Moda perakendecisi Zara, saldırganların üçüncü taraf hizmet sağlayıcısına bağlı sistemlere yetkisiz erişim sağlaması üzerine yaklaşık 197.000 kişiyi etkileyen bir veri ihlali açıkladı.
Olay, Zara’nın ana şirketi Inditex tarafından doğrulandı; ihlalın, birçok uluslararası şirket tarafından kullanılan eski bir teknoloji tedarikçisinin işte olduğu bir siber güvenlik olayından kaynaklandığını belirtti.
İhlal bildirimlerine göre, ortaya çıkan bilgiler arasında isimler, e-posta adresleri, telefon numaraları, posta adresleri ve etkilenen kişilere bağlı doğum tarihleri yer alıyordu. Şirket, olayda şifrelerin ve ödeme kartı bilgilerinin ele geçirilmediğini belirtti.
Inditex, saldırganların harici sağlayıcı tarafından barındırılan müşteri işlemleriyle ilgili bilgileri içeren veritabanlarına eriştiğini söyledi. Şirket, kendi operasyonel sistemlerinin ve çevrimiçi platformlarının doğrudan etkilenmediğini ve olay boyunca işlevsel kaldığını ekledi.
İhlal açıklaması, ShinyHunters siber suç grubunun daha geniş iddiaları arasında gerçekleşti; bu grup, yakın zamanda Zara’yı daha geniş bir sızıntı kampanyasında etkilendiği iddia edilen birçok şirket arasında listeledi. Grup daha sonra Zara, Carnival ve 7-Eleven gibi birçok büyük markadan çalındığını iddia ettiği veri setleri yayımladı.
Şu aşamada, etkilenen 197.000 kişinin ShinyHunters iddialarıyla doğrudan bağlantılı olup olmadığı ya da olayların tamamen bağlantılı olup olmadığı henüz belirsizliğini koruyor. Inditex, ihlali belirli bir tehdit aktörüne atfetmedi.
Şirket, yetkisiz erişimi keşfettikten sonra hemen güvenlik protokollerini etkinleştirdiğini ve ilgili yetkililere bildirdiğini belirtti.
Finansal bilgilerin açığa çıkarılmadığı bildirilse de, siber güvenlik uzmanları, sızdırılan kişisel bilgilerin hâlâ oltalama saldırıları, kimlik dolandırıcılığı ve hedefli dolandırıcılıklar için değerli olabileceği konusunda uyarıda bulunuyor. Saldırganlar, ikna edici taklit girişimleri oluşturmak için sık sık isim, e-posta adresi, telefon numarası ve doğum tarihleri kombinasyonlarını kullanır.
İhlal ayrıca, üçüncü taraf tedarikçiler ve dış kaynak teknoloji sağlayıcılarına bağlı artan siber güvenlik risklerini de gözler önüne seriyor. Bir şirketin kendi altyapısı doğrudan ele geçirilmese bile, saldırganlar giderek tedarikçileri ve yüklenicileri daha büyük organizasyonlara dolaylı giriş noktaları olarak hedef alır.
Inditex, Zara’nın ötesinde Bershka, Pull&Bear, Stradivarius ve Massimo Dutti gibi birçok küresel moda markasını işletmektedir. Şirket, olayda ek markaların müşterilerinin etkilenip etkilenmediğini doğrulamadı.