这些信息单独看未必“致命”,但组合起来很有价值。比如一封声称来自 Zara 的邮件,如果能准确写出某个订单、商品或售后问题,就更像真实通知。Cloaked 的分析也提醒,即便没有密码和银行卡号,泄露细节仍可能被用于钓鱼和账户接管尝试。
Inditex 据称表示,密码和支付卡信息没有被访问。 Daily.dev 的摘要还称,姓名、电话号码、地址、凭据和支付数据未受影响;不过,这一点仍应与另一个现实一起看:Inditex 尚未公开完整的技术复盘和细节说明。
随后,多家安全报道将事件与勒索组织 ShinyHunters 联系起来。BleepingComputer 报道称,ShinyHunters 宣称对此负责,并称其泄露的数据来自 BigQuery 实例,访问方式是使用被盗的 Anodot 身份验证令牌。 其他报道也把 Anodot 这家分析服务提供商列为疑似第三方入口,称攻击者借此触达下游客户数据。
换句话说,已报道的路径并不是“直接黑进 Zara 结账页面”,而更像是:攻击者获取或滥用第三方有效令牌,再进入相连的云端数据环境,导出其中保存的数据。这也与 Inditex 所说的“事件源自前供应商,而非 Inditex 自身基础设施内部”相吻合。
同时,ShinyHunters 的具体入侵方式有一部分来自威胁行为者自己的说法和二手安全报道。因此,“被盗 Anodot 令牌进入 BigQuery”应被视为目前最主要的公开报道版本,而不是已经由 Inditex 完整确认的最终技术结论。
关于数据包规模,报道也存在差异:BleepingComputer 和 Daily.dev 提到 140GB 数据包,而 Cork Safety Alerts 引述 ShinyHunters 的说法称,来自 BigQuery 云实例的数据为 192GB。 对个人用户而言,更有参考价值的仍是 Have I Been Pwned 所列的记录数量:约 197,400 条受影响记录。
如果你怀疑自己的邮箱可能在这批数据中,接下来一段时间要把所有“Zara 相关通知”都多看一眼。不要直接点击邮件或短信里的链接,尤其是声称退款、重新配送、支付失败、优惠奖励或客服处理进度的内容;更稳妥的做法是手动打开 Zara 官网或官方 App 查看。
结论很清楚:Zara 这次外泄的数据范围,按目前报道看窄于密码或支付卡泄露;但这些信息已经足够被用于更精准的诈骗。真正值得警惕的,不只是泄露了什么,还包括一个第三方连接如何让全球零售品牌的客户数据变得可被触达。