Le détaillant de mode Zara a révélé une violation de données touchant environ 197 000 personnes après que des attaquants ont obtenu un accès non autorisé à des systèmes connectés à un fournisseur de services tiers.
L’incident a été confirmé par la société mère de Zara, Inditex, qui a déclaré que la violation provenait d’un incident de cybersécurité impliquant un ancien fournisseur de technologies utilisé par plusieurs entreprises internationales.
Selon les notifications de violation, les informations exposées comprenaient des noms, adresses e-mail, numéros de téléphone, adresses postales et dates de naissance liés aux personnes concernées. La société a indiqué que les mots de passe et les détails des cartes de paiement n’avaient pas été compromis lors de l’incident.
Inditex a indiqué que les attaquants avaient accédé à des bases de données contenant des informations liées aux transactions clients hébergées par le fournisseur externe. L’entreprise a ajouté que ses propres systèmes opérationnels et plateformes en ligne n’avaient pas été directement impactés et sont restés fonctionnels tout au long de l’incident.
Cette divulgation intervient dans un contexte de revendications plus larges du groupe de cybercriminalité ShinyHunters, qui a récemment inclus Zara parmi plusieurs entreprises prétendument concernées par une campagne de fuites plus large. Le groupe a ensuite publié des ensembles de données qu’il affirmait avoir été volés à plusieurs grandes marques, dont Zara, Carnival et 7-Eleven.
À ce stade, il reste incertain si les 197 000 personnes concernées sont directement liées aux revendications de ShinyHunters ou si les incidents sont entièrement liés. Inditex n’a pas publiquement attribué la violation à un acteur malveillant spécifique.
L’entreprise a déclaré avoir immédiatement activé les protocoles de sécurité et informé les autorités compétentes après avoir découvert l’accès non autorisé.
Bien que les informations financières n’aient apparemment pas été révélées, les experts en cybersécurité avertissent que les informations personnelles divulguées pourraient encore être précieuses pour des attaques de phishing, des fraudes d’identité et des arnaques ciblées. Les attaquants utilisent fréquemment des combinaisons de noms, d’adresses e-mail, de numéros de téléphone et de dates de naissance pour élaborer des tentatives d’usurpation d’identité convaincantes.
La faille met également en lumière les risques croissants liés à la cybersécurité liés aux fournisseurs tiers et aux fournisseurs de technologies externalisées. Même lorsque l’infrastructure d’une entreprise n’est pas directement compromise, les attaquants ciblent de plus en plus les fournisseurs et les sous-traitants comme points d’entrée indirects dans les grandes organisations.
Inditex exploite plusieurs marques de mode mondiales en dehors de Zara, notamment Bershka, Pull&Bear, Stradivarius et Massimo Dutti. La société n’a pas confirmé si des clients d’autres marques ont été affectés par l’incident.