Le géant espagnol de la mode Zara a confirmé une violation de données de clients touchant près de 200 000 personnes après que des hackers prétendument liés au groupe d’extorsion ShinyHunters ont divulgué des informations volées en ligne.
Cette violation a touché la société mère de Zara, Inditex, qui possède plusieurs marques mondiales de détail, dont Pull&Bear, Bershka, Massimo Dutti et Stradivarius. Selon l’entreprise, l’incident a été mené par un compromis impliquant un ancien fournisseur technologique tiers plutôt que sur les propres systèmes internes de Zara.
Inditex a révélé la violation en avril après que ShinyHunters a ajouté Zara à son site de fuites sur le dark web dans le cadre de la campagne d’extorsion « pay or leak » du groupe. Les assaillants ont affirmé avoir accédé à des bases de données BigQuery liées à Zara et ont menacé de publier les fichiers volés à moins que les demandes ne soient satisfaites.
Après l’échec apparent des négociations, les hackers ont publié en ligne une vaste archive de données prétendument volées. Le service de suivi des violations de données Have I Been Pwned a ensuite analysé la fuite et confirmé qu’environ 197 400 adresses e-mail uniques avaient été exposées.
Les informations divulguées incluaient apparemment des adresses e-mail, des identifiants de commande, des informations géographiques sur le marché, l’historique des achats, les références produits et les données des tickets de support client. Bien qu’Inditex ait déclaré que les noms, mots de passe, détails de cartes de paiement, numéros de téléphone et adresses physiques n’ont pas été compromis, les experts en cybersécurité avertissent que les données exposées pourraient encore être très précieuses pour les attaques de phishing et les arnaques d’ingénierie sociale.
Les attaquants pourraient potentiellement utiliser de vrais détails de commande et des informations sur les tickets de support pour créer de faux e-mails convaincants de service client ou des notifications de livraison frauduleuses ciblant les acheteurs Zara. Les chercheurs affirment que ce type d’information contextuelle augmente souvent le taux de réussite des campagnes de phishing car les victimes sont plus susceptibles de faire confiance aux messages faisant référence à des achats légitimes ou à des interactions de support.
Cette faille a été liée à une vague plus large d’attaques liées au fournisseur d’analyses Anodot. Selon des rapports, ShinyHunters aurait compromis des jetons d’authentification connectés à la plateforme puis les aurait utilisés pour accéder aux données clients hébergées dans le cloud appartenant à plusieurs entreprises.
HaveIBeenPwned a indiqué que le jeu de données Zara fuité faisait partie d’une publication beaucoup plus vaste qui aurait inclus environ 95 millions d’enregistrements de tickets de support.
Inditex a indiqué avoir immédiatement activé les protocoles de sécurité et informé les autorités compétentes après avoir découvert l’accès non autorisé. La société a également déclaré que les opérations commerciales et les systèmes en contact avec la clientèle n’avaient pas été perturbés pendant l’incident.
Cette attaque ajoute Zara à une liste croissante de grandes marques prétendument ciblées par ShinyHunters ces dernières années. Le groupe s’est à plusieurs reprises concentré sur les services cloud, les plateformes d’analyse et les intégrations tierces afin d’accéder à de grands volumes de données d’entreprise et de clients.