IKEA, victima hackerilor care au atacat Microsoft și Uber. De ce acest atac este cel mai periculos

Gruparea de criminalitate informatică Lapsus$ susține că a obținut 180 GB de date interne aparținând Ingka Group, cel mai mare francizat al brandului IKEA, companie care operează sute de magazine și canale digitale în 32 de țări. IKEA nu a confirmat oficial existența unei breșe de securitate, dar a transmis că este la curent cu afirmațiile apărute și că investighează situația.

Ce spun hackerii că au furat de la IKEA

Datele ar fi fost scoase la vânzare pe site-ul grupării, potrivit informațiilor publicate de Cybernews. Atacatorii susțin că setul de date include o „cartografiere completă a arhitecturii globale de e-commerce și a platformelor interne pentru angajați”, precum și informații despre logistică, infrastructură cloud și depozite de AI/MLOps.

Mai exact, hackerii afirmă că ar fi obținut acces la elemente legate de aplicații interne, sisteme de comerț online, instrumente digitale folosite în activitatea companiei și posibile componente ale infrastructurii tehnologice care susține operațiunile IKEA.

Pentru a-și susține afirmațiile, gruparea a publicat un singur fișier de probă, care pare să conțină o structură de directoare. Aici apare însă și principala limitare a informațiilor disponibile până acum: mostra nu include conținutul efectiv al fișierelor, ci doar denumiri de directoare.

Cercetătorii Cybernews au analizat mostra și au identificat referințe la aproximativ 6.300 de directoare. Totuși, aceștia subliniază că nu se poate stabili, în acest moment, ce date au fost afectate sau cât de amplu ar fi incidentul. Practic, proba publicată arată doar structura unor foldere, nu și documentele, codul sau fișierele propriu-zise din interiorul acestora.

Ar putea fi vorba despre cod sursă intern

Potrivit cercetătorilor, denumirile directoarelor oferă unele indicii despre natura datelor la care gruparea ar fi putut avea acces. Din aceste denumiri, reiese posibilitatea ca atacatorii să fi obținut depozite de cod sursă pentru mai multe instrumente și aplicații dezvoltate intern de IKEA.

Printre elementele care ar putea fi vizate se numără instrumente interne de analiză a datelor, sisteme de management al conținutului, aplicația IKEA pentru Android și alte aplicații de business folosite în interiorul companiei.

Totuși, fără acces la fișierele propriu-zise, nu se poate confirma dacă aceste depozite conțin într-adevăr cod sursă, fișiere de configurare, parole, date de acces, informații despre clienți sau date ale angajaților. În acest moment, nu există o confirmare publică potrivit căreia ar fi fost expuse date personale ale clienților sau ale personalului IKEA.

De ce expunerea codului sursă poate fi periculoasă

Chiar dacă setul de date nu pare, cel puțin pe baza informațiilor disponibile, să conțină direct baze de date cu clienți sau angajați, o eventuală expunere a codului sursă poate reprezenta un risc major pentru o companie de dimensiunea IKEA.

Codul sursă poate oferi infractorilor cibernetici o hartă detaliată a sistemelor interne. Acesta poate arăta cum comunică aplicațiile între ele, ce tehnologii sunt folosite, unde există dependențe între sisteme și, în unele cazuri, unde s-ar putea afla vulnerabilități necorectate.

Pentru o companie globală care operează magazine fizice, platforme online, aplicații mobile, sisteme logistice și infrastructură cloud, o astfel de expunere poate avea consecințe serioase. Chiar și proiectele mai vechi sau incomplete pot fi utile pentru atacatori, deoarece oferă indicii despre arhitectura internă și despre modul în care pot fi pregătite atacuri mai țintite.

Cercetătorii avertizează că, dacă datele revendicate de Lapsus$ ar fi publicate integral, acestea ar putea expune informații interne și posibile slăbiciuni de securitate. Dincolo de riscul tehnic, incidentul ar putea produce și un impact reputațional pentru IKEA, chiar înainte de confirmarea oficială a unei breșe.

IKEA spune că investighează afirmațiile

Cybernews a transmis că a contactat IKEA pentru un punct de vedere. Un purtător de cuvânt al companiei a declarat că IKEA este la curent cu afirmațiile și că analizează informațiile disponibile.

„Suntem la curent cu aceste afirmații. Investigăm situația și evaluăm informațiile disponibile. Deoarece acest proces este în desfășurare, nu putem comenta mai mult în acest moment”, a transmis reprezentantul IKEA.

Ingka Group este cel mai mare francizat IKEA și gestionează o parte importantă a operațiunilor globale ale brandului. IKEA, companie fondată în Suedia în 1943, a devenit cel mai mare retailer de mobilă din lume, cu peste 500 de magazine în 63 de țări. În 2025, compania a raportat vânzări retail de 44,6 miliarde de euro și are peste 200.000 de angajați la nivel global.

Dimensiunea companiei face ca orice incident cibernetic revendicat să fie tratat cu atenție, chiar și în lipsa unei confirmări oficiale. În cazul companiilor globale, infrastructura digitală este esențială nu doar pentru comerțul online, ci și pentru lanțurile de aprovizionare, gestionarea stocurilor, livrări, aplicații mobile și comunicarea internă.

Cine este Lapsus$

Lapsus$ este o grupare de extorcare motivată financiar. Spre deosebire de grupările clasice de ransomware, care criptează fișierele victimelor și cer bani pentru deblocarea lor, Lapsus$ se bazează mai ales pe furtul de informații sensibile și pe amenințarea că le va publica dacă nu primește plata cerută.

Gruparea este cunoscută pentru folosirea ingineriei sociale, adică manipularea unor angajați sau colaboratori pentru a obține acces la sisteme interne. În mai multe cazuri, membrii Lapsus$ au vizat nu doar infrastructura tehnică, ci și persoane din interiorul organizațiilor atacate.

Mulți dintre membrii de bază ai grupării au fost descriși de anchetatori și cercetători ca fiind adolescenți sau adulți foarte tineri. Deși mai mulți membri au fost arestați sau urmăriți penal în Marea Britanie și Brazilia, gruparea a continuat să fie activă sub diverse forme.

În 2025, Lapsus$ ar fi fuzionat cu alte două grupări de criminalitate informatică, Scattered Spider și ShinyHunters, formând un conglomerat cunoscut sub numele de Scattered Lapsus$ Hunters. Cercetătorii au numit această alianță „Trinity of Chaos”.

Pe parcursul anului 2026, Lapsus$ a revendicat atacuri asupra unor companii importante. Printre numele menționate în revendicările grupării s-au aflat Adidas, AstraZeneca și Vodafone. În cazul AstraZeneca, atacatorii au publicat cod sursă furat, date de acces AWS și informații despre angajați. Vodafone a fost, de asemenea, menționată printre victime, după ce 7,1 GB de cod sursă intern ar fi fost publicați în urma expirării unui termen de negociere.

Printre victimele de profil înalt asociate anterior cu Lapsus$ se numără Rockstar Games, Microsoft, Nvidia, Samsung, Uber și Okta.

De ce contează cazul IKEA pentru companii și consumatori

Chiar dacă nu există, deocamdată, o confirmare privind expunerea datelor clienților, cazul IKEA arată cât de valoroase au devenit informațiile tehnice interne pentru grupările de criminalitate informatică. Pentru atacatori, codul sursă, structura aplicațiilor și informațiile despre infrastructură pot fi la fel de importante ca bazele de date cu informații personale.

Pentru companii, riscul nu se oprește la furtul unor fișiere. O scurgere de cod poate deschide calea către atacuri ulterioare, mai bine pregătite, în care vulnerabilitățile descoperite sunt folosite pentru acces la sisteme critice. Pentru consumatori, impactul devine relevant dacă astfel de incidente afectează platformele online, comenzile, conturile de utilizator sau serviciile digitale folosite zilnic.

În cazul IKEA, miza este cu atât mai mare cu cât brandul are o prezență globală, o infrastructură digitală extinsă și o relație directă cu milioane de clienți. Până la confirmarea sau infirmarea revendicărilor, singura certitudine este că incidentul este investigat, iar compania încearcă să stabilească dacă datele puse în vânzare sunt reale și ce risc concret implică acestea.