Datele personale a aproape 197.000 de clienți Zara au fost expuse după ce grupul infracțional de extorcare ShinyHunters a compromis un fost furnizor terț de analiză utilizat de compania-mamă a retailerului, Inditex. Serviciul de notificare a breșelor Have I Been Pwned a confirmat pe platforma sa că setul de date furat conținea 197.400 de adrese de email unice, alături de ID-uri de comenzi, istorice de achiziții, date geografice de piață și conținuturi ale tichetelor de suport pentru clienți.
Un punct de intrare prin terță parte
Breșa nu a provenit din infrastructura proprie a Zara. ShinyHunters a obținut acces prin intermediul Anodot, o platformă israeliană de analiză bazată pe inteligență artificială, utilizată anterior de Inditex. Conform listării grupului pe dark web, token-urile de autentificare compromise de la Anodot au permis accesul în instanțele cloud BigQuery care conțineau datele clienților Zara.
Inditex a recunoscut într-un comunicat că incidentul „provine dintr-un incident de securitate care a afectat un fost furnizor de tehnologie și a avut impact asupra mai multor companii care operează la nivel internațional”, fără a numi însă Anodot în mod direct. Inditex a precizat că printre datele compromise nu se numără nume, numere de telefon, adrese fizice, parole sau detalii de plată. Have I Been Pwned a menționat că informațiile expuse includeau adrese de e-mail, coduri SKU ale produselor, ID-uri de comenzi și piața din care proveneau tichetele de suport.
Parte dintr-o campanie de extorcare mai amplă
Breșa de securitate de la Zara este una dintre piesele unei ample campanii „plătești sau publicăm datele” desfășurate de ShinyHunters, care a vizat aproximativ 40 de organizații în ultimele săptămâni. Grupul a stabilit termenul limită de 21 aprilie 2026 pentru ca Inditex să negocieze. Întrucât nu s-a ajuns la niciun acord, datele au fost publicate pe 22 aprilie.
Printre alte companii implicate în campania ShinyHunters se numără 7-Eleven, Carnival Corporation, Mytheresa, Udemy și producătorul de dispozitive medicale Medtronic, care a înregistrat aproximativ nouă milioane de înregistrări compromise. Grupul și-a revendicat, de asemenea, responsabilitatea pentru breșa sistemului de management al învățării Canvas al Instructure, afectând datele a aproximativ 9.000 de școli și 275 de milioane de utilizatori.
O amenințare în escaladare
ShinyHunters a renunțat la criptarea ransomware tradițională în favoarea exfiltrării pure de date și a extorcării, promițând că va păstra informațiile furate disponibile pe platformele criminale „pe termen nelimitat”. Grupul i-a avertizat direct pe victime: „Ne vom asigura că fiecare colț al lumii criminale subterane deține datele tale și le exploatează”. Clienții Zara care sunt îngrijorați de expunerea lor pot verifica dacă adresa lor de e-mail apare în breșă prin intermediul Have I Been Pwned.
Surse: https://haveibeenpwned.com/Breach/Zara
https://www.safestate.com/post/197-000-people-affected-in-zara-data-breach-tied-to-analytics-vendor