ShinyHunters открадна 197 хил. имейла от Zara чрез пробив в трета страна

Пробивът на данни в Zara, свързан с ShinyHunters, е поредно напомняне, че личната ви информация е толкова защитена, колкото е защитен най-слабият доставчик, с когото търговецът някога е работил. В този инцидент хакерската група ShinyHunters твърди, че е откраднала 197 000 уникални имейл адреса на клиенти заедно с данни, свързани с поръчки, от модната марка — не чрез директно проникване в собствените системи на Zara, а чрез експлоатиране на бивш доставчик на технологии от трета страна, наречен Anodot.

Компанията майка Inditex потвърди, че основните операции не са били нарушени, но тази формулировка би трябвало да носи ограничено успокоение на клиентите. Данните бяха реални, излагането беше реално, а методът, използван от нападателите, разкрива нещо важно за начина, по който пробивите в търговията на дребно все по-често се осъществяват.

Как ShinyHunters проби Zara чрез доставчик от трета страна

Векторът на атаката в този случай беше Anodot — фирма за анализ на данни, която преди това е работила със Zara. Ключовата дума тук е „преди това". Anodot очевидно е бил бивш доставчик, но токените за удостоверяване, свързани с това партньорство, все още са били достатъчно валидни, за да бъдат експлоатирани.

ShinyHunters са използвали тези компрометирани токени, за да получат достъп до данни, които е трябвало да бъдат недостъпни след края на партньорството с доставчика. Това е проблем с достъпа в рамките на веригата за доставки и той засяга организации от всякакъв размер. Когато даден договор с доставчик приключи, техническите разрешения и идентификационните данни, свързани с това партньорство, не винаги изтичат чисто. Пропуските в процесите по прекратяване на достъп могат да оставят активни точки за достъп в дремещо състояние, в очакване да бъдат открити.

Този пробив е част от по-широка тенденция. Както е отразено в нашия материал за Zara, Carnival и 7-Eleven, всички засегнати от ShinyHunters, групата провежда координирана кампания срещу множество глобални марки, като reportedly претендира за над 9 милиона общо записа. Zara беше една от целите в това, което изглежда като систематично усилие за експлоатиране на слабите места в екосистемите от корпоративни доставчици.

Какви данни бяха откраднати и кой е изложен на риск

Според наличните отчети откраднатите данни включват приблизително 197 000 уникални имейл адреса и информация, свързана с поръчки. Въпреки че нито пароли, нито номера на платежни карти са потвърдени като част от разкрития набор от данни, това не означава, че засегнатите клиенти са в безопасност.

Имейл адресите, комбинирани с история на покупките, създават профил, който е полезен за целенасочен фишинг. Нападателите могат да изготвят убедителни съобщения, в които се посочват реални поръчки, реални марки и правдоподобни сценарии, което прави много по-лесно заблуждаването на получателите да кликнат върху злонамерени връзки или да предоставят допълнителни идентификационни данни.

Клиентите, пазарували от Zara и получавали маркетингови съобщения или потвърждения за поръчки на конкретен имейл адрес, са най-вероятно включени в разкрития набор от данни. Ако някога сте пазарували от Zara онлайн, си струва да приемете, че вашият имейл може да е бил включен.

Защо компрометирането на токени за удостоверяване от трети страни е особено опасно

Токените за удостоверяване са идентификационни данни, които позволяват на системите да комуникират помежду си, без да изискват потребителско име и парола на всяка стъпка. Те са проектирани за удобство и ефективност, но се превръщат в сериозен риск, когато попаднат в неподходящи ръце.

За разлика от открадната парола, компрометиран токен може да се използва безшумно и често не задейства стандартни сигнали за влизане. Той заобикаля триенето, на което екипите по сигурността разчитат, за да открият неоторизиран достъп. В този случай токенът, свързан с бивш доставчик, е дал на нападателите път, който Zara може да не е наблюдавала активно — именно защото бизнес отношенията са приключили.

Ето защо прекратяването на достъпа на доставчиците не е просто административна задача. Това е критично важен за сигурността процес. Всеки токен, API ключ и разрешение, предоставено на трета страна, трябва да бъде изрично отменено при приключване на отношенията, а одитните журнали трябва да потвърдят, че отмяната е извършена. На практика много организации не се придържат последователно към това, и именно тази празнина е точно това, което групи като ShinyHunters търсят.

Какво означава това за вас: как да се защитите след пробив на данни в търговията на дребно

Ако сте пазарували от Zara или просто се тревожите за излагането си на риск в платформите за търговия на дребно като цяло, има конкретни стъпки, които си заслужава да предприемете веднага.

Проверете инструменти за мониторинг на пробиви. Услуги като HaveIBeenPwned ви позволяват да въведете своя имейл адрес и да видите дали се е появил в известни пробиви. Пробивът при Zara вече е добавен в тази база данни, така че можете да проверите директно.

Внимавайте за фишинг имейли. В седмиците след пробив засегнатите имейл адреси често започват да получават целенасочени съобщения. Бъдете скептични към всеки имейл, в който се посочва историята на поръчките ви в Zara, иска се потвърждение на данните на акаунта ви или ви се подканва да кликнете върху връзка — дори ако изглежда легитимен.

Използвайте уникални имейл адреси за акаунти в търговски сайтове. Ако вашият доставчик на имейл услуги поддържа псевдоними или суб-адресиране, използването на вариация, специфична за всеки търговец, улеснява идентифицирането на източника на бъдещ спам и опити за фишинг.

Активирайте многофакторното удостоверяване навсякъде, където е възможно. Дори ако вашият имейл адрес вече е в разкрит набор от данни, МФА на вашите акаунти значително затруднява нападателите да предприемат следващата стъпка.

Прегледайте активните разрешения на акаунта си. Ако някога сте използвали вход от трета страна (например влизане в търговски сайт с вашия акаунт в Google или Apple), прегледайте кои приложения и услуги имат достъп и отменете всичко, което вече не използвате.

Пробивът на данни в Zara е ясна илюстрация на това как партньорствата с доставчици — дори изтеклите — могат да се превърнат в рискове. Не можете да контролирате как даден търговец управлява бившите си доставчици, но можете да намалите щетите от пробив, като останете информирани и предприемете няколко целенасочени стъпки за укрепване на собствените си акаунти.