Il rivenditore di moda Zara ha rivelato una violazione dei dati che ha colpito circa 197.000 persone dopo che gli aggressori hanno ottenuto accesso non autorizzato a sistemi collegati a un fornitore di servizi terzo.
L’incidente è stato confermato dalla società madre di Zara, Inditex, che ha affermato che la violazione è derivata da un incidente di cybersecurity che ha coinvolto un ex fornitore di tecnologia utilizzato da diverse aziende internazionali.
Secondo le notifiche di violazione, le informazioni esposte includevano nomi, indirizzi email, numeri di telefono, indirizzi postali e date di nascita legate a individui colpiti. L’azienda ha dichiarato che password e dettagli delle carte di pagamento non sono stati compromessi.
Inditex ha dichiarato che gli attaccanti hanno accedito a database contenenti informazioni relative alle transazioni dei clienti ospitate dal fornitore esterno. L’azienda ha aggiunto che i propri sistemi operativi e le piattaforme online non sono stati direttamente colpiti e sono rimasti operativi durante tutto l’incidente.
La divulgazione della violazione arriva in un contesto di affermazioni più ampie da parte del gruppo di cybercrimini ShinyHunters, che recentemente ha inserito Zara tra diverse aziende presumibilmente coinvolte in una più ampia campagna di fuga di notizie. Il gruppo ha poi pubblicato dataset che ha dichiarato essere stati rubati da diversi grandi marchi, tra cui Zara, Carnival e 7-Eleven.
Al momento, non è chiaro se i 197.000 individui colpiti siano direttamente collegati alle affermazioni di ShinyHunters o se gli episodi siano interamente collegati. Inditex non ha pubblicamente attribuito la violazione a un attore minaccioso specifico.
L’azienda ha dichiarato di aver immediatamente attivato i protocolli di sicurezza e di aver informato le autorità competenti dopo aver scoperto l’accesso non autorizzato.
Sebbene le informazioni finanziarie non siano state esposte, gli esperti di cybersecurity avvertono che i dati personali trapelati potrebbero comunque essere utili per attacchi di phishing, frodi d’identità e truffe mirate. Gli aggressori usano spesso combinazioni di nomi, indirizzi email, numeri di telefono e date di nascita per creare tentativi convincenti di impersonificazione.
La violazione evidenzia anche i crescenti rischi di cybersecurity legati ai fornitori terzi e ai fornitori di tecnologia esternalizzata. Anche quando l’infrastruttura di un’azienda non è direttamente compromessa, gli aggressori prendono sempre di più di mira fornitori e appaltatori come punti di ingresso indiretti nelle organizzazioni più grandi.
Inditex gestisce diversi marchi di moda globali oltre a Zara, tra cui Bershka, Pull&Bear, Stradivarius e Massimo Dutti. L’azienda non ha confermato se clienti di altri marchi siano stati coinvolti nell’incidente.