Zara-Datenleck: Was offengelegt wurde und warum Phishing jetzt das größte Risiko ist

Wichtig ist die Einordnung: Der Fall sieht nach aktueller Datenlage nicht wie ein klassischer Diebstahl von Passwörtern oder Kreditkartendaten aus. Inditex erklärte, dass Passwörter und Zahlungskartendaten nicht betroffen gewesen seien. ^[4] Harmlos ist das trotzdem nicht. Schon E-Mail-Adresse, Bestellkontext und Supportdaten können reichen, um Betrugsnachrichten sehr glaubwürdig wirken zu lassen. ^[4][7][10]

Welche Zara-Daten waren betroffen?

Have I Been Pwned listete den Zara-Vorfall mit mehr als 197.000 betroffenen Personen; mehrere Berichte nennen konkret 197.400 Einträge. ^[4][5][10] Zu den gemeldeten Datenfeldern gehören:

• E-Mail-Adressen. ^[5][10]
• Angaben zum geografischen Markt oder Standortbezug. ^[7][10]
• Kauf- und Bestellinformationen, darunter in einzelnen Berichten Order-IDs, Produkte oder SKUs. ^[7][8][10]
• Daten aus Support-Tickets. ^[7][8][10]

Genau diese Mischung macht den Vorfall unangenehm. Eine Phishing-Mail, die nur allgemein „Ihr Paket wartet“ behauptet, ist leichter zu erkennen. Eine Nachricht, die scheinbar zu einer echten Bestellung, einem Markt, einem Produkt oder einem Supportfall passt, kann deutlich überzeugender aussehen. Cloaked warnte deshalb, dass die geleakten Details auch ohne Passwörter oder Kartennummern für Phishing und Versuche zur Kontoübernahme genutzt werden könnten. ^[4]

Was war offenbar nicht betroffen?

Inditex zufolge wurden Passwörter und Zahlungskartendaten nicht abgerufen. ^[4] Daily.dev fasste außerdem zusammen, dass Namen, Telefonnummern, Adressen, Zugangsdaten und Zahlungsdaten nicht kompromittiert worden seien. ^[10]

Diese Entwarnung hat aber Grenzen: Inditex und Zara haben bisher keinen vollständigen technischen Bericht veröffentlicht, und auch eine vollständige offizielle Zahl der Betroffenen wurde laut BleepingComputer nicht offengelegt. ^[5] Für Kundinnen und Kunden heißt das: Nach aktueller Berichterstattung steht nicht der Missbrauch von Kreditkarten im Vordergrund, sondern Social Engineering – also Nachrichten, die etwa eine Zara-Bestellung, Rückerstattung, Lieferstörung oder einen Supportfall vortäuschen. ^[4][7][10]

Wie ShinyHunters angeblich Zugang bekam

Die offizielle Spur führt zunächst nicht in Zaras eigene Kernsysteme. Inditex beschreibt den Vorfall als unbefugten Zugriff auf Datenbanken, die von einem früheren Technologieanbieter beziehungsweise externen Auftragnehmer gehostet wurden. ^[1][4][13]

Danach rückte in Sicherheitsberichten die Erpressergruppe ShinyHunters in den Mittelpunkt. BleepingComputer berichtete, die Gruppe habe Verantwortung reklamiert und ein 140-GB-Archiv geleakt, das angeblich aus BigQuery-Instanzen stamme und über kompromittierte Anodot-Authentifizierungstoken erlangt worden sei. ^[5] Andere Berichte nennen Anodot, einen Analyseanbieter, ebenfalls als mutmaßlichen Drittanbieter-Weg zu nachgelagerten Kundendaten. ^[8][10][11]

Vereinfacht gesagt: Den Berichten zufolge war der Weg nicht „Zara-Shop direkt hacken“, sondern eher der Missbrauch gültiger digitaler Zugangsschlüssel eines Drittanbieters. Mit solchen Tokens sollen die Angreifer Zugriff auf angebundene Cloud-Datenumgebungen erhalten und dort gespeicherte Daten abgezogen haben. Diese Darstellung passt zu Inditex’ Aussage, dass der Vorfall bei einem früheren Provider begann und nicht in den eigenen Systemen. ^[1][4][5]

Was weiterhin unklar ist

Die öffentliche Informationslage ist nicht so vollständig wie ein forensischer Abschlussbericht. BleepingComputer wies darauf hin, dass Inditex und Zara nicht alle Details zum Vorfall veröffentlicht haben, einschließlich einer vollständigen offiziellen Betroffenenzahl. ^[5]

Auch die genaue technische Zugriffsmethode sollte man mit Vorsicht lesen: Sie beruht teilweise auf Aussagen der mutmaßlichen Tätergruppe und auf sekundärer Sicherheitsberichterstattung. Der Anodot-Token-und-BigQuery-Weg ist derzeit die führende berichtete Erklärung, aber kein vollständig offiziell bestätigtes technisches Gutachten. ^[5][8][10]

Selbst bei der Größe des angeblichen Archivs gibt es Abweichungen. BleepingComputer und Daily.dev nennen 140 GB. ^[5][10] Cork Safety Alerts berichtete dagegen von einer ShinyHunters-Behauptung über 192 GB aus BigQuery-Cloud-Instanzen. ^[11] Für einzelne Kundinnen und Kunden ist die praktischere Zahl daher die über Have I Been Pwned berichtete Größenordnung: etwa 197.400 betroffene Einträge. ^[4][5][10]

Was Zara-Kundinnen und -Kunden jetzt tun sollten

Wer befürchtet, dass die eigene E-Mail-Adresse in dem Datensatz gelandet sein könnte, sollte Zara-bezogene Nachrichten vorerst besonders kritisch prüfen. Klicken Sie nicht direkt auf Links in E-Mails oder SMS zu angeblichen Rückerstattungen, Lieferproblemen, Zahlungsfehlern, Bonusaktionen oder Support-Tickets. Öffnen Sie stattdessen die offizielle Zara-Website oder App selbst.

Eine massenhafte Kartensperrung ist nach den derzeit bekannten Fakten nicht der naheliegende erste Schritt, weil Passwörter und Zahlungskartendaten laut aktueller Berichterstattung nicht betroffen waren. ^[4][10] Sinnvoll ist aber: Wiederverwendete Passwörter ändern, verdächtige Login- oder Bestellhinweise ernst nehmen und – wo verfügbar – zusätzliche Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung aktivieren.

Warum der Fall über Zara hinaus wichtig ist

Der Vorfall zeigt, warum Datenverbindungen zu Analyseanbietern und Cloud-Datenbanken auch dann ein Risiko bleiben, wenn ein Händler sagt, die eigenen Kernsysteme seien nicht direkt kompromittiert worden. ^[1][4][13] Für Sicherheitsteams ist der berichtete Pfad ein bekanntes Warnsignal: ehemalige Dienstleisterzugänge konsequent abschalten, Tokens regelmäßig rotieren, Rechte in Cloud-Datenbanken eng begrenzen und ungewöhnliche Datenexporte überwachen. ^[5][8][10]

Die Kurzfassung: Das Zara-Datenleck wirkt nach aktuellem Stand schmaler als ein Passwort- oder Zahlungskartenbruch. Aber die offengelegten Informationen sind persönlich genug, um sie für glaubwürdige Betrugsversuche zu nutzen – und der mutmaßliche Drittanbieter-Zugang zeigt, wie weit Kundendaten über externe Daten- und Analyseketten erreichbar werden können. ^[4][5][10]