Der spanische Moderiese Zara hat eine Kundendatenpanne bestätigt, die fast 200.000 Menschen betrifft, nachdem Hacker, die angeblich mit der Erpressungsgruppe ShinyHunters in Verbindung stehen, gestohlene Informationen online durchsickerten.
Die Sicherheitslücke betraf Zaras Muttergesellschaft Inditex, die mehrere globale Einzelhandelsmarken besitzt, darunter Pull&Bear, Bershka, Massimo Dutti und Stradivarius. Laut dem Unternehmen entstand der Vorfall durch einen Kompromiss bei einem ehemaligen Drittanbieter und nicht durch Zaras eigene interne Systeme.
Inditex gab den Datenverstoß im April bekannt, nachdem ShinyHunters Zara im Rahmen der “Pay or Leak”-Kampagne der Gruppe zu seiner Dark-Web-Leak-Seite hinzugefügt hatte. Die Angreifer behaupteten, Zugang zu Zara-bezogenen BigQuery-Datenbanken erhalten zu haben, und drohten, die gestohlenen Dateien zu veröffentlichen, falls die Forderungen nicht erfüllt würden.
Nachdem die Verhandlungen offenbar gescheitert waren, veröffentlichten die Hacker ein großes Archiv angeblich gestohlener Daten online. Der Datenpannen-Tracking-Dienst Have I Been Pwned analysierte später das Leck und bestätigte, dass etwa 197.400 einzigartige E-Mail-Adressen offengelegt wurden.
Die geleakten Informationen umfassten Berichten zufolge E-Mail-Adressen, Bestell-IDs, geografische Marktinformationen, Kaufverlauf, Produkt-SKUs und Kundensupport-Ticketdaten. Während Inditex erklärte, dass Namen, Passwörter, Zahlungskartendaten, Telefonnummern und physische Adressen nicht kompromittiert wurden, warnen Cybersicherheitsexperten, dass die offengelegten Daten dennoch sehr wertvoll für Phishing-Angriffe und Social-Engineering-Betrügereien sein könnten.
Angreifer könnten potenziell echte Bestelldetails und Support-Ticket-Informationen nutzen, um überzeugende gefälschte Kundenservice-E-Mails oder betrügerische Lieferbenachrichtigungen für Zara-Kunden zu erstellen. Forscher sagen, dass diese Art von kontextuellen Informationen oft die Erfolgsrate von Phishing-Kampagnen erhöht, da Opfer eher Nachrichten vertrauen, die sich auf legitime Käufe oder Support-Interaktionen beziehen.
Der Datenbruch wird mit einer größeren Welle von Angriffen in Verbindung gebracht, die mit dem Analyseanbieter Anodot verbunden sind. Berichten zufolge soll ShinyHunters Authentifizierungstoken, die mit der Plattform verbunden sind, kompromittiert und diese dann genutzt haben, um auf cloudgehostete Kundendaten mehrerer Unternehmen zuzugreifen.
HaveIBeenPwned sagte, der geleakte Zara-Datensatz sei Teil einer viel größeren Publikation, die angeblich rund 95 Millionen Support-Ticket-Datensätze enthielt.
Inditex teilte mit, dass es die Sicherheitsprotokolle sofort aktiviert und die zuständigen Behörden nach Entdeckung des unbefugten Zugriffs benachrichtigt habe. Das Unternehmen erklärte außerdem, dass Geschäftsabläufe und kundenorientierte Systeme während des Vorfalls nicht gestört wurden.
Der Angriff fügt Zara einer wachsenden Liste großer Marken hinzu, die in den letzten Jahren angeblich von ShinyHunters ins Visier genommen wurden. Die Gruppe hat sich wiederholt auf Cloud-Dienste, Analyseplattformen und Drittanbieter-Integrationen konzentriert, um Zugang zu großen Mengen an Unternehmens- und Kundendaten zu erhalten.