De Spaanse modegigant Zara heeft een datalek van klanten bevestigd die bijna 200.000 mensen treft, nadat hackers die naar verluidt gelinkt zijn aan de afpersingsgroep ShinyHunters gestolen informatie online hebben gelekt.
De inbreuk trof het moederbedrijf van Zara, Inditex, dat verschillende wereldwijde retailmerken bezit, waaronder Pull&Bear, Bershka, Massimo Dutti en Stradivarius. Volgens het bedrijf kwam het incident voort uit een compromis waarbij een voormalige externe technologieleverancier betrokken was, en niet uit Zara’s eigen interne systemen.
Inditex maakte de inbreuk in april bekend nadat ShinyHunters Zara had toegevoegd aan zijn dark web-leksite als onderdeel van de “pay or leak”-afpersingscampagne van de groep. De aanvallers beweerden toegang te hebben gekregen tot Zara-gerelateerde BigQuery-databases en dreigden de gestolen bestanden te publiceren tenzij aan de eisen werd voldaan.
Nadat de onderhandelingen blijkbaar mislukten, brachten de hackers een groot archief van vermeend gestolen gegevens online. De datalek-trackingdienst Have I Been Pwned analyseerde later het lek en bevestigde dat ongeveer 197.400 unieke e-mailadressen waren blootgesteld.
De gelekte informatie omvatte naar verluidt e-mailadressen, order-ID’s, geografische marktinformatie, aankoopgeschiedenis, product-SKU’s en klantondersteuningsticketgegevens. Hoewel Inditex verklaarde dat namen, wachtwoorden, betaalkaartgegevens, telefoonnummers en fysieke adressen niet zijn gecompromitteerd, waarschuwen cybersecurity-experts dat de blootgestelde gegevens nog steeds zeer waardevol kunnen zijn voor phishingaanvallen en social engineering-scams.
Aanvallers zouden mogelijk echte bestelgegevens en informatie over supporttickets kunnen gebruiken om overtuigende nep-e-mails voor klantenservice of frauduleuze bezorgmeldingen te creëren die zich richten op Zara-klanten. Onderzoekers zeggen dat dit soort contextuele informatie vaak het slagingspercentage van phishingcampagnes verhoogt, omdat slachtoffers eerder berichten vertrouwen die verwijzen naar legitieme aankopen of ondersteuningsinteracties.
De inbreuk is in verband gebracht met een grotere golf van aanvallen die gekoppeld zijn aan analyseprovider Anodot. Volgens berichten zou ShinyHunters authenticatietokens die aan het platform verbonden waren hebben gecompromitteerd en deze vervolgens hebben gebruikt om toegang te krijgen tot cloud-gehoste klantgegevens van meerdere bedrijven.
HaveIBeenPwned zei dat de gelekte Zara-dataset deel uitmaakte van een veel grotere publicatie die naar verluidt ongeveer 95 miljoen supportticketrecords bevatte.
Inditex zei dat het onmiddellijk de beveiligingsprotocollen had geactiveerd en de relevante autoriteiten had geïnformeerd nadat ze de ongeautoriseerde toegang hadden ontdekt. Het bedrijf verklaarde ook dat bedrijfsvoering en klantgerichte systemen tijdens het incident niet werden verstoord.
De aanval voegt Zara toe aan een groeiende lijst van grote merken die naar verluidt door ShinyHunters in de afgelopen jaren zijn aangevallen. De groep heeft zich herhaaldelijk gericht op clouddiensten, analyseplatforms en integraties van derden om toegang te krijgen tot grote hoeveelheden bedrijfs- en klantgegevens.