A varejista de moda Zara revelou uma violação de dados que afetou aproximadamente 197.000 pessoas após invasores obterem acesso não autorizado a sistemas conectados a um provedor de serviços terceirizado.
O incidente foi confirmado pela empresa-mãe da Zara, Inditex, que afirmou que a violação se originou de um incidente de cibersegurança envolvendo um ex-fornecedor de tecnologia usado por várias empresas internacionais.
De acordo com as notificações de violação, as informações expostas incluíam nomes, endereços de e-mail, telefone, endereços postais e datas de nascimento ligadas a indivíduos afetados. A empresa afirmou que as senhas e os dados do cartão de pagamento não foram comprometidos no incidente.
A Inditex afirmou que os atacantes acessaram bancos de dados contendo informações relacionadas a transações de clientes hospedadas pelo provedor externo. A empresa acrescentou que seus próprios sistemas operacionais e plataformas online não foram diretamente impactados e permaneceram funcionais durante todo o incidente.
A divulgação da violação ocorre em meio a alegações mais amplas do grupo de crimes cibernéticos ShinyHunters, que recentemente listou a Zara entre várias empresas supostamente afetadas em uma campanha de vazamento mais ampla. O grupo posteriormente publicou conjuntos de dados que alegou terem sido roubados de várias grandes marcas, incluindo Zara, Carnival e 7-Eleven.
Neste momento, ainda não está claro se os 197.000 indivíduos afetados estão diretamente ligados às alegações do ShinyHunters ou se os incidentes estão totalmente relacionados. A Inditex não atribuiu publicamente a violação a um ator ameaçador específico.
A empresa afirmou que ativou imediatamente os protocolos de segurança e notificou as autoridades competentes após descobrir o acesso não autorizado.
Embora informações financeiras não tenham sido expostas, especialistas em cibersegurança alertam que os dados pessoais vazados ainda podem ser valiosos para ataques de phishing, fraude de identidade e golpes direcionados. Os atacantes frequentemente usam combinações de nomes, endereços de e-mail, números de telefone e datas de nascimento para criar tentativas convincentes de personificação.
A violação também destaca os crescentes riscos de cibersegurança ligados a fornecedores terceirizados e fornecedores de tecnologia terceirizada. Mesmo quando a própria infraestrutura de uma empresa não é diretamente comprometida, os atacantes cada vez mais visam fornecedores e contratados como pontos de entrada indiretos em organizações maiores.
A Inditex opera várias marcas globais de moda além da Zara, incluindo Bershka, Pull&Bear, Stradivarius e Massimo Dutti. A empresa não confirmou se clientes de outras marcas foram afetados no incidente.