A spanyol fast fashion kiskereskedelmi vállalat, a Zara adatbázisaihoz jogosulatlanul hozzáférő támadók több mint 197 000 ügyfél adatait szerezhették meg a Have I Been Pwned adatbázis szerint.

A Zara világszerte több mint 1500 saját üzemeltetésű és franchise üzlettel rendelkezik, és az Inditex csoport egyik meghatározó márkája. Az Inditex a világ egyik legnagyobb divatkereskedelmi vállalata, amely többek között a Bershka, a Zara Home, az Oysho, a Pull&Bear, a Massimo Dutti, a Stradivarius és az Uterqüe márkák tulajdonosa.

Az Inditex szerint a kompromittált adatbázisokat egy korábbi technológiai szolgáltató üzemeltette, és azok különböző piacokon működő ügyfélkapcsolati információkat tartalmaztak. A vállalat hangsúlyozta, hogy a támadók nem fértek hozzá az érintett ügyfelek személyes adataihoz (név, telefonszám, lakcím, bejelentkezési adatok, fizetési információk, bankkártya-adatok). Az incidens a vállalat működését és belső rendszereit nem érintette.

Bár az Inditex és a Zara nem hozott nyilvánosságra további részleteket, a ShinyHunters nevű zsarolócsoport magára vállalta a támadást. A csoport állítása szerint egy 140 GB méretű archívumot is nyilvánosságra hozott (1. ábra), amely BigQuery-rendszerekből származó dokumentumokat tartalmazott.

A Have I Been Pwned elemzése alapján az incidens mintegy 197 400 személy adatait érintette. Az adatok között e-mail-címek, földrajzi információk, vásárlási adatok és ügyfélszolgálati jegyek szerepeltek.

A támadók korábban azt nyilatkozták, hogy több tucat vállalat rendszereiből szereztek adatokat Anodot-hitelesítési tokenek használatával. Állításuk szerint egyes esetekben mesterséges intelligencián alapuló védelmi rendszerek akadályozták meg, hogy adatokat nyerjenek ki a Salesforce-rendszerekből.

A ShinyHunters nevét egy nagyszabású vishing kampánnyal is összefüggésbe hozták, amely vállalati alkalmazottak és Business Process Outsourcing (BPO) szolgáltatók munkatársainak Microsoft Entra-, Okta- és Google SSO-fiókjait célozta. Az így megszerzett hozzáféréseken keresztül különböző SaaS-platformok adataihoz próbáltak hozzáférni, többek között a Salesforce, az SAP, a Slack, az Adobe, az Atlassian, a Zendesk, a Dropbox, a Microsoft 365 és a Google Workspace rendszerekben. A csoport az elmúlt időszakban több nagy horderejű incidenst is magára vállalt, köztük a Google, a Cisco, a PornHub, a Match Group, a Vimeo, a Rockstar Games, az ADT, az Európai Bizottság, a McGraw Hill, a Medtronic, a Carnival, a 7-Eleven és az Udemy elleni támadásokat.