Desde roles de oficina demasiado privilegiados hasta tokens de proveedores olvidados desde hace mucho tiempo, estos atacantes se están deslizando a través de las grietas de la confianza y el golpe. Así es como se desarrollaron cinco violaciones minoristas y lo que revelan sobre …
En los últimos meses, los principales minoristas como Adidas, North Face, Dior, Conquista’s Secret, Cartier, Marks & Spencer y Co -Op han sido violados. Estos ataques no fueron malware sofisticado o exploits de día cero. Estaban impulsados por la identidad, explotando el golpe demasiado privilegiado y las cuentas de servicio no supervisadas, y utilizaron la capa humana a través de tácticas como la ingeniería social.
Los atacantes no necesitaban entrar. Se iniciaron sesión. Se movieron a través de aplicaciones SaaS inadvertidas, a menudo usando credenciales reales y sesiones legítimas.
Y aunque la mayoría de los minoristas no compartían todos los detalles técnicos, los patrones son claros y recurrentes.
Aquí hay un desglose de las cinco infracciones recientes de suspensión perfil en el comercio minorista:
1. Adidas: explotar la confianza de terceros
Adidas confirmó una violación de datos causada por un ataque a un proveedor de servicio al cliente de terceros. La compañía dijo que los datos del cliente estaban expuestos, incluidos nombres, direcciones de correo electrónico y detalles del pedido. Sin malware. No hay violación de su flanco. Solo el radiodifusión de arranque de un proveedor en el que confiaban.
Cómo se desarrollan estos ataques en las identidades de SaaS:
Las tokens SaaS y las cuentas de servicio otorgadas a los proveedores a menudo no requieren MFA, no caducan y vuelan bajo el radar. Una vez que el golpe ya no es necesario pero nunca se revoca, se convierten en puntos de entrada silenciosos, perfectos para los compromisos de la prisión de suministro que asignan tácticas como T1195.002, dando a los atacantes una forma sin activar las alarmas.
Control de seguridad:
No solo estás asegurando a tus usuarios. Estás asegurando el golpe que los proveedores incluso dejan detrás. Las integraciones de SaaS se quedan más tiempo que los contratos reales, y los atacantes saben exactamente dónde mirar.
2. La cara finalidad: desde la reutilización de contraseña hasta el demasía de privilegios
El North Face confirmó un ataque de relleno de credencial (Mitre T1110.004) donde los actores de amenaza usaban credenciales filtradas (nombres de adjudicatario y contraseñas) para consentir a las cuentas de los clientes. Sin malware, sin phishing, solo higiene de identidad débil y sin MFA. Una vez interiormente, exfiltraron los datos personales, exponiendo una brecha importante en los controles de identidad básicos.
Cómo se desarrollan estos ataques en las identidades de SaaS:
Los inicios de sesión de SaaS sin MFA todavía están en todas partes. Una vez que los atacantes obtienen credenciales válidas, pueden consentir a cuentas directa y en silencio, sin penuria de activar protecciones de punto final ni alertas de elevación.
Control de seguridad:
El relleno de credenciales no es nadie nuevo. Fue la cuarta violación basada en credenciales para North Face desde 2020. Cada uno es un recordatorio de que la reutilización de contraseña sin MFA es una puerta abierta. Y aunque muchas organizaciones aplican MFA para empleados, cuentas de servicio y roles privilegiados, muchas veces no se protegen. Los atacantes lo saben, y van donde están los huecos.
¿Quieres profundizar? Descargar el ‘Finalidad de seguridad de identidad SaaS‘ Memorizar a estabilizar de guisa proactiva cada identidad, humana o no humana, a través de su pila SaaS.
3. M & S & Co-OP: Irruminado por Trust Prestado
Según los informes, los minoristas del Reino Unido Marks & Spencer y Co-op fueron atacados por el corro de amenazas dispersado, conocido por los ataques basados en la identidad. Según los informes, utilizaron el intercambio de SIM y la ingeniería social para hacerse suceder por los empleados y engañar a los escritorios para restablecer las contraseñas y el MFA, sin suceder por suspensión el MFA, todo sin malware o phishing.
Cómo se desarrollan estos ataques en las identidades de SaaS:
Una vez que los atacantes evitan el MFA, se dirigen a roles SaaS sobrevivilegiados o cuentas de servicio inactivos para moverse lateralmente interiormente de los sistemas de la ordenamiento, cosechar datos confidenciales o interrumpir las operaciones en el camino. Sus acciones se combinan con el comportamiento cierto del adjudicatario (T1078), y con los reinicios de contraseña impulsados por la suplantación de la mesa de ayuda (T1556.003), en silencio obtienen persistencia y control sin suscitar ninguna miedo.
Control de seguridad:
Hay una razón por la que se están extendiendo los ataques de identidad primero. Explotan lo que ya tiene confianza, y a menudo no dejan una huella de malware. Para aminorar el peligro, rastrear el comportamiento de identidad SaaS, incluida la actividad humana y no humana, y limite los privilegios de la mesa de ayuda a través de políticas de aislamiento y subida. La capacitación específica para el personal de apoyo incluso puede sitiar la ingeniería social antaño de que suceda.
4. Conquista’s Secret: cuando los administradores de SaaS se quedan sin control
Conquista’s Secret retrasó su permiso de ganancias a posteriori de que un incidente cibernético interrumpió tanto el comercio electrónico como los sistemas en la tienda. Si correctamente se revelaron pocos detalles, el impacto se alinea con los escenarios que involucran una interrupción interna a través de sistemas SaaS que administran las operaciones minoristas, como el inventario, el procesamiento de pedidos o las herramientas de prospección.
Cómo se desarrollan estos ataques en las identidades de SaaS:
El peligro auténtico no es solo credenciales comprometidas. Es el poder no controlado de los roles SaaS sobreprivilizados. Cuando un administrador mal configurado o un token obsoleto es secuestrado (T1078.004), los atacantes no necesitan malware. Pueden interrumpir las operaciones centrales, desde la dirección de inventario hasta el procesamiento de pedidos, todo interiormente de la capa SaaS. Sin puntos finales. Solo destrucción (T1485) a escalera.
Control de seguridad:
Los roles SaaS son poderosos y a menudo olvidados. Una sola identidad sobrevivilizada con golpe a aplicaciones comerciales críticas puede desencadenar el caos, por lo que es crucial aplicar controles de golpe estrictos y monitoreo continuo a estas identidades de suspensión impacto antaño de que sea demasiado tarde.
5. Cartier & Dior: el costo oculto de la atención al cliente
Cartier y Dior revelaron que los atacantes accedieron a la información del cliente a través de plataformas de terceros utilizadas para CRM o funciones de servicio al cliente. Estos no eran hacks de infraestructura; Eran violaciones a través de plataformas destinadas a ayudar a los clientes, no exponerlos.
Cómo se desarrollan estos ataques en las identidades de SaaS:
Las plataformas de atención al cliente a menudo se basan en SaaS, con tokens persistentes y claves API que las conectan silenciosamente a sistemas internos. Estas identidades no humanas (T1550.003) rara vez giran, a menudo escapan de IAM centralizado y se convierten en victorias fáciles para los atacantes que se dirigen a los datos de los clientes a escalera.
Control de seguridad:
Si sus plataformas SaaS tocan los datos del cliente, son parte de su superficie de ataque. Y si no está rastreando cómo las identidades de la máquina acceden a ellas, no está protegiendo las líneas delanteras.
Pensamiento final: sus identidades SaaS no son invisibles. No están supervisados.
Sus identidades SaaS no son invisibles; No están supervisados. Estas violaciones no necesitaban exploits elegantes. Solo necesitaban una confianza fuera de puesto, una credencial reutilizada, una integración sin control o una cuenta que nadie revisó.
Si correctamente los equipos de seguridad han bloqueado los puntos finales y los inicios de sesión de SaaS endurecidos, las brechas reales se encuentran en esos roles SaaS ocultos, tokens latentes y pasadas por suspensión anuladas. Si estos todavía están volando debajo del radar, la violación ya tiene una preeminencia.
Wing Security fue construido para esto.
La plataforma de múltiples capas de Wing protege continuamente su pila SaaS, descubriendo puntos ciegos, endureciendo las configuraciones y detectando amenazas de identidad SaaS antaño de que se intensifiquen.
Es una fuente de verdad que conecta los puntos a través de aplicaciones, identidades y riesgos, por lo que puede atravesar el ruido y detener las violaciones antaño de que comiencen.
👉 Obtenga una demostración de seguridad del ala para ver lo que se esconde en su capa de identidad SaaS.
