A brit kiskereskedelmi óriás, a Marks & Spencer (M&S) hivatalosan is megszüntette hosszú távú együttműködését az indiai Tata Consultancy Services (TCS) IT-szolgáltatóval, miután az év elején a vállalat történetének egyik legsúlyosabb kibertámadása bénította meg működését.
A támadás becslések szerint mintegy 300 millió font veszteséget okozott, leállítva a digitális infrastruktúrát, zavarokat előidézve az Egyesült Királyság-szerte működő boltokban és az online kereskedelemben egyaránt.
A háttér: az M&S és a TCS kapcsolata
A Tata Consultancy Services (TCS) a Tata Group részeként működő, Mumbaiban székhellyel rendelkező indiai multinacionális vállalat, amely több mint 600 000 munkavállalóval világszerte 55 országban nyújt IT- és tanácsadási szolgáltatásokat.
Ügyfelei között szerepel többek között a Jaguar Land Rover, British Airways, Boots, Diageo, Aviva, Deutsche Bank USA, Indian Bank, RBC Investor & Treasury Services, valamint a British Council.
Az M&S évek óta támaszkodott a TCS-re informatikai helpdesk- és támogatási szolgáltatásokban. A kapcsolat 2025 júliusában ért véget — néhány hónappal azután, hogy a támadás súlyosan megrázta a cég működését.
A támadás: hogyan történt?
Az M&S és a TCS több mint egy évtizedes együttműködésben állt; a legutóbbi, 2023-as megújított kiszervezési szerződés célja a lánc digitalizációja és az omnichannel rendszerek fejlesztése volt.
2025 április végén azonban a vállalat bejelentette, hogy „kiberincidens” történt, amely:
- megbénította az online rendeléseket;
- leállította a Click & Collect folyamatokat;
- és ellátási problémákat okozott, kiürült polcokat eredményezve több áruházban.
A támadók, a Scattered Spider csoport tagjai, egy beszállítói hozzáférésen keresztül jutottak be — nem az M&S hálózati peremén át.
Két TCS-alkalmazott hitelesítő adatait használták fel, amelyeket social engineering módszerrel szereztek meg: a támadók M&S-dolgozóknak adták ki magukat, hogy jelszó-visszaállítást és új jogosultságokat kérjenek.
Az M&S vezérigazgatója, Stuart Machin a brit parlament előtt „kifinomult megszemélyesítéses támadásnak” nevezte az esetet, amely „egy harmadik félhez kapcsolódóan” történt.
A támadók ezután a DragonForce nevű ransomware-as-a-service szolgáltatást használták, kettős zsarolásos támadási formában:
- előbb ellopták az adatokat,
- majd titkosították a rendszereket,
- végül váltságdíjat követeltek az adatok visszaállításáért és a kiszivárogtatás elkerüléséért.
A TCS tagadta, hogy saját rendszerei sérültek volna, és azt állította, hogy az incidens kizárólag az ügyfél (M&S) környezetében zajlott.
A hatások és következmények
- Az online vásárlások és in-store fizetések napokra leálltak.
- Az ellátási láncban zavarok keletkeztek.
- Ügyféladatok is kikerültek, ezért az M&S phishing elleni figyelmeztetést adott ki.
- Pénzügyi veszteség: kb. 300 millió font működési profitvesztés, 1 milliárd font piaci tőkeérték-csökkenés.
A történtek jól mutatják, hogyan vezethet egyetlen emberi tényezőn alapuló social-engineering támadás komplex vállalati válsághoz.
A beszállítóval való szakítás
Az M&S 2025 júliusában erősítette meg, hogy nem hosszabbítja meg a TCS-szel kötött helpdesk-szerződést.
A cég szerint a döntés már januárban, a tender megnyitásával megszületett – azaz még a támadás előtt –, és nem annak közvetlen következménye.
A TCS is hangsúlyozta:
„A tender hónapokkal az incidens előtt indult. A TCS továbbra is számos stratégiai területen támogatja az M&S-t, és értékeli a hosszú távú kapcsolatot.”
Ennek ellenére a helyzet kommunikációs szempontból nehéz: amikor egy vállalat kibertámadást szenved, és egy jelentős beszállító érintetté válik — akár közvetve —, a bizalom és a hírnév azonnal kockára kerül.
A TCS számára, amely több száz brit ügyfelet szolgál ki, az eset a szolgáltatói felelősség és ügyfélbizalom kérdését is új megvilágításba helyezi.
Miért fontos ez? – Outsourcing és beszállítói kockázatok
Az M&S-t ért támadás tankönyvi példája annak, hogyan nyílnak új támadási felületek az összetett kiszervezett IT-ökoszisztémákban:
- Többszintű beszállítói láncok,
- Kiemelt hozzáféréssel rendelkező helpdesk- vagy support-személyzet,
- Emberi bizalom kihasználása social engineeringgel.
A helpdesk-részlegek különösen veszélyeztetettek, mivel a jelszó-visszaállítási folyamatok és azonosítási protokollok könnyen kijátszhatók, ha a támadók belsőnek tűnnek.
A szakértők szerint minden szervezetnek újra kell gondolnia, hogy a szolgáltatóik emberei valójában a hálózatuk kiterjesztett részei.
Tanulságok: mit érdemes levonni M&S és TCS példájából?
1️⃣ A beszállító = támadási felület.
Ha külsős partner kezeli a jelszókat, hozzáféréseket vagy felhasználói támogatást, az ő biztonsága a te biztonságod.
2️⃣ A social engineering nem elavult.
A legkorszerűbb technológiai védelem is kevés, ha az emberi tényező manipulálható.
3️⃣ A szerződések időzítése kritikus.
A tender és a támadás időbeli közelsége rámutat, mennyire fontos a vendor risk management a szerződésmegújítás során.
4️⃣ Transzparencia és kommunikáció.
A válság utáni információhiány spekulációt szül. A reputációvesztés nemcsak IT-probléma, hanem üzleti kockázat.
5️⃣ Kiszervezés ≠ felelősség átruházása.
A jogi, adatvédelmi és üzletmenet-folytonossági felelősség mindig az adatkezelő szervezetet terheli, nem a szolgáltatót.
Összegzés
A Marks & Spencer és a TCS ügye nem csupán egy megszűnt IT-helpdesk szerződés története, hanem jelzés az egész iparágnak:
a kiberbiztonsági kockázatok emberi és szervezeti szinten jelentkeznek leginkább, nem kizárólag technikai fronton.
Az M&S számára a döntés a bizalom helyreállításának és a modernizáció útjának része.
A TCS és más globális IT-szolgáltatók számára pedig ez egyértelmű üzenet:
Ügyfeleid kiberrezilienciája a te hírneved is.
