Утечка данных Zara: какие данные раскрыты и как ShinyHunters могли получить доступ

Have I Been Pwned указал, что инцидент с Zara затронул более 197 000 человек; в ряде сообщений фигурирует число 197 400 записей. По опубликованным данным, в утечке могли быть:

• email-адреса клиентов;
• данные о географическом рынке или связанной с ним локации;
• сведения о покупках и заказах, включая ID заказов, товары или SKU в отдельных сообщениях;
• данные обращений в службу поддержки.

На первый взгляд это не самый «тяжёлый» набор персональных данных. Но в связке он становится опаснее: злоумышленник может написать письмо на реальный email, упомянуть рынок, заказ, товар или обращение в поддержку и тем самым повысить доверие к фишинговому сообщению. Cloaked предупреждал, что такие детали могут использоваться для фишинга и попыток захвата аккаунтов даже без паролей и номеров карт.

Что, по сообщениям, не было затронуто

Inditex, как сообщалось, заявляла, что пароли и данные платёжных карт не были доступны злоумышленникам. В сводных сообщениях также говорилось, что не были скомпрометированы имена, номера телефонов, адреса, учётные данные и платёжная информация, но это стоит читать с важной оговоркой: Inditex не публиковала полный технический разбор инцидента.

Для клиентов практический вывод такой: на основе текущих данных это не выглядит как утечка банковских карт. Более вероятный риск — социальная инженерия, то есть письма или сообщения, которые притворяются уведомлениями Zara о заказе, возврате, доставке, ошибке оплаты или тикете поддержки.

Как ShinyHunters, предположительно, получили доступ

Подтверждённая Inditex картина указывает не на внутреннюю инфраструктуру Zara, а на внешний контур: несанкционированный доступ был связан с базами данных, размещёнными у бывшего технологического провайдера или внешнего подрядчика.

Дальше к инциденту подключились сообщения ИБ-изданий о ShinyHunters. BleepingComputer сообщил, что вымогательская группа взяла на себя ответственность и заявила о публикации архива объёмом 140 ГБ, якобы полученного из BigQuery-инстансов с использованием скомпрометированных токенов аутентификации Anodot. Другие сообщения также называют Anodot, провайдера аналитики, предполагаемым сторонним маршрутом к данным клиентов.

Проще говоря, описанный сценарий выглядит не как «взломали страницу оплаты Zara». Он ближе к цепочке: получить или скомпрометировать действующие токены стороннего сервиса, использовать их для доступа к связанным облачным средам с данными и выгрузить информацию оттуда. Это совпадает с заявлением Inditex о том, что инцидент возник у бывшего провайдера, а не внутри собственных систем Inditex.

Что пока остаётся неясным

Публичная картина всё ещё неполная. BleepingComputer отмечал, что Inditex и Zara не раскрыли все детали инцидента, включая полный официальный подсчёт затронутых людей. Техническое объяснение доступа ShinyHunters также частично опирается на заявления самих злоумышленников и сообщения профильных изданий, поэтому его корректнее считать ведущей публичной версией, а не полностью подтверждённым итогом форензики.

Есть расхождения и по размеру заявленного архива: BleepingComputer и Daily.dev указывали 140 ГБ, тогда как Cork Safety Alerts приводил заявление ShinyHunters о 192 ГБ данных из облачных инстансов BigQuery. Для обычного клиента более полезный ориентир — не размер архива, а число записей, указанное через Have I Been Pwned: около 197 400.

Что делать клиентам Zara сейчас

Если ваш email мог оказаться в таком наборе, относитесь к любым неожиданным сообщениям от имени Zara с осторожностью. Не переходите по ссылкам из писем и SMS о возвратах, проблемах с доставкой, сбоях оплаты, бонусах или обращениях в поддержку. Безопаснее открыть официальный сайт или приложение Zara напрямую.

Поскольку по текущим сообщениям пароли и данные платёжных карт не были раскрыты, массовая замена банковских карт не выглядит первым очевидным шагом. Но если вы повторно использовали один и тот же пароль в разных магазинах или сервисах, его стоит заменить. Там, где доступна многофакторная аутентификация, её лучше включить.

Почему это важно не только для Zara

Этот случай показывает, что сторонние аналитические сервисы и облачные подключения могут стать слабым звеном даже тогда, когда ритейлер говорит, что его основные системы напрямую не взламывали. Для команд безопасности в этой истории особенно важны привычные, но критичные меры: вовремя отзывать доступ бывших поставщиков, менять токены, ограничивать права в облачных хранилищах данных, отслеживать необычные выгрузки и регулярно проверять, кто имеет доступ к клиентским наборам.

Итог простой: утечка Zara, судя по текущим данным, уже не похожа на компрометацию паролей или платёжных карт. Но раскрытые сведения всё равно достаточно персональны, чтобы стать топливом для фишинга. Главный урок — не только в том, какие данные утекли, но и в том, как сторонняя интеграция могла сделать данные клиентов глобального бренда достижимыми для злоумышленников.