых брендов, таких как Adidas, The North Face, Dior, Victoria's Secret, Cartier, Marks & Spencer и Co‑op, столкнулись с серьезными нарушениями безопасности, которые привели к утечке личных данных клиентов и нарушению бизнес-процессов. Особенность этих атак заключается в том, что они не связаны с использованием сложного программного обеспечения-вредоносника или технических уязвимостей, а опираются на слабые места в управлении идентификацией и доступом. Выход злоумышленников состоял не в том, чтобы взламывать систему, а в том, чтобы войти легитимно – используя настоящие учетные данные и сеансы, которые оставались незамеченными в среде SaaS-приложений. Важным фактором успеха таких атак является переизбыточный доступ, оставшийся невостребованным или неоптимально контролируемым, а также влияние человеческого фактора в виде социальных инженерных приемов.
Один из сценариев, на который стоит обратить внимание, связан с доверием к сторонним поставщикам и интеграторам. Примером служит инцидент с Adidas, где утечка произошла не из-за внутренних проблем компании, а вследствие атаки на одного из их поставщиков услуг поддержки клиентов. Доступ к SaaS-токенам и сервисным учетным записям часто предоставляется сторонним организациям без должного контроля – такие учетные данные не требуют многофакторной аутентификации, не имеют срока действия и остаются активными дольше, чем существует договор с поставщиком. Злоумышленники умеют находить и использовать эти невидимые для большинства команд безопасности точки входа, что позволяет обходить системы обнаружения и контроля. Еще одна частая причина произошедших проникновений – это плохая гигиена паролей и отсутствие многофакторной аутентификации.
Всплеск атак типа «credential stuffing» (массовое использование украденных паролей, часто повторно используемых на разных сервисах) остается одной из самых простых и массовых методик для взлома учетных записей. На примере The North Face видно, как одно и то же злоупотребление сочетанием паролей без дополняющего уровня защиты приводит к повторным инцидентам. Такие атаки позволяют получить доступ к аккаунтам клиентов и похищать конфиденциальные данные без использования вредоносного ПО и без активного вмешательства в работу конечных устройств. Особое место занимают случаи, когда злоумышленники прибегают к социальной инженерии и манипулированию сотрудниками технической поддержки. Две британские компании Marks & Spencer и Co-op стали жертвами группы Scattered Spider, которая использовала технологии подмены SIM-карт и убедительные сценарии для получения контроля над учетными записями сотрудников.
Обман на уровне технических специалистов, отвечающих за сброс паролей и настройку многофакторной аутентификации, давал преступникам возможность обходить даже современные механизмы защиты. Продолжающееся движение внутри SaaS-среды за счет прав сверхпривилегированных аккаунтов или забытых неактивных ролей позволяет вести масштабный сбор данных и устанавливать длительный контроль над инфраструктурой без вызова подозрений. Внутренние риски часто связаны с администрированием SaaS приложений. Компании, как Victoria's Secret, попали под удар из-за несанкционированного использования администраторских прав в SaaS-среде, что привело к сбоям в операциях на уровне и розничных магазинов, и онлайн-платформы. Выход злоумышленников заключается не в традиционном вредоносном ПО, а в захвате сервисных аккаунтов или токенов, которые оставались без должного контроля.
Одна из главных проблем состоит в том, что огромное количество сервисных ролей имеют доступ к ключевым бизнес-функциям, включая управление запасами, оформление заказов и аналитику. В условиях нарушения целостности этих функций происходит серьезный ущерб для бизнеса и доверия клиентов. Еще один скрытый канал атак связан с использованием платформ поддержки клиентов и CRM-систем, как показали атаки на Cartier и Dior. Эти системы, построенные на SaaS, содержат постоянные токены и API-ключи, которые редко подвергаются регулярной ротации и часто обходят корпоративные процедуры управления доступом. Машинные идентичности, управляющие этими процессами, составляют уязвимый фронт, позволяющий злоумышленникам накапливать и экспортировать огромные массивы персональных данных без необходимости внедрения обычных вредоносных инструментов.
Общий вывод из этих инцидентов таков – современные SaaS-окружения не являются невидимыми для злоумышленников, они просто остаются незащищенными из-за недостатка мониторинга и контроля. Проблема кроется в излишней доверчивости, оставленных без внимания учетных записях, неиспользованных возможностях многослойной защиты и недостаточной подготовке работников служб поддержки к социальной инженерии. Без изменения подхода к безопасности SaaS-операций и идентификационных данных сложно добиться устойчивости и противостоять современным угрозам. Для эффективной обороны требуется комплексный подход, который включает непрерывное обнаружение и анализ учетных записей, как человеческих, так и машинных, строгий контроль прав и политик доступа, изоляцию и регламент для сотрудников технической поддержки, а также регулярное обучение персонала на предмет распознавания социальных атак. Только интегрированная многоуровневая платформа защиты способна выявлять скрытые риски и предотвращать атаки до момента их реализации.
В результате, ключ к обеспечению безопасности ритейла в условиях цифровизации и активного внедрения SaaS-приложений кроется в грамотном управлении идентификацией и доступом, постоянном мониторинге сервисных и пользовательских учетных записей, а также в оптимизации взаимодействия между системами безопасности и бизнес-процессами. Удержать контроль над этими аспектами значит сохранить репутацию, защитить клиентов и обеспечить стабильность операций в условиях ежедневных киберугроз.
