Desde roles de administración demasiado privilegiados hasta tokens de proveedores olvidados desde hace mucho tiempo, estos atacantes se están deslizando a través de las grietas de la confianza y el acceso. Así es como se desarrollaron cinco infracciones minoristas, y lo que revelan … En los últimos meses, los principales minoristas como Adidas, The North Face, Dior, Victoria’s Secret, Cartier, Marks & Spencer y Co -Op han sido violados. Estos ataques no fueron malware sofisticado o exploits de día cero. Estaban impulsados ​​por la identidad, explotando el acceso demasiado privilegiado y las cuentas de servicio no supervisadas, y utilizaron la capa humana a través de tácticas como la ingeniería social. Los atacantes no necesitaban entrar. Se iniciaron sesión. Se movieron a través de aplicaciones SaaS inadvertidas, a menudo usando credenciales reales y sesiones legítimas. Y aunque la mayoría de los minoristas no compartían todos los detalles técnicos, los patrones son claros y recurrentes. Aquí hay un desglose de las cinco infracciones recientes de alto perfil en el comercio minorista: 1. Adidas: Explotación de confianza de terceros Adidas confirmó una violación de datos causada por un ataque a un proveedor de servicio al cliente de un tercero. La compañía dijo que los datos del cliente estaban expuestos, incluidos nombres, direcciones de correo electrónico y detalles del pedido. Sin malware. No hay violación de su lado. Solo el radio de explosión de un proveedor en el que confiaban. Cómo se desarrollan estos ataques en las identidades de SaaS: los tokens SaaS y las cuentas de servicio otorgadas a los proveedores a menudo no requieren MFA, no caducan y vuelan bajo el radar. Una vez que el acceso ya no es necesario pero nunca se revoca, se convierten en puntos de entrada silenciosos, perfectos para los compromisos de la cadena de suministro que asignan tácticas como T1195.002, dando a los atacantes una forma sin activar las alarmas. Takeaway de seguridad: no solo estás asegurando a tus usuarios. Estás asegurando el acceso que los proveedores también dejan atrás. Las integraciones de SaaS se quedan más tiempo que los contratos reales, y los atacantes saben exactamente dónde mirar. 2. La cara norte: desde la reutilización de la contraseña hasta el abuso de privilegios, el North Face confirmó un ataque de relleno de credencial (MITER T1110.004) donde los actores de amenaza usaban credenciales filtradas (nombres de usuario y contraseñas) para acceder a las cuentas de los clientes. Sin malware, sin phishing, solo higiene de identidad débil y sin MFA. Una vez dentro, exfiltraron los datos personales, exponiendo una brecha importante en los controles de identidad básicos. Cómo se desarrollan estos ataques en las identidades de SaaS: los inicios de sesión de SaaS sin MFA todavía están en todas partes. Una vez que los atacantes obtienen credenciales válidas, pueden acceder a cuentas directa y en silencio, sin necesidad de activar protecciones de punto final ni alertas de elevación. Takeaway de seguridad: el relleno de credenciales no es nada nuevo. Fue la cuarta violación basada en credenciales para North Face desde 2020. Cada uno es un recordatorio de que la reutilización de contraseña sin MFA es una puerta abierta. Y aunque muchas organizaciones aplican MFA para empleados, cuentas de servicio y roles privilegiados, muchas veces no se protegen. Los atacantes lo saben, y van donde están los huecos. ¿Quieres profundizar? Descargue la ‘Guía de seguridad de identidad SaaS’ para aprender a asegurar de manera proactiva cada identidad, humana o no humana, en su pila SaaS. 3. M & S & Co-OP: Según los informes, el incumplido de los minoristas de Ladered Trust UK Marks & Spencer y Co-op fueron atacados por el grupo de amenazas dispersado, conocido por los ataques basados ​​en la identidad. Según los informes, utilizaron el intercambio de SIM y la ingeniería social para hacerse pasar por los empleados y engañar a los escritorios para restablecer las contraseñas y el MFA, sin pasar por alto el MFA, todo sin malware o phishing. Cómo se desarrollan estos ataques en las identidades de SaaS: una vez que los atacantes evitan el MFA, se dirigen a roles SaaS sobrevivilegiados o cuentas de servicio latentes para moverse lateralmente dentro de los sistemas de la organización, cosechar datos confidenciales o interrumpir operaciones en el camino. Sus acciones se combinan con el comportamiento legítimo del usuario (T1078), y con los reinicios de contraseña impulsados ​​por la suplantación de la mesa de ayuda (T1556.003), en silencio obtienen persistencia y control sin generar ninguna alarma. Takeaway de seguridad: hay una razón por la cual se están extendiendo los ataques de identidad primero. Explotan lo que ya tiene confianza, y a menudo no dejan una huella de malware. Para reducir el riesgo, rastrear el comportamiento de identidad SaaS, incluida la actividad humana y no humana, y limite los privilegios de la mesa de ayuda a través de políticas de aislamiento y escalada. La capacitación específica para el personal de apoyo también puede bloquear la ingeniería social antes de que suceda. 4. Victoria’s Secret: cuando los administradores de SaaS se vuelven sin control, Victoria’s Secret retrasó su liberación de ganancias después de que un incidente cibernético interrumpió tanto el comercio electrónico como los sistemas en la tienda. Si bien se revelaron pocos detalles, el impacto se alinea con los escenarios que involucran una interrupción interna a través de sistemas SaaS que administran las operaciones minoristas, como el inventario, el procesamiento de pedidos o las herramientas de análisis. Cómo se desarrollan estos ataques en las identidades de SaaS: el riesgo real no solo se comprometió a las credenciales comprometidas. Es el poder no controlado de los roles SaaS sobreprivilizados. Cuando un administrador mal configurado o un token obsoleto es secuestrado (T1078.004), los atacantes no necesitan malware. Pueden interrumpir las operaciones centrales, desde la gestión de inventario hasta el procesamiento de pedidos, todo dentro de la capa SaaS. Sin puntos finales. Solo destrucción (T1485) a escala. Takeaway de seguridad: los roles SaaS son poderosos y a menudo olvidados. Una sola identidad sobrevivilizada con acceso a aplicaciones comerciales críticas puede desencadenar el caos, por lo que es crucial aplicar controles de acceso estrictos y monitoreo continuo a estas identidades de alto impacto antes de que sea demasiado tarde. 5. Cartier & Dior: El costo oculto de la atención al cliente Cartier y Dior revelaron que los atacantes accedieron a la información del cliente a través de plataformas de terceros utilizadas para CRM o funciones de servicio al cliente. Estos no eran hacks de infraestructura; Eran violaciones a través de plataformas destinadas a ayudar a los clientes, no exponerlos. Cómo se desarrollan estos ataques en las identidades de SaaS: las plataformas de atención al cliente a menudo se basan en SaaS, con tokens persistentes y claves API que las conectan silenciosamente a los sistemas internos. Estas identidades no humanas (T1550.003) rara vez giran, a menudo escapan de IAM centralizado y se convierten en victorias fáciles para los atacantes que se dirigen a los datos de los clientes a escala. Takeaway de seguridad: si sus plataformas SaaS tocan los datos del cliente, son parte de su superficie de ataque. Y si no está rastreando cómo las identidades de la máquina acceden a ellas, no está protegiendo las líneas delanteras. Pensamiento final: sus identidades SaaS no son invisibles. No están supervisados. Sus identidades SaaS no son invisibles; No están supervisados. Estas violaciones no necesitaban exploits elegantes. Solo necesitaban una confianza fuera de lugar, una credencial reutilizada, una integración sin control o una cuenta que nadie revisó. Si bien los equipos de seguridad han bloqueado los puntos finales y los inicios de sesión de SaaS endurecidos, las brechas reales se encuentran en esos roles SaaS ocultos, tokens latentes y pasadas por alto anuladas. Si estos todavía están volando debajo del radar, la violación ya tiene una ventaja. Wing Security fue construido para esto. La plataforma de múltiples capas de Wing protege continuamente su pila SaaS, descubriendo puntos ciegos, endureciendo las configuraciones y detectando amenazas de identidad SaaS antes de que se intensifiquen. Es una fuente de verdad que conecta los puntos a través de aplicaciones, identidades y riesgos, por lo que puede atravesar el ruido y detener las violaciones antes de que comiencen. 👉 Obtenga una demostración de seguridad del ala para ver lo que se esconde en su capa de identidad SaaS. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.