ShinyHunters ukrao 197 tisuća Zara email adresa putem proboja kod trećih strana

ShinyHunters ukrao 197 tisuća Zara email adresa putem proboja kod trećih strana

Provala podataka kod Zare povezana sa ShinyHuntersom još je jedan podsjetnik da su vaši osobni podaci samo toliko sigurni koliko je siguran najslabiji dobavljač s kojim je trgovac ikada surađivao. U ovom incidentu, hakerska skupina ShinyHunters tvrdila je da je ukrala 197 000 jedinstvenih email adresa kupaca zajedno s podacima vezanim uz narudžbe od modnog brenda — i to ne provalivanjem izravno u Zarine vlastite sustave, već iskorištavanjem bivšeg tehnološkog pružatelja usluga treće strane pod nazivom Anodot.

Matična tvrtka Inditex potvrdila je da temeljne operacije nisu bile poremećene, no taj okvir kupcima bi trebao pružiti ograničenu utjehu. Podaci su bili stvarni, izloženost je bila stvarna, a metoda koju su napadači koristili otkriva nešto važno o tome kako hakerski napadi na maloprodaju sve češće funkcioniraju.

Kako je ShinyHunters provalio u Zaru putem pružatelja usluga treće strane

Vektor napada u ovom slučaju bio je Anodot, tvrtka za analitiku podataka koja je prethodno surađivala sa Zarom. Ključna riječ ovdje je „prethodno". Anodot je očito bio bivši dobavljač, no autentifikacijski tokeni povezani s tom suradnjom još su uvijek bili dovoljno valjani da bi se mogli iskoristiti.

ShinyHunters je upotrijebio te kompromitirane tokene kako bi dobio pristup podacima koji su trebali biti nedostupni nakon što je suradnja s dobavljačem završila. Ovo je problem pristupa u lancu opskrbe i pogađa organizacije svih veličina. Kad ugovor s dobavljačem istekne, tehnička dopuštenja i vjerodajnice povezane s tom suradnjom ne istječu uvijek uredno. Praznine u procesima odlaska mogu ostaviti aktivne pristupne točke koje miruju i čekaju da ih netko otkrije.

Ova provala dio je šireg obrasca. Kao što je opisano u našem izvješću o Zari, Carnevalu i 7-Elevenu koje je pogodio ShinyHunters, skupina provodi koordiniranu kampanju protiv više globalnih brendova, navodno tvrdeći da posjeduje više od 9 milijuna ukupnih zapisa. Zara je bila jedna od meta u onome što izgleda kao sustavni napor iskorištavanja slabih točaka u ekosustavu dobavljača poduzeća.

Koji su podaci ukradeni i tko je u opasnosti

Prema dostupnim izvješćima, ukradeni podaci uključuju otprilike 197 000 jedinstvenih email adresa i informacije vezane uz narudžbe. Iako lozinke ni brojevi platnih kartica nisu potvrđeni kao dio izloženog skupa podataka, to ne znači da su pogođeni kupci na sigurnom.

Email adrese u kombinaciji s poviješću kupnje stvaraju profil koji je koristan za ciljani phishing. Napadači mogu sastaviti uvjerljive poruke koje se pozivaju na stvarne narudžbe, stvarne brendove i vjerodostojne scenarije, što primateljima znatno olakšava klikanje na zlonamjerne poveznice ili predaju dodatnih vjerodajnica.

Kupci koji su kupovali u Zari i primali marketinške komunikacije ili potvrde narudžbi na određenu email adresu najvjerojatnije se nalaze u izloženom skupu podataka. Ako ste ikada kupovali u Zari online, vrijedi pretpostaviti da je vaša email adresa možda bila uključena.

Zašto su kompromisi autentifikacijskih tokena trećih strana posebno opasni

Autentifikacijski tokeni su vjerodajnice koje omogućuju sustavima međusobnu komunikaciju bez potrebe za korisničkim imenom i lozinkom na svakom koraku. Dizajnirani su radi praktičnosti i učinkovitosti, ali postaju ozbiljna odgovornost kada dođu u pogrešne ruke.

Za razliku od ukradene lozinke, kompromitirani token može se koristiti tiho i često ne aktivira standardne obavijesti o prijavi. Zaobilazi trenje na koje se sigurnosni timovi oslanjaju za otkrivanje neovlaštenog pristupa. U ovom slučaju, token povezan s bivšim dobavljačem dao je napadačima put koji Zara možda nije aktivno nadzirala — upravo zato što je poslovni odnos bio završen.

Zato odlazak dobavljača nije samo administrativni zadatak. To je sigurnosno kritičan proces. Svaki token, API ključ i dopuštenje dodijeljeno trećoj strani moraju biti izričito opozvani kada suradnja završi, a revizijski zapisi trebaju potvrditi da je opoziv proveden. U praksi, mnoge organizacije to ne provode dosljedno, a upravo ta praznina je ono što skupine poput ShinyHuntersa traže.

Što to znači za vas: kako se zaštititi nakon proboja maloprodajnih podataka

Ako ste kupovali u Zari ili ste jednostavno zabrinuti zbog vlastite izloženosti na maloprodajnim platformama općenito, postoje konkretni koraci koje vrijedi poduzeti odmah.

Provjerite alate za praćenje proboja. Servisi poput HaveIBeenPwned omogućuju vam da unesete svoju email adresu i provjerite je li se pojavila u poznatim provalama. Zarin proboj već je dodan u tu bazu podataka, pa možete provjeriti izravno.

Pazite na phishing emailove. U tjednima nakon proboja, pogođene email adrese često počinju primati ciljane poruke. Budite skeptični prema svakom emailu koji se poziva na vašu povijest narudžbi u Zari, traži od vas da potvrdite podatke računa ili vas potiče da kliknete na poveznicu — čak i ako izgleda legitimno.

Koristite jedinstvene email adrese za maloprodajne račune. Ako vaš pružatelj email usluga podržava aliase ili podadresiranje, korištenje inačice specifične za svakog trgovca olakšava identifikaciju izvora budućeg spama i phishing pokušaja.

Omogućite višefaktorsku autentifikaciju gdje god je moguće. Čak i ako se vaša email adresa sada nalazi u curenom skupu podataka, MFA na vašim računima napadačima znatno otežava sljedeći korak.

Pregledajte aktivna dopuštenja za račun. Ako ste ikada koristili prijavu putem treće strane (kao što je prijava na maloprodajnu stranicu putem Google ili Apple računa), pregledajte koje aplikacije i servisi imaju pristup i opozovite sve što više ne koristite.

Provala podataka kod Zare jasna je ilustracija kako odnosi s dobavljačima — čak i istekli — mogu postati odgovornosti. Ne možete kontrolirati kako trgovac upravlja svojim bivšim pružateljima usluga, ali možete smanjiti štetu koju provala uzrokuje tako da ostanete informirani i poduzmete nekoliko promišljenih koraka za jačanje vlastitih računa.