İspanyol moda devi Zara, ShinyHunters şantaj grubuyla bağlantılı olduğu iddia edilen hackerların çalınan bilgileri çevrimiçi sızdırmasının ardından yaklaşık 200.000 kişiyi etkileyen bir müşteri veri ihlali olduğunu doğruladı.
İhlal, Zara’nın ana şirketi Inditex’i etkiledi; Inditex, Pull&Bear, Bershka, Massimo Dutti ve Stradivarius gibi birçok küresel perakende markasına sahip. Şirkete göre, olay Zara’nın kendi dahili sistemleri yerine eski bir üçüncü taraf teknoloji sağlayıcısının üzerinde yapılan bir uzlaşmadan kaynaklandı.
Inditex, ShinyHunters’ın Zara’yı grubun “öde ya sızdır” şantaj kampanyası kapsamında karanlık web sızıntı sitesine eklemesinin ardından Nisan ayında ihlali açıkladı. Saldırganlar, Zara ile ilgili BigQuery veritabanlarına erişim sağladıklarını iddia etti ve talepler yerine getirilmezse çalınan dosyaları yayınlayacaklarını tehdit etti.
Müzakereler görünüşe göre başarısız olduktan sonra, hackerlar çalındığı iddia edilen büyük bir veri arşivini çevrimiçi olarak yayımladı. Veri ihlali takip servisi Have I Been Pwned daha sonra sızıntıyı analiz etti ve yaklaşık 197.400 benzersiz e-posta adresinin açığa çıktığını doğruladı.
Sızdırılan bilgilerin içinde e-posta adresleri, sipariş kimlikleri, coğrafi piyasa bilgileri, satın alma geçmişi, ürün SKU’ları ve müşteri destek bileti verileri yer aldığı bildirildi. Inditex, isimlerin, şifrelerin, ödeme kartı bilgilerinin, telefon numaralarının ve fiziksel adreslerin ele geçirilmediğini belirtirken, siber güvenlik uzmanları açığa çıkan verilerin hâlâ oltalama saldırıları ve sosyal mühendislik dolandırıcılıkları için çok değerli olabileceği konusunda uyarıda bulunuyor.
Saldırganlar, gerçek sipariş detayları ve destek bileti bilgilerini kullanarak Zara alışverişçilerini hedef alan ikna edici sahte müşteri hizmetleri e-postaları veya sahte teslimat bildirimleri oluşturabilirler. Araştırmacılar, bu tür bağlamsal bilgilerin genellikle oltalama kampanyalarının başarı oranını artırdığını çünkü mağdurların meşru satın almalara veya etkileşimleri destekleyen mesajlara güvenme olasılığının daha yüksek olduğunu söylüyor.
İhlal, analitik sağlayıcısı Anodot’a bağlı daha büyük bir saldırı dalgasıyla ilişkilendirildi. Raporlara göre, ShinyHunters platforma bağlı kimlik doğrulama tokenlarını ele geçirip bunları birden fazla şirkete ait bulut barındırılan müşteri verilerine erişmek için kullandı.
HaveIBeenPwned, sızdırılan Zara veri setinin, iddiaya göre yaklaşık 95 milyon destek bileti kaydını içerdiği iddia edilen çok daha büyük bir yayının parçası olduğunu söyledi.
Inditex, yetkisiz erişimi keşfettikten sonra hemen güvenlik protokollerini etkinleştirdiğini ve ilgili yetkililere bildirdiğini belirtti. Şirket ayrıca olay sırasında iş operasyonlarının ve müşteriyle yüzlü sistemlerin aksaka gitmediğini belirtti.
Saldırı, Zara’yı son yıllarda ShinyHunters tarafından hedef alındığı iddia edilen büyük markalar listesine ekliyor. Grup, büyük hacimlerde kurumsal ve müşteri verilerine erişmek için bulut hizmetleri, analiz platformları ve üçüncü taraf entegrasyonlarına defalarca odaklandı.