Modewinkel Zara heeft een datalek bekendgemaakt die ongeveer 197.000 personen treft nadat aanvallers ongeautoriseerde toegang kregen tot systemen die verbonden zijn met een externe dienstverlener.
Het incident werd bevestigd door het moederbedrijf van Zara, Inditex, dat zei dat de inbreuk voortkwam uit een cyberbeveiligingsincident waarbij een voormalige technologieleverancier betrokken was die door meerdere internationale bedrijven werd gebruikt.
Volgens meldingen over datalekken omvatte de blootgelegde informatie namen, e-mailadressen, telefoonnummers, postadressen en geboortedata die aan getroffen personen waren gekoppeld. Het bedrijf verklaarde dat wachtwoorden en betaalkaartgegevens niet waren gecompromitteerd bij het incident.
Inditex zei dat de aanvallers toegang hadden gehad tot databases met klanttransactie-gerelateerde informatie die door de externe aanbieder werd gehost. Het bedrijf voegde eraan toe dat de eigen operationele systemen en online platforms niet direct werden getroffen en gedurende het hele incident functioneel bleven.
De onthulling van het lek komt te midden van bredere claims van de cybercrimegroep ShinyHunters, die Zara onlangs heeft opgenomen onder meerdere bedrijven die naar verluidt getroffen zijn in een bredere lekcampagne. De groep publiceerde later datasets waarvan men beweerde dat ze waren gestolen van verschillende grote merken, waaronder Zara, Carnival en 7-Eleven.
Op dit moment is het onduidelijk of de 197.000 getroffen personen direct verband houden met de ShinyHunters-claims of dat de incidenten volledig met elkaar te maken hebben. Inditex heeft de inbreuk niet publiekelijk toegeschreven aan een specifieke dreigingsactor.
Het bedrijf zei dat het onmiddellijk beveiligingsprotocollen had geactiveerd en de relevante autoriteiten had geïnformeerd nadat het de ongeautoriseerde toegang had ontdekt.
Hoewel financiële informatie naar verluidt niet is vrijgegeven, waarschuwen cybersecurity-experts dat de gelekte persoonlijke gegevens nog steeds waardevol kunnen zijn voor phishingaanvallen, identiteitsfraude en gerichte oplichting. Aanvallers gebruiken vaak combinaties van namen, e-mailadressen, telefoonnummers en geboortedata om overtuigende imitatiepogingen te maken.
De inbreuk benadrukt ook de groeiende cybersecurityrisico’s die gekoppeld zijn aan externe leveranciers en uitbestede technologieleveranciers. Zelfs wanneer de eigen infrastructuur van een bedrijf niet direct wordt gecompromitteerd, richten aanvallers zich steeds vaker op leveranciers en aannemers als indirecte toegangspunten tot grotere organisaties.
Inditex exploiteert verschillende wereldwijde modemerken buiten Zara, waaronder Bershka, Pull&Bear, Stradivarius en Massimo Dutti. Het bedrijf heeft niet bevestigd of klanten van andere merken door het incident zijn getroffen.