Pelanggaran data Zara mengungkap informasi pribadi 197.000 orang

Peretas yang memperoleh akses ke database pengecer mode cepat Spanyol Zara mencuri data milik lebih dari 197.000 pelanggan, menurut layanan pemberitahuan pelanggaran data Have I Been Pwned.

Zara memiliki lebih dari 1.500 toko yang dikelola perusahaan dan waralaba di seluruh dunia dan merupakan merek unggulan dari Inditex Group, salah satu grup distribusi fesyen terbesar di dunia, yang juga memiliki Bershka, Zara Home, Oysho, Pull&Bear, Massimo Dutti, Stradivarius, dan Uterqüe.

Seperti yang dinyatakan Inditex bulan lalu, ketika pelanggaran data dilaporkan secara luas, basis data yang disusupi dihosting oleh mantan penyedia teknologi dan berisi informasi tentang hubungan bisnis dengan pelanggan di pasar yang berbeda.

Namun, Inditex mencatat bahwa penyerang tidak mendapatkan akses ke nama, nomor telepon, alamat, kredensial, atau informasi pembayaran pelanggan yang terpengaruh (seperti kartu bank).

Ia juga menambahkan bahwa operasi dan sistemnya tidak terpengaruh, namun belum mengaitkan pelanggaran tersebut dengan aktor ancaman tertentu dan belum menyebutkan nama penyedia yang diretas.

“Inditex segera menerapkan protokol keamanannya dan mulai memberi tahu otoritas terkait mengenai akses tidak sah ini, yang berasal dari insiden keamanan yang memengaruhi mantan penyedia teknologi dan berdampak pada beberapa perusahaan yang beroperasi secara internasional,” kata Inditex.

​Meskipun Inditex dan Zara belum mengungkapkan rincian lebih lanjut mengenai insiden tersebut, termasuk jumlah total individu yang terkena dampak, geng pemerasan ShinyHunters telah mengaku bertanggung jawab atas pelanggaran tersebut dan membocorkan arsip berukuran 140 GB yang berisi dokumen yang diduga dicuri dari instance BigQuery menggunakan token autentikasi Anodot yang telah disusupi.

Apakah Saya Telah Pwned menganalisis data yang dicuri dan hari ini mengatakan bahwa terjadi pelanggaran data memaparkan data 197.400 orangtermasuk alamat email unik, lokasi geografis, pembelian, dan tiket dukungan. “Data tersebut berisi 197 ribu alamat email unik bersama SKU produk, ID pesanan, dan pasar asal tiket dukungan,” kata Have I Been Pwned.

Sebelumnya, geng kejahatan dunia maya mengatakan kepada BleepingComputer bahwa mereka telah mencuri data dari lusinan perusahaan menggunakan token autentikasi Anodot, menambahkan bahwa mereka diblokir oleh deteksi berbasis AI ketika mencoba mencuri data dari instance Salesforce.

Grup ini juga telah dikaitkan dengan a kampanye vishing yang meluas menargetkan akun Microsoft Entra, Okta, dan Google SSO milik karyawan dan agen Business Process Outsourcing (BPO) untuk mencuri data dari aplikasi SaaS yang terhubung (termasuk Salesforce, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, Microsoft 365, Google Workspace, dan lainnya) setelah membobol akun SSO perusahaan.

Pelanggaran lain yang diklaim oleh ShinyHunters dalam beberapa bulan terakhir termasuk Google, Cisco, Hub Porno, raksasa kencan online Match Group, layanan video Vimeo, Permainan Bintang Rock, raksasa keamanan rumah ADTitu Komisi Eropa, raksasa teknologi pendidikan McGraw Hill, pembuat perangkat medis Medtronicoperator jalur pelayaran Karnaval, jaringan toko serba ada 7-Eleven, dan perusahaan pelatihan online Udemy.

Baru-baru ini, ShinyHunters meretas raksasa teknologi pendidikan Instruktur dua kaliyang kedua kalinya mengeksploitasi kerentanan keamanan untuk merusak portal masuk Canvas di sekitar 330 perguruan tinggi dan universitas dan mengancam akan membocorkan data yang dicuri dalam pelanggaran Instruktur sebelumnya kecuali uang tebusan dibayarkan.

MANGO, raksasa pengecer fesyen Spanyol lainnya, juga mengirimkan pemberitahuan pelanggaran data kepada pelanggannya pada bulan Oktober, memperingatkan mereka bahwa data pribadi yang digunakan dalam kampanye pemasaran telah disusupi setelah vendor pemasarannya diretas. Namun, tidak ada kelompok ransomware atau pemerasan yang mengklaim insiden MANGO, sehingga penyerangnya masih belum diketahui.