Il colosso spagnolo della moda Zara ha confermato una violazione dei dati di un cliente che ha colpito quasi 200.000 persone dopo che hacker, presumibilmente collegati al gruppo di estorsione ShinyHunters, hanno fatto trapelare informazioni rubate online.
La violazione ha colpito la società madre di Zara, Inditex, che possiede diversi marchi globali al dettaglio, tra cui Pull&Bear, Bershka, Massimo Dutti e Stradivarius. Secondo l’azienda, l’incidente è nato da un compromesso che ha coinvolto un ex fornitore tecnologico terzo, piuttosto che dai sistemi interni di Zara.
Inditex ha reso noto la violazione ad aprile dopo che ShinyHunters ha aggiunto Zara al suo sito di divulgazione del dark web come parte della campagna di estorsione “pay or leak” del gruppo. Gli aggressori hanno affermato di aver avuto accesso ai database BigQuery relativi a Zara e hanno minacciato di pubblicare i file rubati a meno che non fossero state soddisfatte le richieste.
Dopo che le trattative apparentemente fallirono, gli hacker pubblicarono online un grande archivio di dati presumibilmente rubati. Il servizio di tracciamento delle violazioni dati Have I Been Pwned ha poi analizzato la fuga di notizie e ha confermato che circa 197.400 indirizzi email unici sono stati esposti.
Le informazioni trapelate includevano indirizzi email, ID ordini, informazioni geografiche sul mercato, cronologia degli acquisti, SKU dei prodotti e dati sui ticket di assistenza clienti. Sebbene Inditex abbia dichiarato che nomi, password, dettagli delle carte di pagamento, numeri di telefono e indirizzi fisici non sono stati compromessi, gli esperti di cybersecurity avvertono che i dati esposti potrebbero comunque essere molto preziosi per attacchi di phishing e truffe di social engineering.
Gli attaccanti potrebbero potenzialmente utilizzare dettagli veri dell’ordine e informazioni sui ticket di supporto per creare email false di assistenza clienti convincenti o notifiche di consegna fraudolente rivolte agli acquirenti Zara. I ricercatori affermano che questo tipo di informazione contestuale spesso aumenta il tasso di successo delle campagne di phishing perché le vittime sono più propense a fidarsi dei messaggi che fanno riferimento ad acquisti legittimi o interazioni di supporto.
La violazione è stata collegata a un’ondata più ampia di attacchi legati al fornitore di analytics Anodot. Secondo i rapporti, ShinyHunters avrebbe compromesso i token di autenticazione collegati alla piattaforma e poi li avrebbe utilizzati per accedere ai dati dei clienti ospitati nel cloud appartenenti a più aziende.
HaveIBeenPwned ha dichiarato che il dataset trapelato di Zara faceva parte di una pubblicazione molto più ampia che avrebbe incluso circa 95 milioni di record di ticket di supporto.
Inditex ha dichiarato di aver immediatamente attivato i protocolli di sicurezza e di aver informato le autorità competenti dopo aver scoperto l’accesso non autorizzato. L’azienda ha inoltre dichiarato che le operazioni commerciali e i sistemi a contatto con il cliente non sono stati interrotti durante l’incidente.
L’attacco aggiunge Zara a una lista crescente di grandi marchi presumibilmente prese di mira da ShinyHunters negli ultimi anni. Il gruppo si è ripetutamente concentrato su servizi cloud, piattaforme di analisi e integrazioni di terze parti per accedere a grandi volumi di dati aziendali e di clienti.