ShinyHunters ukradl 197 tisíc e-mailů ze Zary prostřednictvím narušení třetí strany

ShinyHunters ukradl 197 tisíc e-mailů ze Zary prostřednictvím narušení třetí strany

Únik dat ze Zary spojený se skupinou ShinyHunters je dalším připomenutím, že vaše osobní informace jsou chráněny pouze tak dobře, jak je chráněn nejslabší dodavatel, se kterým kdy obchodník spolupracoval. V tomto incidentu hackerská skupina ShinyHunters tvrdila, že odcizila 197 000 unikátních e-mailových adres zákazníků spolu s daty o objednávkách od módní značky – nikoli přímým průnikem do vlastních systémů Zary, ale zneužitím bývalého poskytovatele technologií třetí strany zvaného Anodot.

Mateřská společnost Inditex potvrdila, že hlavní provoz nebyl narušen, avšak toto tvrzení by zákazníkům mělo poskytnout jen omezenou útěchu. Data byla skutečná, expozice byla skutečná a metoda použitá útočníky odhaluje něco důležitého o tom, jak maloobchodní úniky dat stále častěji fungují.

Jak ShinyHunters prolomil Zaru prostřednictvím poskytovatele třetí strany

Vektorem útoku byl v tomto případě Anodot, firma zabývající se datovou analytikou, která dříve spolupracovala se Zarou. Klíčovým slovem je zde „dříve". Anodot byl zjevně bývalý dodavatel, přesto autentizační tokeny spojené s tímto vztahem byly stále dostatečně platné, aby mohly být zneužity.

ShinyHunters použil tyto kompromitované tokeny k získání přístupu k datům, která měla být nedostupná po skončení dodavatelského vztahu. Jedná se o problém přístupu v dodavatelském řetězci a postihuje organizace všech velikostí. Když skončí smlouva s dodavatelem, technická oprávnění a přihlašovací údaje spojené s tímto vztahem ne vždy čistě expirují. Mezery v procesech ukončení spolupráce mohou zanechat aktivní přístupové body v nečinném stavu, kde čekají na své odhalení.

Tento únik je součástí širšího vzorce. Jak jsme informovali v článku o Zaře, Carnivalu a 7-Eleven, které všechny zasáhla skupina ShinyHunters, skupina provozuje koordinovanou kampaň zaměřenou na více globálních značek a podle dostupných informací si nárokuje více než 9 milionů záznamů celkem. Zara byla jedním z cílů toho, co se jeví jako systematická snaha zneužít slabá místa v dodavatelských ekosystémech podniků.

Jaká data byla odcizena a kdo je ohrožen

Podle dostupných zpráv odcizená data zahrnují přibližně 197 000 unikátních e-mailových adres a informace o objednávkách. Ačkoli nebylo potvrzeno, že by součástí uniklého souboru dat byla hesla nebo čísla platebních karet, neznamená to, že dotčení zákazníci jsou v bezpečí.

E-mailové adresy v kombinaci s historií nákupů vytvářejí profil využitelný pro cílený phishing. Útočníci mohou vytvářet přesvědčivé zprávy odkazující na skutečné objednávky, skutečné značky a věrohodné scénáře, což příjemcům výrazně ztěžuje rozpoznání podvodu a zabraňuje jim kliknout na škodlivé odkazy nebo odevzdat další přihlašovací údaje.

Zákazníci, kteří nakupovali u Zary a obdrželi marketingová sdělení nebo potvrzení objednávek na konkrétní e-mailovou adresu, mají největší pravděpodobnost, že jsou v uniklém souboru dat. Pokud jste kdy nakoupili u Zary online, je vhodné předpokládat, že váš e-mail mohl být zahrnut.

Proč jsou kompromitované autentizační tokeny třetích stran obzvláště nebezpečné

Autentizační tokeny jsou přihlašovací údaje, které umožňují systémům vzájemně komunikovat bez nutnosti zadávat uživatelské jméno a heslo při každém kroku. Jsou navrženy pro pohodlí a efektivitu, ale stávají se vážným rizikem, když padnou do nesprávných rukou.

Na rozdíl od ukradeného hesla může být kompromitovaný token použit nenápadně a often nespouští standardní výstrahy přihlášení. Obchází třecí plochy, na které se bezpečnostní týmy spoléhají při detekci neoprávněného přístupu. V tomto případě token spojený s bývalým dodavatelem poskytl útočníkům cestu, kterou Zara možná aktivně nesledovala právě proto, že obchodní vztah skončil.

Proto ukončení spolupráce s dodavateli není jen administrativním úkolem. Je to bezpečnostně kritický proces. Každý token, klíč API a oprávnění udělené třetí straně musí být výslovně odvolány po skončení vztahu a auditní záznamy by měly toto odvolání potvrdit. V praxi mnoho organizací nedodržuje tento postup důsledně a právě tato mezera je přesně to, co skupiny jako ShinyHunters hledají.

Co to znamená pro vás: Jak se chránit po úniku maloobchodních dat

Pokud jste nakupovali u Zary nebo se obecně obáváte o svou expozici na maloobchodních platformách, existují konkrétní kroky, které stojí za to podniknout právě teď.

Zkontrolujte nástroje pro monitorování úniků. Služby jako HaveIBeenPwned vám umožňují zadat e-mailovou adresu a zjistit, zda se objevila v známých únicích. Únik dat Zary byl do této databáze již přidán, takže si to můžete přímo ověřit.

Dávejte pozor na phishingové e-maily. V týdnech po úniku začínají dotčené e-mailové adresy často dostávat cílené zprávy. Buďte skeptičtí vůči jakémukoli e-mailu, který odkazuje na vaši historii objednávek u Zary, žádá vás o potvrzení údajů o účtu nebo vás vyzývá ke kliknutí na odkaz – i když vypadá legitimně.

Používejte unikátní e-mailové adresy pro maloobchodní účty. Pokud váš poskytovatel e-mailu podporuje aliasy nebo adresování s příponou, používání varianty specifické pro každého obchodníka usnadňuje identifikaci zdroje budoucích spamových a phishingových pokusů.

Povolte vícefaktorové ověřování všude, kde je to možné. I když je vaše e-mailová adresa nyní v uniklém souboru dat, MFA na vašich účtech útočníkům výrazně ztěžuje provedení dalšího kroku.

Zkontrolujte aktivní oprávnění svého účtu. Pokud jste kdy použili přihlášení třetí strany (například přihlášení na maloobchodní web pomocí účtu Google nebo Apple), zkontrolujte, které aplikace a služby mají přístup, a odvolejte vše, co již nepoužíváte.

Únik dat ze Zary je jasnou ilustrací toho, jak se dodavatelské vztahy – i ty zaniklé – mohou stát rizikem. Nemůžete ovlivnit, jak obchodník spravuje své bývalé poskytovatele, ale můžete snížit škody způsobené únikem tím, že zůstanete informováni a podniknete několik promyšlených kroků k posílení vlastních účtů.