El gigante español de la moda Zara ha confirmado una filtración de datos de clientes que afecta a casi 200.000 personas después de que hackers supuestamente vinculados al grupo de extorsión ShinyHunters filtraran información robada en línea.
La brecha afectó a la empresa matriz de Zara, Inditex, que posee varias marcas minoristas globales, incluyendo Pull&Bear, Bershka, Massimo Dutti y Stradivarius. Según la empresa, el incidente se originó en un compromiso que involucró a un antiguo proveedor de tecnología externo en lugar de los propios sistemas internos de Zara.
Inditex reveló la brecha en abril después de que ShinyHunters añadiera Zara a su sitio de filtraciones en la dark web como parte de la campaña de extorsión “pay or leak” del grupo. Los atacantes afirmaron haber accedido a bases de datos de BigQuery relacionadas con Zara y amenazaron con publicar los archivos robados a menos que se cumplieran las demandas.
Tras el fracaso aparente de las negociaciones, los hackers publicaron en línea un gran archivo de datos supuestamente robados. El servicio de seguimiento de brechas de datos Have I Been Pwned analizó posteriormente la filtración y confirmó que aproximadamente 197.400 direcciones de correo electrónico únicas quedaron expuestas.
La información filtrada incluía supuestamente direcciones de correo electrónico, identificadores de pedidos, información geográfica del mercado, historial de compras, referencias de referencia de productos y datos de tickets de atención al cliente. Aunque Inditex afirmó que los nombres, contraseñas, datos de tarjetas de pago, números de teléfono y direcciones físicas no fueron comprometidos, los expertos en ciberseguridad advierten que los datos expuestos podrían seguir siendo muy valiosos para ataques de phishing y estafas de ingeniería social.
Los atacantes podrían utilizar detalles reales de pedidos e información de tickets de soporte para crear correos falsos convincentes de atención al cliente o notificaciones de entrega fraudulentas dirigidas a compradores de Zara. Los investigadores afirman que este tipo de información contextual suele aumentar la tasa de éxito de las campañas de phishing porque las víctimas tienden a confiar más en los mensajes que hacen referencia a compras legítimas o interacciones de soporte.
La brecha se ha vinculado a una ola mayor de ataques vinculados al proveedor de análisis Anodot. Según los informes, ShinyHunters supuestamente comprometió tokens de autenticación conectados a la plataforma y luego los utilizó para acceder a datos de clientes alojados en la nube pertenecientes a varias empresas.
HaveIBeenPwned afirmó que el conjunto de datos filtrado de Zara formaba parte de una publicación mucho mayor que supuestamente incluía alrededor de 95 millones de registros de tickets de soporte.
Inditex dijo que activó inmediatamente los protocolos de seguridad y notificó a las autoridades pertinentes tras descubrir el acceso no autorizado. La empresa también afirmó que las operaciones comerciales y los sistemas de atención al cliente no se vieron interrumpidos durante el incidente.
El ataque añade a Zara a una lista creciente de grandes marcas supuestamente objetivo de ShinyHunters en los últimos años. El grupo se ha centrado repetidamente en servicios en la nube, plataformas de análisis e integraciones de terceros para acceder a grandes volúmenes de datos corporativos y de clientes.