Các trường dữ liệu được báo cáo là có trong tập dữ liệu gồm:
Vì sao điều này đáng lo? Một email lừa đảo sẽ dễ khiến người nhận tin hơn nếu nó nhắc đúng địa chỉ email, thị trường mua sắm, đơn hàng, sản phẩm hoặc một yêu cầu hỗ trợ từng có thật. Cloaked cảnh báo rằng những chi tiết bị rò rỉ vẫn có thể bị dùng cho phishing và các nỗ lực chiếm đoạt tài khoản, ngay cả khi không có mật khẩu hay số thẻ.
Theo các báo cáo, Inditex nói mật khẩu và thông tin thẻ thanh toán không bị truy cập. Bản tóm tắt của Daily.dev cũng cho biết tên, số điện thoại, địa chỉ, thông tin đăng nhập và dữ liệu thanh toán không bị xâm phạm; tuy nhiên, cần đọc thông tin này cùng với lưu ý rằng Inditex chưa công bố một bản phân tích kỹ thuật đầy đủ về sự cố.
Với khách hàng, kết luận thực tế là: dựa trên thông tin hiện có, đây không giống một vụ lộ dữ liệu thẻ thanh toán. Rủi ro gần hơn nằm ở kỹ thuật xã hội — ví dụ email hoặc tin nhắn giả mạo về đơn hàng Zara, hoàn tiền, giao hàng lỗi, thanh toán thất bại hoặc hồ sơ hỗ trợ.
Tường thuật được Inditex xác nhận chỉ ra rằng điểm phát sinh nằm bên ngoài hạ tầng trực tiếp của Zara: truy cập trái phép liên quan đến các cơ sở dữ liệu do một nhà cung cấp công nghệ cũ hoặc nhà thầu bên ngoài lưu trữ.
Sau đó, các báo cáo an ninh mạng liên hệ vụ việc với ShinyHunters. BleepingComputer cho biết nhóm tống tiền này nhận trách nhiệm và nói đã rò rỉ dữ liệu được cho là lấy từ các phiên bản BigQuery bằng token xác thực Anodot bị xâm phạm. Các báo cáo khác cũng nêu Anodot, một nhà cung cấp phân tích dữ liệu, là tuyến bên thứ ba được cho là đã dẫn tới dữ liệu khách hàng của các công ty sử dụng dịch vụ phía sau.
Nói dễ hiểu, kịch bản được báo cáo không phải là “hack trang thanh toán của Zara”. Nó giống hơn với chuỗi: chiếm được hoặc có được token xác thực hợp lệ của bên thứ ba, dùng token đó để truy cập môi trường dữ liệu đám mây có kết nối, rồi trích xuất dữ liệu được lưu ở đó. Cách hiểu này phù hợp với tuyên bố của Inditex rằng sự cố bắt nguồn từ một nhà cung cấp cũ, chứ không phải từ bên trong hệ thống của Inditex.
Thông tin công khai hiện chưa đầy đủ như một báo cáo điều tra pháp y số chính thức. BleepingComputer lưu ý rằng Inditex và Zara chưa tiết lộ toàn bộ chi tiết sự cố, bao gồm cả tổng số người bị ảnh hưởng theo xác nhận chính thức.
Phương thức truy cập cụ thể của ShinyHunters cũng dựa một phần vào tuyên bố của chính nhóm đe dọa và các báo cáo an ninh thứ cấp. Vì vậy, nên xem đây là lời giải thích đang được báo cáo nhiều nhất, không phải một kết luận kỹ thuật đã được Inditex công bố đầy đủ.
Các báo cáo cũng không thống nhất về dung lượng kho dữ liệu mà ShinyHunters tuyên bố có được: BleepingComputer và Daily.dev nêu con số 140GB, trong khi Cork Safety Alerts dẫn tuyên bố của ShinyHunters là 192GB dữ liệu từ các phiên bản BigQuery trên đám mây. Với từng khách hàng, con số hữu ích hơn là số bản ghi được Have I Been Pwned ghi nhận: khoảng 197.400 mục bị ảnh hưởng.
Nếu địa chỉ email của bạn có thể nằm trong tập dữ liệu, hãy thận trọng với mọi tin nhắn tự xưng là từ Zara hoặc liên quan đến Zara. Đừng bấm vào liên kết trong email hay tin nhắn về hoàn tiền, trục trặc giao hàng, lỗi thanh toán, ưu đãi thành viên hoặc phiếu hỗ trợ. Cách an toàn hơn là tự mở trang web hoặc ứng dụng chính thức của Zara.
Vì các báo cáo hiện tại nói mật khẩu và dữ liệu thẻ thanh toán không bị truy cập, việc thay thẻ hàng loạt không phải bước đầu tiên rõ ràng dựa trên các dữ kiện đã biết. Dù vậy, nếu từng dùng lại cùng một mật khẩu cho nhiều tài khoản mua sắm, hãy đổi mật khẩu đó; nếu dịch vụ hỗ trợ xác thực đa yếu tố, hãy bật tính năng này.
Sự cố cho thấy các kết nối phân tích dữ liệu và kho dữ liệu đám mây qua bên thứ ba vẫn có thể làm lộ dữ liệu khách hàng, ngay cả khi nhà bán lẻ nói hệ thống lõi của mình không bị xâm nhập trực tiếp.
Với các nhóm bảo mật, đường đi được báo cáo — token xác thực và kho dữ liệu — nhắc lại những biện pháp quen thuộc nhưng quan trọng: thu hồi quyền truy cập của nhà cung cấp cũ, xoay vòng token xác thực, giới hạn quyền trên kho dữ liệu đám mây, giám sát các hoạt động xuất dữ liệu bất thường và kiểm toán ai có thể truy cập tập dữ liệu khách hàng.
Tóm lại: dữ liệu Zara bị lộ có phạm vi hẹp hơn một vụ lộ mật khẩu hoặc thẻ thanh toán, nhưng vẫn đủ “cá nhân” để bị lợi dụng. Rủi ro không chỉ nằm ở những gì đã bị lộ, mà còn ở cách một kết nối bên thứ ba được cho là đã khiến dữ liệu khách hàng của một thương hiệu bán lẻ toàn cầu trở nên có thể bị truy cập.