A gigante espanhola da moda Zara confirmou uma violação de dados de clientes que afeta quase 200.000 pessoas após hackers supostamente ligados ao grupo de extorsão ShinyHunters vazarem informações roubadas online.
A violação impactou a empresa-mãe da Zara, Inditex, que possui várias marcas globais de varejo, incluindo Pull&Bear, Bershka, Massimo Dutti e Stradivarius. Segundo a empresa, o incidente teve origem em um compromisso envolvendo um ex-fornecedor de tecnologia terceirizado, e não nos próprios sistemas internos da Zara.
A Inditex divulgou a violação em abril depois que a ShinyHunters adicionou a Zara ao seu site de vazamento da dark web como parte da campanha de extorsão “pay or leak” do grupo. Os atacantes alegaram ter acesso a bancos de dados BigQuery relacionados à Zara e ameaçaram publicar os arquivos roubados a menos que as exigências fossem atendidas.
Após as negociações aparentemente fracassaram, os hackers liberaram um grande arquivo de supostos dados roubados online. O serviço de rastreamento de vazamento de dados Have I Been Pwned analisou posteriormente o vazamento e confirmou que aproximadamente 197.400 endereços de e-mail únicos foram expostos.
As informações vazadas teriam incluído endereços de e-mail, IDs de pedidos, informações geográficas do mercado, histórico de compras, SKUs de produtos e dados de tickets de suporte ao cliente. Embora a Inditex tenha afirmado que nomes, senhas, dados de cartões de pagamento, números de telefone e endereços físicos não foram comprometidos, especialistas em cibersegurança alertam que os dados expostos ainda podem ser altamente valiosos para ataques de phishing e golpes de engenharia social.
Atacantes poderiam potencialmente usar detalhes reais do pedido e informações de tickets de suporte para criar e-mails falsos de atendimento ao cliente convincentes ou notificações fraudulentas de entrega direcionadas aos compradores da Zara. Pesquisadores dizem que esse tipo de informação contextual frequentemente aumenta a taxa de sucesso das campanhas de phishing porque as vítimas tendem a confiar mais em mensagens que fazem referência a compras legítimas ou interações de suporte.
A violação foi ligada a uma onda maior de ataques vinculados ao provedor de análise Anodot. Segundo relatos, a ShinyHunters supostamente comprometeu tokens de autenticação conectados à plataforma e depois os usou para acessar dados de clientes hospedados na nuvem pertencentes a várias empresas.
HaveIBeenPwned afirmou que o conjunto de dados vazado da Zara fazia parte de uma publicação muito maior que supostamente incluía cerca de 95 milhões de registros de tickets de suporte.
A Inditex afirmou que ativou imediatamente os protocolos de segurança e notificou as autoridades competentes após descobrir o acesso não autorizado. A empresa também afirmou que as operações comerciais e os sistemas voltados ao cliente não foram interrompidos durante o incidente.
O ataque adiciona a Zara a uma lista crescente de grandes marcas supostamente alvo da ShinyHunters nos últimos anos. O grupo tem focado repetidamente em serviços em nuvem, plataformas de análise e integrações de terceiros para obter acesso a grandes volumes de dados corporativos e de clientes.