Испанският моден гигант Zara е станал жертва на мащабен пробив в данните, при който са компрометирани записи на над 197 000 клиенти. Информацията беше потвърдена от услугата Have I Been Pwned, след анализ на публикуваните откраднати файлове.

Инцидентът отново насочва вниманието към растящата вълна от атаки срещу SaaS платформи, cloud среди и външни доставчици на услуги, които все по-често се превръщат в слабото звено на глобалните компании.

Пробивът идва през бивш технологичен доставчик

Компанията майка на Zara – Inditex – вече потвърди, че компрометираните бази данни са били хоствани от бивш технологичен партньор.

Според официалната позиция атакуващите не са получили достъп до:

• имена на клиенти;
• телефонни номера;
• адреси;
• пароли;
• банкови карти и платежни данни.

Компанията твърди още, че основните ѝ системи и операции не са били засегнати.

Въпреки това анализът на Have I Been Pwned показва, че изтеклата информация включва:

• 197 400 уникални имейл адреса;
• продуктови SKU идентификатори;
• order IDs;
• географски пазари;
• customer support тикети.

ShinyHunters поема отговорност

Зад атаката стои добре познатата група за изнудване ShinyHunters, която публикува 140 GB архив с предполагаемо откраднати документи.

По информация на групата данните са били извлечени от BigQuery среди чрез компрометирани authentication tokens на Anodot.

Интересното е, че самите ShinyHunters твърдят, че са били засечени и блокирани от ИИ-базирани механизми за откриване на аномалии при опити за кражба на данни от среди на Salesforce.

Масови атаки срещу SaaS акаунти и SSO системи

През последните месеци групата е свързвана с широкомащабни vishing кампании срещу служители и BPO оператори.

Целта на атаките е била компрометиране на корпоративни SSO акаунти и достъп до cloud приложения чрез платформи като:

• Microsoft Entra;
• Okta;
• Google SSO.

След проникването атакуващите са се опитвали да достигнат до свързани SaaS услуги, включително:

• Salesforce;
• SAP;
• Slack;
• Adobe;
• Atlassian;
• Zendesk;
• Dropbox;
• Microsoft 365;
• Google Workspace.

ShinyHunters продължава серията от шумни пробиви

Групата е свързвана с редица високопрофилни инциденти през последните години, включително срещу:

• Cisco;
• Vimeo;
• Udemy;
• Rockstar Games;
• Европейска комисия;
• Carnival;
• Medtronic;
• ADT.

Наскоро групата атакува и Instructure два пъти, като при втория инцидент използва уязвимост за дефейсване на login порталите на Canvas в приблизително 330 университета и колежа.

Модната индустрия остава привлекателна цел

Инцидентът със Zara идва само месеци след като друг испански моден гигант – MANGO – също предупреди за пробив в данните след компрометиране на външен маркетингов доставчик.

Тези случаи показват колко уязвими остават глобалните retail и fashion компании към supply chain атаки и компрометиране на външни SaaS партньори.

Особено тревожна е тенденцията киберпрестъпните групи да използват не директни атаки срещу основната инфраструктура, а кражба на токени, SSO сесии и cloud идентичности – подход, който често позволява заобикаляне на традиционните защитни механизми.