Der Modehändler Zara hat eine Datenpanne bekanntgegeben, die etwa 197.000 Personen betrifft, nachdem Angreifer unbefugten Zugriff auf Systeme erhalten hatten, die mit einem Drittanbieter verbunden sind.
Der Vorfall wurde von Zaras Muttergesellschaft Inditex bestätigt, die angab, der Vorfall sei durch einen Cybersicherheitsvorfall mit einem ehemaligen Technologieanbieter verbunden, der von mehreren internationalen Unternehmen genutzt wurde.
Laut Meldungen über Sicherheitsverletzungen enthielten die offengelegten Informationen Namen, E-Mail-Adressen, Telefonnummern, Postadressen und Geburtsdaten, die mit betroffenen Personen verknüpft sind. Das Unternehmen erklärte, dass Passwörter und Zahlungskartendaten bei dem Vorfall nicht kompromittiert wurden.
Inditex sagte, die Angreifer hätten Datenbanken mit kundenbezogenen transaktionsbezogenen Informationen zugegriffen, die vom externen Anbieter gehostet wurden. Das Unternehmen fügte hinzu, dass seine eigenen Betriebssysteme und Online-Plattformen nicht direkt betroffen seien und während des gesamten Vorfalls funktionsfähig geblieben seien.
Die Offenlegung der Sicherheitsverletzung erfolgt vor dem Hintergrund weitergehender Behauptungen der Cybercrime-Gruppe ShinyHunters, die Zara kürzlich zu mehreren angeblich betroffenen Unternehmen in einer umfassenderen Leak-Kampagne geführt hat. Die Gruppe veröffentlichte später Datensätze, von denen sie behauptete, sie seien von mehreren großen Marken gestohlen worden, darunter Zara, Carnival und 7-Eleven.
Derzeit ist unklar, ob die 197.000 betroffenen Personen direkt mit den ShinyHunters-Behauptungen in Verbindung stehen oder ob die Vorfälle vollständig miteinander zusammenhängen. Inditex hat den Datenvorstoß nicht öffentlich einem bestimmten Bedrohungsakteur zugeschrieben.
Das Unternehmen teilte mit, dass es sofort Sicherheitsprotokolle aktiviert und die zuständigen Behörden nach Entdeckung des unbefugten Zugriffs benachrichtigt habe.
Obwohl finanzielle Informationen Berichten zufolge nicht offengelegt wurden, warnen Cybersicherheitsexperten, dass die geleakten persönlichen Daten dennoch für Phishing-Angriffe, Identitätsbetrug und gezielte Betrügereien wertvoll sein könnten. Angreifer verwenden häufig Kombinationen aus Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten, um überzeugende Imitationsversuche zu erstellen.
Der Sicherheitsvorstoß verdeutlicht zudem die wachsenden Cybersicherheitsrisiken, die mit Drittanbietern und ausgelagerten Technologieanbietern verbunden sind. Selbst wenn die eigene Infrastruktur eines Unternehmens nicht direkt kompromittiert wird, zielen Angreifer zunehmend auf Lieferanten und Auftragnehmer als indirekte Einstiegspunkte in größere Organisationen ab.
Inditex betreibt mehrere globale Modemarken außerhalb von Zara, darunter Bershka, Pull&Bear, Stradivarius und Massimo Dutti. Das Unternehmen hat nicht bestätigt, ob Kunden weiterer Marken von dem Vorfall betroffen waren.