mobile-menu-icon
Dataintrång

Adidas drabbas av ytterligare ett partnerdataintrång på nio månader när Lapsus$ påstår sig ha 815 000 poster

Blog Reading Time 4 Lästid / februari 19, 2026
Adidas Hit by Second Partner Breach in Eight Months as Lapsus$ Claims 815,000 Records

Adidas utreder påståenden från hackerkollektivet Lapsus$ om att de har stulit 815 000 poster från företagets extranet genom en komprometterad licenspartner. Detta är det andra bekräftade tredjepartsintrånget som drabbar Adidas på nio månader, vilket väcker frågor om företagets tillsynspraxis för leverantörer.

Intrånget tillkännagavs på BreachForums den 16 februari av ett konto som visade Lapsus$ signaturlogotyp, med påståenden om tillgång till ”del av adidas.com extranet – 815 000 rader.” Enligt The Register bekräftade Adidas att man ”gjorts uppmärksam på en potentiell dataskyddsincident hos en av våra oberoende licenspartners och distributör för kampsportsprodukter.”

Den stulna datamängden innehåller enligt uppgift namn, e-postadresser, lösenord, födelsedagar, företagstillhörigheter och vad angriparna beskrev som ”mycket teknisk information.” Adidas avböjde att specificera när intrånget inträffade eller detaljera vilken teknisk information som nåtts.

Cybernews analys motsäger Lapsus$ påståenden

Säkerhetsforskare på Cybernews granskade intrångspåståendena och drog slutsatsen att Lapsus$ ”överdriver sin senaste bedrift” och använder Adidas som ett högprofilerat varumärke för att få uppmärksamhet. Deras analys tyder på att den personliga informationen kommer från kunder och anställda hos företag som återsäljer Adidas-produkter, inte från Adidas själv.

Forskarna fann att endast omkring 130 konton verkar genuint drabbade, med siffran 815 000 uppblåst genom att inkludera databaskommandon som ”DROP TABLE” i radräkningen. Enligt TroyPoint verkar datan härröra från företaget Double D, ett franskt företag som tjänat som global licenstagare för Adidas kampsport sedan 2005.

Den bedömningen kan dock vara alltför generös. Även om omfattningen är överdriven har Lapsus$ demonstrerat tillgång till lösenordsdata som kan driva credential stuffing-angrepp över flera detaljhandelsplattformar.

Lapsus$ hotar större release

Gruppen varnade att ”något större kommer” och påstod separat att de innehar cirka 420GB ytterligare Adidas-relaterad data kopplad till den franska marknaden. På Telegram uppgav Lapsus$ att den nuvarande läckan ”inte ens var den stora läckan,” vilket tyder på att ytterligare avslöjanden planeras.

Lapsus$ har återuppstått som del av en lös allians med Scattered Spider och ShinyHunters, verksamma under bannern Scattered Lapsus$ Hunters. Kollektivet blev ökänt under en brottsvåg 2021-2022 som riktade sig mot Nvidia, Microsoft, Samsung och BT genom telefonbaserad social engineering, SIM-swapping och mutor till anställda, SIM-swapping och mutor till anställda.

Adidas andra partnerintrång på nio månader

Denna incident följer ett separat tredjepartsintrång som Adidas avslöjade i maj 2025, när en obehörig person fick tillgång till kunddata hos en tredjepartsleverantör av kundservice. Det tidigare intrånget exponerade kontaktinformation för kunder som kontaktat Adidas helpdesk men inkluderade inte betalningsdata eller lösenord.

Mönstret väcker obehagliga frågor om Adidas tredjepartsriskhantering. Två bekräftade partnerintrång på nio månader tyder på antingen otillräckliga säkerhetskrav på leverantörer eller bristfällig övervakning av partners åtkomstkontroller. Under EU:s NIS2-bestämmelser för leverantörskedjan som träder i kraft i år måste återförsäljare visa att de har leverantörskontroller för dataminimering, inte bara PCI-segregering.

Vad kunder bör göra

Alla som har använt Adidas partnerplattformar eller extranet bör omedelbart ändra lösenord på konton som delar inloggningsuppgifter med Adidas-relaterade tjänster. Den stulna lösenordsdatan, även om begränsad i omfattning, ger tillräckligt material för riktade credential stuffing-kampanjer.

Aktivera tvåfaktorsautentisering på detaljhandelskonton där det finns tillgängligt. Övervaka kontoutdrag för ovanlig aktivitet, särskilt om du gjort inköp genom Adidas partneråterförsäljare de senaste månaderna.

Tyska dataskyddsmyndigheter och EU:s brottsbekämpande organ utreder potentiella GDPR-överträdelser. Hittills finns det inga tecken på att betalnings- eller orderhanteringssystem påverkades.

Referenser

  1. The Register: Adidas investigates third-party data breach
  2. Cybernews: Lapsus$ gang claims Adidas breach
  3. CyberPress: Adidas Data Breach – 815,000 Records Allegedly Stolen
  4. TroyPoint: Adidas Data Breach Analysis
  5. Help Net Security: Adidas investigates alleged data breach
  6. Adidas Group: Data Security Information
  7. Xictron: NIS2 Directive 2026: What Online Retailers Must Know

This post is also available in: English

Related News

Booking.com-intrång exponerar miljoner när WhatsApp-bedragare slår till

Booking.com bekräftade på måndagen att hackare fick tillgång till kunders bokningsdata i ett intrång som verkar ha pågått oupptäckt sedan början av april. Reseplattformen meddelade…

Cyber News Calendar icon april 16, 2026

Eurail-intrång exponerar 308 777 passnummer efter julattack

Eurail B.V. bekräftade att angripare bröt sig in i företagets nätverk den 26 december 2025 och stjäl passnummer och personuppgifter från 308 777 resenärer. Det…

Cyber News Calendar icon april 10, 2026

Fransk myndighetsregister hackat – 1,2 miljoner bankkonton exponerade

En hackare bröt sig in i Frankrikes nationella bankkontoregister i januari och fick tillgång till persondata från 1,2 miljoner konton genom stulna myndighetsuppgifter. Franska myndigheter…

Cyber News Calendar icon februari 27, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss