Kebocoran Data Zara: Data Apa yang Terbuka dan Bagaimana ShinyHunters Diduga Masuk

Data pribadi apa yang terekspos?

Layanan pemantau kebocoran Have I Been Pwned memasukkan insiden Zara sebagai kebocoran yang berdampak pada lebih dari 197.000 orang, dengan beberapa laporan menyebut angka 197.400 catatan. ^[4][5][10]

Data yang dilaporkan terekspos mencakup:

• Alamat email. ^[5][10]
• Data pasar geografis atau informasi terkait lokasi. ^[7][10]
• Informasi pembelian dan pesanan, termasuk ID pesanan, produk, atau SKU dalam sebagian laporan. ^[7][8][10]
• Data tiket dukungan pelanggan. ^[7][8][10]

Kombinasi data seperti ini berbahaya bukan karena memberi akses langsung ke kartu pembayaran, melainkan karena bisa membuat pesan palsu terasa sangat nyata. Penipu, misalnya, dapat merujuk email yang benar, pasar atau wilayah pelanggan, pesanan tertentu, produk yang pernah dibeli, atau riwayat kontak dengan dukungan pelanggan. Cloaked memperingatkan bahwa detail semacam ini tetap dapat memicu phishing dan upaya pengambilalihan akun meski tanpa kata sandi atau nomor kartu. ^[4]

Apa yang dilaporkan tidak ikut diakses?

Inditex dilaporkan mengatakan bahwa kata sandi dan informasi kartu pembayaran tidak diakses. ^[4] Ringkasan Daily.dev juga menyebut nama, nomor telepon, alamat, kredensial, dan data pembayaran tidak dikompromikan. ^[10]

Meski begitu, informasi tersebut perlu dibaca dengan hati-hati karena Inditex belum merilis uraian teknis lengkap atau laporan forensik publik yang memaparkan seluruh detail insiden. ^[5]

Bagi pelanggan, kesimpulan praktisnya: berdasarkan laporan yang tersedia, insiden ini tidak tampak seperti kebocoran kartu pembayaran. Risiko yang lebih dekat adalah rekayasa sosial, yaitu email atau pesan yang berpura-pura terkait pesanan Zara, refund, kendala pengiriman, pembayaran gagal, hadiah loyalitas, atau tiket bantuan. ^[4][7][10]

Bagaimana ShinyHunters diduga mendapatkan akses?

Penjelasan resmi Inditex mengarah ke luar infrastruktur inti Zara: akses tidak sah dikaitkan dengan basis data yang di-host oleh mantan penyedia teknologi atau kontraktor eksternal. ^[1][4][13]

Laporan keamanan kemudian menghubungkan insiden ini dengan ShinyHunters, kelompok pemerasan siber yang dikenal memublikasikan atau mengancam memublikasikan data curian. BleepingComputer melaporkan bahwa kelompok tersebut mengklaim bertanggung jawab dan membocorkan arsip 140 GB yang diduga diambil dari instance BigQuery menggunakan token autentikasi Anodot yang telah dikompromikan. ^[5] Laporan lain juga menyebut Anodot, penyedia analitik, sebagai jalur pihak ketiga yang diduga membuka akses ke data pelanggan hilir. ^[8][10][11]

Sederhananya, jalur yang dilaporkan bukan seperti membobol halaman checkout Zara. Polanya lebih dekat ke skenario ini: pelaku memperoleh atau mengompromikan token autentikasi pihak ketiga, memakai token itu untuk masuk ke lingkungan data cloud yang terhubung, lalu menyalin data yang tersimpan di sana. Penjelasan ini sejalan dengan pernyataan Inditex bahwa insiden bermula dari mantan penyedia, bukan dari sistem internal Inditex sendiri. ^[1][4][5]

Apa yang masih belum pasti?

Catatan publik soal insiden ini belum selengkap laporan forensik resmi. BleepingComputer mencatat bahwa Inditex dan Zara belum mengungkap seluruh detail kejadian, termasuk jumlah resmi lengkap orang yang terdampak. ^[5]

Metode akses ShinyHunters juga sebagian masih bertumpu pada klaim pelaku ancaman dan laporan keamanan sekunder. Karena itu, penjelasan soal token Anodot dan BigQuery sebaiknya dipahami sebagai skenario utama yang dilaporkan, bukan sebagai temuan teknis yang sudah sepenuhnya dikonfirmasi lewat postmortem resmi. ^[5][8][10]

Ada pula perbedaan laporan soal ukuran arsip yang diklaim dicuri: BleepingComputer dan Daily.dev menyebut 140 GB, sedangkan Cork Safety Alerts mengutip klaim ShinyHunters sebesar 192 GB dari instance cloud BigQuery. ^[5][10][11] Untuk pelanggan individu, angka yang lebih relevan adalah jumlah catatan yang dilaporkan oleh Have I Been Pwned: sekitar 197.400 entri terdampak. ^[4][5][10]

Apa yang sebaiknya dilakukan pelanggan Zara?

Jika alamat email Anda mungkin masuk dalam dataset tersebut, perlakukan pesan terkait Zara dengan ekstra hati-hati. Jangan langsung mengeklik tautan di email atau SMS yang menyebut refund, kendala pengiriman, pembayaran gagal, poin loyalitas, atau tiket layanan pelanggan. Lebih aman buka situs atau aplikasi resmi Zara secara langsung.

Karena laporan saat ini menyebut kata sandi dan data kartu pembayaran tidak diakses, mengganti kartu secara massal bukan langkah pertama yang paling jelas berdasarkan fakta yang diketahui. ^[4][10] Namun, jika Anda memakai kata sandi yang sama di banyak akun belanja, ubah kata sandi yang digunakan ulang itu. Aktifkan autentikasi multifaktor jika tersedia.

Mengapa kasus ini penting di luar Zara?

Insiden ini menunjukkan bahwa koneksi analitik pihak ketiga dan gudang data cloud dapat membuat data pelanggan terekspos, bahkan ketika peritel mengatakan sistem intinya tidak dibobol langsung. ^[1][4][13]

Bagi tim keamanan, pola yang dilaporkan—token autentikasi dan akses ke lingkungan data cloud—mengingatkan pada kontrol dasar yang sering menentukan: mencabut akses vendor lama, merotasi token, membatasi izin gudang data, memantau ekspor data yang tidak biasa, dan mengaudit siapa saja yang dapat menjangkau dataset pelanggan. ^[5][8][10]

Intinya, data Zara yang terekspos memang lebih sempit daripada kebocoran kata sandi atau kartu pembayaran. Tetapi data itu tetap cukup personal untuk disalahgunakan. Risiko utamanya bukan hanya apa yang bocor, melainkan bagaimana koneksi pihak ketiga diduga membuat data pelanggan dari merek ritel global bisa dijangkau oleh pelaku ancaman. ^[4][5][10]