Хакеры получили доступ к базам, связанным с Zara, и раскрыли данные 197,4 тыс. человек. По данным сервиса уведомлений об утечках Have I Been Pwned, в массиве были email-адреса, сведения о покупках и обращениях в поддержку, но не пароли и банковские карты.
Инцидент важен не только для покупателей Zara. Он показывает, как слабое звено у подрядчика превращается в проблему для крупных брендов и их клиентов: данных из службы поддержки хватает для точечного фишинга (от англ. phishing — выуживание) и убедительных писем от имени магазина.
Что именно утекло
Have I Been Pwned проанализировал украденные данные и сообщил о 197,4 тыс. уникальных email-адресов. Вместе с ними в базе оказались географические сведения, покупки, обращения в поддержку, товарные артикулы, номера заказов и рынок, откуда пришёл запрос клиента.
Inditex, владелец Zara, ранее заявил, что злоумышленники не получили имена клиентов, номера телефонов, адреса, пароли и платёжные данные, включая банковские карты. Компания также утверждает, что атака не затронула её собственные операции и рабочие системы.
Zara — флагманский бренд Inditex, одной из крупнейших групп модной розницы в мире. У компании более 1 500 собственных и франчайзинговых магазинов, а также несколько известных брендов одежды и товаров для дома.
Откуда взялась проблема
По версии Inditex, скомпрометированные базы хранились у бывшего технологического подрядчика. В них были сведения о деловых отношениях с клиентами на разных рынках. Название подрядчика компания не раскрыла.
Inditex сообщил, что сразу запустил свои протоколы безопасности и уведомил профильные органы о несанкционированном доступе. В заявлении также говорится, что инцидент у бывшего провайдера затронул несколько международных компаний.
Такая схема встречается всё чаще: бизнес передаёт подрядчикам аналитику, маркетинг, поддержку или хранение части данных, а затем годами зависит от их настроек доступа. Если старые токены и ключи не отзывают вовремя, они превращаются в запасной вход в корпоративные данные. Похожую логику риска мы разбирали в материале о том, как уязвимость Ollama грозит утечкой ключей API и переписок.
Кто заявил об атаке
Ответственность за взлом взяла на себя группировка ShinyHunters. Она заявила, что выложила архив объёмом 140 ГБ с документами, якобы похищенными из экземпляров BigQuery — облачного хранилища для аналитических данных. По утверждению злоумышленников, доступ шёл через скомпрометированные токены аутентификации Anodot.
BleepingComputer пишет, что та же группа ранее рассказывала о краже данных у десятков компаний через такие токены. По словам самих злоумышленников, часть попыток в других системах заблокировали средства обнаружения на базе ИИ.
ShinyHunters также связывают с массовыми атаками через вишинг (от англ. voice phishing — голосовое выуживание). В таких схемах преступники звонят сотрудникам или подрядчикам, убеждают их пройти ложную проверку и получают доступ к корпоративным системам единого входа. После этого они забирают данные из подключённых облачных приложений.
Чем рискуют покупатели
Если в утечке нет паролей и карт, это снижает прямой финансовый риск. Но email, номер заказа, товарный артикул и текст обращения в поддержку дают мошенникам хороший сценарий для обмана.
Например, клиенту могут написать от имени магазина: «по вашему заказу нужна доплата», «доставка задержана, подтвердите адрес», «служба поддержки обновила обращение». Чем больше деталей в письме совпадает с реальной покупкой, тем выше шанс, что человек перейдёт по вредной ссылке или введёт код из SMS.
Опасность растёт, когда человек в спешке ищет решение бытовой проблемы и кликает по первому результату. Запросы вроде «почему не работает мобильный интернет» или «discord login web» часто приводят к рекламным страницам и копиям популярных сервисов; после утечек мошенники могут точнее подстраивать такие ловушки под привычки жертвы.
Для компаний урок ещё жёстче: защищать нужно не только свою сеть, но и цепочку подрядчиков. Один старый токен доступа может стоить дороже, чем сбой в основном магазине. О том, как один клик сотрудника запускает корпоративный взлом, мы писали в разборе про ИИ-фишинг и первую жертву внутри компании.
Почему подрядчики остаются слабым местом
Крупные бренды редко хранят все данные в одном месте. Поддержка клиентов, маркетинговые рассылки, аналитика продаж и облачные витрины часто живут у разных поставщиков. Это удобно для бизнеса, но усложняет контроль доступа.
Главная проблема — срок жизни ключей, токенов и учётных записей. Подрядчик закончил работу, команда перешла на новый сервис, проект закрыли, а технический доступ остался. Через месяцы или годы его находят злоумышленники.
Вторая проблема — избыточные права. Аналитическому инструменту часто хватает обезличенной статистики, но на практике ему дают доступ к заказам, email и тикетам поддержки. Когда такой инструмент взламывают, наружу уходят не графики, а персональные данные клиентов.
Покупатель не может проверить внутреннюю архитектуру Zara или её подрядчиков. Зато он может снизить ущерб: отделить почту для покупок от основной, не хранить лишние карты в магазинах, включить уведомления банка и не доверять письмам, где просят срочно перейти по ссылке.
Что сделать сейчас
- Проверьте, не приходили ли вам письма от имени Zara или службы доставки с просьбой подтвердить заказ, оплату или адрес. Не переходите по ссылкам из таких писем — зайдите в личный кабинет вручную через официальный сайт или приложение.
- Если вы использовали один и тот же пароль в магазине и на других сайтах, смените его везде. Для каждого сервиса нужен отдельный пароль.
- Включите двухфакторную защиту там, где она доступна: почта, банк, маркетплейсы, аккаунты доставки.
- Не сообщайте коды из SMS и push-уведомлений сотрудникам поддержки. Настоящей поддержке они не нужны.
- Заведите отдельный email для интернет-магазинов и скидочных программ. Так проще заметить подозрительные письма на основной почте.
- В публичных сетях — кафе, аэропортах, гостиницах — используйте сервис безопасного интернет-соединения, чтобы защитить трафик и приватность данных.
- Не устанавливайте расширения и программы по случайным советам из поиска, даже если запрос выглядит безобидно — например, «как ускорить ютуб в google chrome». Под видом ускорителей часто продвигают сборщики данных.
- Настройте уведомления о списаниях по карте и заведите отдельную карту для онлайн-покупок с небольшим лимитом.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.