When did the Zara breach happen and when were customers informed?

Unauthorized access occurred on April 14, 2026, and Zara sent customer notifications on May 30, 2026 — roughly six weeks after the exposure.

What personal information was compromised in this Zara incident?

Browsing activity, purchase history, and contact details were exposed. Passwords and payment information were not affected.

How did the breach occur?

The breach happened through unauthorized access to a third-party service provider’s systems that hosted Zara’s customer data, not through Zara’s own infrastructure.

Why is browsing and purchase history considered more sensitive than stolen passwords?

This behavioral data builds a detailed profile of preferences and habits that can be used for targeted ads, price discrimination, or phishing, and unlike a password, it cannot be changed once exposed.

Has Zara had other third-party data breaches?

Yes, the article notes a previous incident where ShinyHunters stole 197,000 Zara customer emails via another third-party breach, indicating a pattern of vendor-related vulnerabilities.

Zarin propust treće strane 14. travnja otkrio podatke o pregledavanju i kupovini

Dana 30. svibnja 2026., Zara je obavijestila kupce da je neovlašteni pristup sustavima pružatelja usluga treće strane ugrozio njihove osobne podatke. Sam propust dogodio se 14. travnja, što znači da kupci otprilike šest tjedana nisu znali da su njihovi podaci bili izloženi. Iako je Zara potvrdila da lozinke i podaci o plaćanju nisu bili pogođeni, izloženi podaci govore složeniju priču o tome što trgovci zapravo znaju o vama i s kim to dijele.

Ovaj incident dio je rastućeg obrasca. Priča o privatnosti i Zarinom propustu podataka preko treće strane ne počinje niti završava ovom obavijesti. To je jedno poglavlje u široj slici o tome kako modni trgovci i njihove mreže dobavljača postupaju s podacima potrošača uz iznenađujuće malo transparentnosti.

Koji su podaci bili izloženi i kako je došlo do propusta

Prema Zarinom priopćenju, ugroženi podaci uključivali su aktivnost pregledavanja, povijest kupovine i kontaktne podatke. Neovlašteni pristup nije se dogodio unutar Zarinog vlastitog infrastrukturnog sustava, već putem pružatelja usluga treće strane koji je te podatke pohranjivao za tvrtku.

Ova je razlika važna. Kada tvrtka pohranjuje vaše podatke kod dobavljača, taj dobavljač postaje meta. Trgovci rutinski sklapaju ugovore s analitičkim platformama, marketinškim alatima, sustavima za preporuke i logističkim pružateljima, a svaki od njih može sadržavati fragmente vašeg bihevioralnog profila. U ovom slučaju, čini se da je izložene podatke prikupio i pohranio jedan od tih posrednika, sustav s kojim većina kupaca nikada izravno ne komunicira i za koji vjerojatno nikada nisu ni znali da postoji.

Ovaj propust nije izoliran incident ni za sam brend. Kao što smo detaljno opisali u našem ranijem izvještaju o tome kako su ShinyHuntersi ukrali 197 tisuća Zarinih e-mailova kupaca putem propusta treće strane, Zara se sada suočila s višestrukim incidentima koji vuku korijene iz ugroženih odnosa s dobavljačima. Ovaj obrazac ukazuje na sistemsku ranjivost, a ne na jednokratni propust.

Zašto su aktivnost pregledavanja i povijest kupovine osjetljiviji od lozinki

Može biti primamljivo osjetiti olakšanje kada tvrtka kaže da lozinke i podaci o plaćanju nisu preuzeti. No, ponašanje pri pregledavanju i povijest kupovine u praksi mogu biti znatno invazivniji.

Zapis o tome koje ste proizvode pregledavali, koliko često ste posjećivali određene stranice i što ste na kraju kupili stvara detaljan profil vaših preferencija, navika, raspona prihoda, zdravstvenih interesa pa čak i statusa veze. Takva vrsta bihevioralnih podataka sirovina je za ciljano oglašavanje, cjenovnu diskriminaciju i napade društvenog inženjeringa.

Za razliku od ukradene lozinke, koja se može odmah promijeniti, bihevioralne podatke nije moguće „de-sakupljati”. Jednom izloženi, oni mogu kružiti u ekosustavima posrednika podataka, kombinirati se s drugim procurelim skupovima podataka i koristiti za izradu vrlo uvjerljivih phishing poruka prilagođenih upravo vašim dokumentiranim interesima. Prevarant koji zna da ste nedavno pregledavali odjeću za trudnice, opremu za trčanje ili skupe satove ima gotov scenarij kako da vas prevari.

Kako dobavljači u maloprodajnom lancu stvaraju nevidljive rizike za privatnost kupaca

Većina kupaca pretpostavlja da njihovi podaci ostaju kod brenda od kojeg su kupili. U stvarnosti, jedna maloprodajna transakcija može dotaknuti desetke sustava trećih strana: procesore plaćanja, platforme za otkrivanje prijevara, usluge e-mail marketinga, alate za personalizaciju, platforme za korisničke podatke i pružatelje dostave. Svaki od tih dobavljača može zadržati bihevioralne ili transakcijske podatke prema vlastitim sigurnosnim politikama, u koje kupac nema nikakav uvid i s kojima nema sklopljen ugovor.

Ova fragmentacija skrbništva nad podacima jedan je od ključnih razloga zašto su propusti trećih strana toliko česti i zašto ih je iz perspektive potrošača tako teško spriječiti. Možete kupovati isključivo kod poznatih brendova, osigurati svoje račune jakim lozinkama, a svejedno vam bihevioralni profil može biti izložen zbog ranjivosti kod dobavljača za kojeg nikada niste čuli.

Regulatorni okviri u različitim jurisdikcijama počinju se baviti ovim problemom kroz zahtjeve za upravljanje rizikom dobavljača, no provedba je i dalje nedosljedna. Zasad teret uglavnom pada na pojedinačne kupce da minimiziraju ono što uopće izlažu.

Što ovo znači za vas: koraci za ograničavanje praćenja i izloženosti podataka

Iako nijedna pojedinačna radnja ne uklanja u potpunosti rizik od dobavljača treće strane, nekoliko praktičnih koraka može smanjiti vašu izloženost prilikom online kupovine.

Pažljivo pregledajte obavijesti o povredi podataka. Kada tvrtka pošalje obavijest o propustu, pročitajte je u cijelosti. Specifične kategorije izloženih podataka važnije su od uvjeravanja o tome što nije preuzeto. Kontaktni podaci u kombinaciji s bihevioralnim podacima mogu biti opasni čak i bez informacija o plaćanju.

Koristite namjensku e-mail adresu za maloprodajne račune. Stvaranje zasebnog e-mail aliasa za kupovinu smanjuje radijus posljedica ako ta adresa bude izložena. Mnogi pružatelji e-pošte i usluge usmjerene na privatnost nude značajke aliasa koje prosljeđuju poruke u vaš glavni pretinac.

Ograničite otvaranje računa gdje je to moguće. Opcije gostujuće kupnje sprječavaju trgovce i njihove dobavljače da izgrade trajni profil povezan s vašim identitetom. Ako vam ne trebaju bodovi vjernosti ili pristup povijesti narudžbi, kupovina kao gost značajan je korak za zaštitu privatnosti.

Koristite VPN prilikom pregledavanja maloprodajnih stranica. VPN šifrira vašu vezu i maskira vašu IP adresu, koja je jedna od točaka podataka što ih dobavljači koriste za praćenje sesija pregledavanja kroz posjete i uređaje. Iako VPN ne sprječava trgovca da bilježi vašu aktivnost nakon što se prijavite na račun, ograničava metapodatke dostupne trećim pratiteljima ugrađenima na maloprodajne stranice.

Omogućite postavke privatnosti preglednika i razmotrite proširenja za blokiranje pratitelja. Mnogi analitički i oglašivački dobavljači ugrađeni u maloprodajne stranice prikupljaju podatke putem praćenja na razini preglednika. Blokiranje tih skripti ograničava ono što treće strane mogu uhvatiti prije nego što uopće stigne do njihovih poslužitelja.

Incident privatnosti vezan uz Zarin propust podataka preko treće strane koristan je podsjetnik da podaci koje većina trgovaca prikuplja nadilaze ono što je nužno za dovršetak transakcije. Dok se standardi odgovornosti dobavljača ne ojačaju, najučinkovitija zaštita jest smanjiti količinu bihevioralnih podataka koju uopće generirate. Počnite s gore navedenim koracima i tretirajte svaku sesiju pregledavanja maloprodajnih stranica kao događaj prikupljanja podataka – što ona zaista i jest.