كيف تمكّنت مجموعة ShinyHunters من الوصول إلى بيانات عملاء زارا؟

استغلّت مجموعة ShinyHunters رموز مصادقة مخترقة مرتبطة بشركة Anodot، وهي مورّد سابق لتحليلات البيانات التابع لطرف ثالث سبق أن عمل مع زارا. ظلّت هذه الرموز صالحة حتى بعد انتهاء علاقة المورّد، مما أتاح للمهاجمين الوصول إلى البيانات من خلال ثغرات في عملية إنهاء التعاقد.

ما البيانات المحددة التي سُرقت في اختراق زارا؟

تشمل البيانات المسروقة نحو 197,000 عنوان بريد إلكتروني فريد خاص بالعملاء إلى جانب معلومات متعلقة بالطلبات. ولم يُؤكَّد تضمّن مجموعة البيانات المكشوفة لكلمات مرور أو أرقام بطاقات دفع.

هل تأثّرت العمليات الأساسية لزارا جرّاء الاختراق؟

أكّدت الشركة الأم Inditex أن العمليات الأساسية لم تتعطل جرّاء الحادث. غير أن تعرّض بيانات العملاء كان حقيقياً على الرغم من استمرار الأنظمة في العمل بشكل طبيعي.

لماذا لا يزال العملاء في خطر رغم عدم سرقة كلمات المرور أو بيانات الدفع؟

تتيح عناوين البريد الإلكتروني مقترنةً بسجل المشتريات للمهاجمين صياغة رسائل تصيد احتيالي شديدة الإقناع تشير إلى طلبات وعلامات تجارية حقيقية، مما يُسهّل خداع المستلمين لدفعهم إلى النقر على روابط خبيثة أو تسليم بيانات اعتماد إضافية.

هل اختراق زارا حادثة معزولة أم جزء من حملة أوسع؟

يندرج اختراق زارا ضمن حملة منسّقة أوسع تشنّها مجموعة ShinyHunters وتستهدف علامات تجارية عالمية متعددة، من بينها كارنيفال و7-Eleven، إذ تدّعي المجموعة الحصول على أكثر من 9 ملايين سجل إجمالي عبر هذه الهجمات.

مجموعة ShinyHunters تسرق 197 ألف بريد إلكتروني من زارا عبر اختراق طرف ثالث

اختراق بيانات زارا المرتبط بمجموعة ShinyHunters هو تذكير آخر بأن معلوماتك الشخصية لا تكون آمنة إلا بقدر أضعف مورّد تعامل معه تاجر التجزئة. في هذا الحادث، ادّعت مجموعة القرصنة ShinyHunters أنها سرقت 197,000 عنوان بريد إلكتروني فريد خاص بالعملاء، إلى جانب بيانات متعلقة بالطلبات من العلامة التجارية للأزياء، ليس عن طريق اختراق أنظمة زارا الخاصة مباشرةً، بل من خلال استغلال مزود تقنية خارجي سابق يُعرف بـ Anodot.

أكّدت الشركة الأم Inditex أن العمليات الأساسية لم تتعطل، غير أن هذا التأطير لا ينبغي أن يمنح العملاء سوى قدر محدود من الاطمئنان. فالبيانات كانت حقيقية، والتعرض كان حقيقياً، والأسلوب الذي اتبعه المهاجمون يكشف شيئاً مهماً حول الطريقة المتزايدة التي تحدث بها اختراقات التجزئة.

كيف اخترقت ShinyHunters زارا عبر مزود طرف ثالث

كان ناقل الهجوم في هذه الحالة هو Anodot، وهي شركة تحليلات بيانات كانت قد عملت مع زارا في السابق. الكلمة المفتاحية هنا هي "في السابق". يبدو أن Anodot كانت مورّداً سابقاً، ومع ذلك ظلّت رموز المصادقة المرتبطة بتلك العلاقة صالحةً بما يكفي لاستغلالها.

استخدمت ShinyHunters تلك الرموز المخترقة للوصول إلى بيانات كان ينبغي أن تكون بعيدة عن متناول الجميع فور انتهاء علاقة المورّد. هذه مشكلة وصول في سلسلة التوريد، وهي تؤثر على المؤسسات من جميع الأحجام. عند انتهاء عقد المورّد، لا تنتهي الأذونات التقنية وبيانات الاعتماد المرتبطة بتلك العلاقة دائماً بشكل نظيف. يمكن أن تترك الثغرات في عمليات إنهاء التعاقد نقاط وصول نشطة راقدةً في انتظار اكتشافها.

يندرج هذا الاختراق ضمن نمط أوسع. كما هو مُغطَّى في تقريرنا حول تعرّض زارا وكارنيفال و7-Eleven للاختراق على يد ShinyHunters، كانت المجموعة تشنّ حملةً منسّقة عبر علامات تجارية عالمية متعددة، مع ادّعاءات بتجاوز 9 ملايين سجل إجمالي. كانت زارا أحد الأهداف في ما يبدو جهداً ممنهجاً لاستغلال نقاط الضعف في منظومة موردي المؤسسات.

ما البيانات التي سُرقت ومن هم المعرّضون للخطر

وفقاً للتقارير المتاحة، تشمل البيانات المسروقة نحو 197,000 عنوان بريد إلكتروني فريد ومعلومات متعلقة بالطلبات. وعلى الرغم من عدم تأكيد تضمّن مجموعة البيانات المكشوفة لكلمات المرور أو أرقام بطاقات الدفع، فإن ذلك لا يعني أن العملاء المتضررين في مأمن.

إن عناوين البريد الإلكتروني مقترنةً بسجل المشتريات تُشكّل ملفاً مفيداً للتصيد الاحتيالي المستهدف. يمكن للمهاجمين صياغة رسائل مقنعة تشير إلى طلبات حقيقية وعلامات تجارية حقيقية وسيناريوهات معقولة، مما يجعل خداع المستلمين لدفعهم إلى النقر على روابط خبيثة أو تسليم بيانات اعتماد إضافية أمراً أسهل بكثير.

العملاء الذين تسوّقوا من زارا وتلقّوا رسائل تسويقية أو تأكيدات طلبات على عنوان بريد إلكتروني معيّن هم الأكثر احتمالاً للوقوع في مجموعة البيانات المكشوفة. إذا سبق لك الشراء من زارا عبر الإنترنت، فمن المفيد افتراض أن بريدك الإلكتروني ربما كان مضمّناً.

لماذا يُعدّ اختراق رموز مصادقة الطرف الثالث خطيراً بشكل خاص

رموز المصادقة هي بيانات اعتماد تتيح للأنظمة التواصل مع بعضها دون الحاجة إلى اسم مستخدم وكلمة مرور في كل خطوة. صُمّمت من أجل الراحة والكفاءة، لكنها تصبح مسؤولية جسيمة حين تقع في الأيدي الخطأ.

على خلاف كلمة المرور المسروقة، يمكن استخدام الرمز المخترق بصمت وغالباً لا يُطلق تنبيهات تسجيل الدخول المعتادة. إنه يتجاوز الاحتكاك الذي يعتمد عليه فرق الأمن للكشف عن الوصول غير المصرح به. في هذه الحالة، منح الرمز المرتبط بمورّد سابق المهاجمين مساراً ربما لم تكن زارا ترصده بفاعلية، تحديداً لأن علاقة العمل كانت قد انتهت.

لهذا السبب، فإن إنهاء التعاقد مع الموردين ليس مجرد مهمة إدارية. إنه إجراء بالغ الأهمية من الناحية الأمنية. كل رمز وكل مفتاح API وكل إذن مُمنح لطرف ثالث يحتاج إلى إلغاء صريح عند انتهاء العلاقة، وينبغي أن تؤكد سجلات التدقيق وقوع ذلك الإلغاء. من الناحية العملية، لا تلتزم كثير من المؤسسات بذلك باستمرار، وتلك الثغرة هي بالضبط ما تبحث عنه مجموعات مثل ShinyHunters.

ماذا يعني هذا بالنسبة لك: كيف تحمي نفسك بعد اختراق بيانات التجزئة

إذا كنت قد تسوّقت من زارا أو كنت قلقاً ببساطة من تعرّضك عبر منصات التجزئة بشكل عام، فثمة خطوات ملموسة تستحق الاتخاذ الآن.

تحقق من أدوات مراقبة الاختراقات. تتيح لك خدمات مثل HaveIBeenPwned إدخال عنوان بريدك الإلكتروني ومعرفة ما إذا كان قد ظهر في اختراقات معروفة. أُضيف اختراق زارا بالفعل إلى تلك القاعدة البيانات، وبإمكانك التحقق مباشرةً.

احذر من رسائل التصيد الاحتيالي. في الأسابيع التي تعقب أي اختراق، كثيراً ما تبدأ عناوين البريد الإلكتروني المتضررة في تلقّي رسائل مستهدفة. كن متشككاً في أي بريد إلكتروني يشير إلى سجل طلباتك في زارا، أو يطلب منك تأكيد تفاصيل حسابك، أو يحثّك على النقر على رابط، حتى لو بدا شرعياً.

استخدم عناوين بريد إلكتروني فريدة لحسابات التجزئة. إذا كان مزود البريد الإلكتروني الخاص بك يدعم الأسماء المستعارة أو العناوين الفرعية، فإن استخدام صيغة مخصصة لكل تاجر تجزئة يُسهّل تحديد مصدر الرسائل غير المرغوب فيها ومحاولات التصيد في المستقبل.

فعّل المصادقة متعددة العوامل حيثما أمكن. حتى لو كان عنوان بريدك الإلكتروني موجوداً الآن في مجموعة بيانات مسرّبة، فإن المصادقة متعددة العوامل على حساباتك تجعل الخطوة التالية للمهاجمين أصعب بكثير.

راجع أذونات حسابك النشطة. إذا سبق لك استخدام تسجيل دخول تابع لطرف ثالث (مثل تسجيل الدخول إلى موقع تجزئة باستخدام حساب Google أو Apple)، فراجع التطبيقات والخدمات التي لها وصول وألغِ صلاحية أي شيء لم تعد تستخدمه.

يُعدّ اختراق بيانات زارا توضيحاً صريحاً لكيفية تحوّل علاقات الموردين، حتى المنتهية منها، إلى مسؤوليات. لا يمكنك التحكم في الطريقة التي يدير بها تاجر التجزئة موردّيه السابقين، لكن يمكنك تقليص الضرر الذي يتسبب فيه الاختراق من خلال البقاء مطّلعاً واتخاذ بعض الخطوات المقصودة لتعزيز حساباتك الخاصة.