Adidas bezieht Stellung zu möglichem Datenleck bei externem Dienstleister

Angeblich gibt die kriminelle Online-Bande Lapsus$ in einem Untergrundforum an, einen Datensatz von Adidas im Extranet des Unternehmens kopiert zu haben. Der soll 815.000 Zeilen umfassen.

Laut dem Eintrag im Untergrundforum von der eigentlich nicht mehr eigenständig auftretenden Gruppierung Lapsus$, die zuletzt im Konglomerat „ShinyHunterLapsus“ auftrat, enthält die Datenbank Vornamen, Nachnamen, E-Mail, Passwort, Geburtstag und „eine Menge technische Daten“. Zudem deuten die Täter weitere entfleuchte Daten größeren Umfangs an: „Something bigger is coming, just wait. You will like it.“ schreiben sie dort. Auf Deutsch: „Etwas Größeres kommt, wartet ab. Ihr werdet es mögen“. Der Eintrag der Cyberkriminellen datiert auf den 16. Februar 2026. Mehr Details gibt es bislang nicht.

Auf Anfrage von heise online erklärte Adidas: „Wir wurden auf einen möglichen Datenschutzvorfall bei einem unabhängigen Lizenznehmer und Vertriebspartner für Kampfsportprodukte aufmerksam gemacht. Es handelt sich dabei um ein unabhängiges Unternehmen mit eigenen IT-Systemen. Wir haben keinerlei Hinweise darauf, dass die IT-Infrastruktur von adidas, unsere eigenen E-Commerce-Plattformen oder unsere Kundendaten von diesem Vorfall betroffen sind.“

Weitergehende Informationen bislang nicht verfügbar

Den Namen des betroffenen Vertriebspartners nennt Adidas hingegen nicht. Ebenso lässt der Hersteller im Dunkeln, welche Daten und in welchem Umfang sie potenziell betroffen sind, da der Lizenznehmer darauf Zugriff hat.

Sollten tatsächlich die von der angeblichen Lapsus$-Gruppe entwendeten Daten Namen und E-Mails sowie den Kontext „Adidas“ umfassen, können Angreifer damit gezielteres Phishing starten. Bei vermeintlichen Nachrichten von Adidas sollten Empfänger daher besondere Vorsicht walten lassen.

Es handelt sich nicht um den ersten IT-Sicherheitsvorfall, der im Kontext des Sportartikelherstellers Adidas bekannt wird. Bereits im Mai vergangenen Jahres haben Kriminelle Daten von Adidas-Kunden abgegriffen. Der Umfang war auch damals unklar. Die Daten bestanden damals „im Wesentlichen aus Kontaktinformationen, die zu Kunden gehören, die unseren Kundendienst in der Vergangenheit kontaktiert haben“, erklärte das Unternehmen dort. Auch da kam es offenbar zum unbefugten Datenzugriff bei einem „beauftragten Kundendienstanbieter“.

(dmk)