Hogyan szerzett hozzáférést a ShinyHunters a Zara ügyféladataihoz?

A ShinyHunters kompromittált hitelesítési tokeneket használt fel, amelyek az Anodothoz, a Zara korábbi harmadik feles adatelemző beszállítójához kapcsolódtak. Ezek a tokenek a beszállítói kapcsolat megszűnése után is érvényesek maradtak, lehetővé téve a támadóknak, hogy a kiléptetési folyamat hiányosságain keresztül hozzáférjenek az adatokhoz.

Milyen konkrét adatok kerültek ellopásra a Zara-adatszivárgásban?

Az ellopott adatok körülbelül 197 000 egyedi ügyféle-mail-címet és rendelésekkel kapcsolatos információkat tartalmaznak. Jelszavak vagy bankkártyaszámok nem kerültek megerősítésre a kiszivárott adathalmazban.

Érintette-e az adatszivárgás a Zara alapvető üzleti működését?

Az anyavállalat, az Inditex megerősítette, hogy az incidens nem okozott zavart az alapvető működésben. Az ügyféladatok kitettsége azonban valós volt, annak ellenére, hogy a rendszerek normálisan működtek tovább.

Miért vannak veszélynek kitéve az ügyfelek akkor is, ha nem loptak el jelszavakat vagy fizetési adatokat?

Az e-mail-címek vásárlási előzményekkel kombinálva lehetővé teszik a támadóknak, hogy rendkívül meggyőző adathalász üzeneteket szerkesszenek, amelyek valódi rendelésekre és márkákra hivatkoznak, így könnyebb rábírni a címzetteket arra, hogy rosszindulatú linkekre kattintsanak, vagy további hitelesítő adatokat adjanak meg.

A Zara-adatszivárgás elszigetelt incidens, vagy egy nagyobb kampány része?

A Zara-adatszivárgás egy szélesebb, koordinált ShinyHunters-kampány része, amely több globális márkát céloz meg, köztük a Carnivalt és a 7-Elevent, és a csoport állítólag összesen több mint 9 millió rekordot szerzett meg ezeken a támadásokon keresztül.

A ShinyHunters 197 ezer Zara e-mail-címet lopott el egy harmadik feles adatszivárgáson keresztül

A ShinyHunters nevéhez köthető Zara-adatszivárgás ismét emlékeztet arra, hogy személyes adataid csak annyira biztonságosak, amennyire a kereskedő valaha is együttműködött a leggyengébb beszállítójával. Ebben az incidensben a ShinyHunters hackercsoport azt állította, hogy 197 000 egyedi ügyféle-mail-címet, valamint rendelésekkel kapcsolatos adatokat lopott el a divatmárkától – nem úgy, hogy közvetlenül betört a Zara saját rendszereibe, hanem egy korábbi, Anodot nevű harmadik feles technológiai szolgáltatót kihasználva.

Az anyavállalat, az Inditex megerősítette, hogy az alapvető működés nem szenvedett zavart, ám ez a megfogalmazás az ügyfeleknek kevés vigaszt nyújthat. Az adatok valódiak voltak, az adatkitettség valós volt, és a támadók által alkalmazott módszer fontos dolgot árul el arról, hogyan működnek egyre inkább a kiskereskedelmi adatszivárgások.

Hogyan törte fel a ShinyHunters a Zarát egy harmadik feles szolgáltatón keresztül

A támadás belépési pontja az Anodot volt, egy adatelemző cég, amely korábban együttműködött a Zarával. A kulcsszó itt a „korábban". Az Anodot láthatóan egy korábbi beszállító volt, mégis az együttműködéshez kapcsolódó hitelesítési tokenek még mindig érvényesek voltak, és kihasználhatónak bizonyultak.

A ShinyHunters ezeket a feltört tokeneket használta fel, hogy hozzáférjen olyan adatokhoz, amelyekhez a beszállítói kapcsolat megszűnése után már nem lett volna szabad hozzáférni. Ez egy ellátási láncon belüli hozzáférési probléma, amely minden méretű szervezetet érinthet. Amikor egy beszállítói szerződés véget ér, az ahhoz kapcsolódó technikai jogosultságok és hitelesítő adatok nem mindig szűnnek meg automatikusan. A kiléptetési folyamatok hiányosságai aktív belépési pontokat hagyhatnak hátra szunnyadó állapotban, amelyekre csak rá kell találni.

Ez az adatszivárgás egy szélesebb minta részét képezi. Ahogyan a Zara, a Carnival és a 7-Eleven ShinyHunters általi feltöréséről szóló tudósításunkban is foglalkoztunk vele, a csoport koordinált kampányt folytat több globális márka ellen, és állítólag összesen több mint 9 millió rekordot szerzett meg. A Zara egyike volt azoknak a célpontoknak, amelyek egy olyan szisztematikus erőfeszítés részét képezik, amely a vállalati beszállítói ökoszisztémák gyenge pontjait igyekszik kihasználni.

Milyen adatok kerültek ellopásra, és ki van veszélynek kitéve

A rendelkezésre álló jelentések szerint az ellopott adatok körülbelül 197 000 egyedi e-mail-címet és rendelésekkel kapcsolatos információkat tartalmaznak. Bár jelszavak vagy bankkártyaszámok nem kerültek megerősítésre a kiszivárott adathalmazban, ez nem jelenti azt, hogy az érintett ügyfelek biztonságban vannak.

Az e-mail-címek vásárlási előzményekkel kombinálva olyan profilt alkotnak, amely célzott adathalász támadásokhoz hasznos. A támadók meggyőző üzeneteket szerkeszthetnek, amelyek valódi rendelésekre, valódi márkákra és plauzibilis forgatókönyvekre hivatkoznak, így sokkal könnyebb rábírni a címzetteket arra, hogy rosszindulatú linkekre kattintsanak, vagy további hitelesítő adatokat adjanak meg.

Azok az ügyfelek, akik a Zarában vásároltak, és egy adott e-mail-címre kaptak marketingkommunikációt vagy rendelési visszaigazolásokat, a legnagyobb valószínűséggel szerepelnek a kiszivárott adatbázisban. Ha valaha is vásároltál online a Zarában, érdemes feltételezni, hogy az e-mail-címed bekerülhetett.

Miért különösen veszélyesek a harmadik feles hitelesítési tokenek kompromittálódása

A hitelesítési tokenek olyan hitelesítő adatok, amelyek lehetővé teszik a rendszerek közötti kommunikációt anélkül, hogy minden lépésnél felhasználónevet és jelszót kellene megadni. Kényelemre és hatékonyságra tervezték őket, de komoly kockázattá válnak, ha rossz kezekbe kerülnek.

Egy ellopott jelszóval ellentétben egy kompromittált token csendesen is felhasználható, és általában nem vált ki szabványos bejelentkezési figyelmeztetéseket. Megkerüli azt a súrlódást, amelyre a biztonsági csapatok az illetéktelen hozzáférés felderítésekor támaszkodnak. Ebben az esetben a korábbi beszállítóhoz kapcsolódó token olyan utat biztosított a támadóknak, amelyet a Zara esetleg nem figyelt aktívan – éppen azért, mert az üzleti kapcsolat már véget ért.

Ezért a beszállítók kiléptetése nem csupán adminisztratív feladat. Ez egy biztonsági szempontból kritikus folyamat. Minden tokent, API-kulcsot és egy harmadik félnek adott jogosultságot kifejezetten vissza kell vonni a kapcsolat lezárásakor, és az auditnaplóknak igazolniuk kell, hogy ez megtörtént. A gyakorlatban sok szervezet nem követi ezt következetesen, és pontosan ezt a hiányosságot keresik az olyan csoportok, mint a ShinyHunters.

Mit jelent ez számodra: hogyan védd meg magad egy kiskereskedelmi adatszivárgás után

Ha a Zarában vásároltál, vagy egyszerűen aggódsz a kiskereskedelmi platformokon való adatkitettséged miatt, most érdemes konkrét lépéseket tenni.

Ellenőrizd az adatszivárgás-figyelő eszközöket. Az olyan szolgáltatások, mint a HaveIBeenPwned, lehetővé teszik, hogy megadd az e-mail-címedet, és megnézd, hogy szerepel-e ismert adatszivárgásokban. A Zara-adatszivárgás már hozzá lett adva az adatbázishoz, így közvetlenül ellenőrizheted.

Figyelj az adathalász e-mailekre. Az adatszivárgást követő hetekben az érintett e-mail-címek gyakran elkezdnek célzott üzeneteket kapni. Légy gyanakvó minden olyan e-maillel szemben, amely a Zara-rendelési előzményeidre hivatkozik, fiókadatok megerősítését kéri, vagy linkre való kattintásra szólít fel – még akkor is, ha legitimnek tűnik.

Használj egyedi e-mail-címeket kiskereskedelmi fiókokhoz. Ha az e-mail-szolgáltatód támogatja az álneveket vagy a cím-kiegészítést, minden kereskedőhöz külön változat használata megkönnyíti a jövőbeli spam és adathalász kísérletek forrásának azonosítását.

Engedélyezd a többtényezős hitelesítést, ahol csak lehetséges. Még ha az e-mail-címed már szerepel is egy kiszivárgott adathalmazban, az MFA a fiókjaidon jelentősen megnehezíti a támadóknak a következő lépés megtételét.

Tekintsd át az aktív fiókjogosultságaidat. Ha valaha is használtál harmadik feles bejelentkezést (például Google- vagy Apple-fiókkal jelentkeztél be egy kiskereskedelmi oldalra), nézd át, hogy mely alkalmazások és szolgáltatások férnek hozzá, és vonja vissza mindazokat, amelyeket már nem használsz.

A Zara-adatszivárgás szemléletes példája annak, hogyan válhatnak a beszállítói kapcsolatok – még a lejártak is – felelősséggé. Nem tudod befolyásolni, hogyan kezeli egy kereskedő korábbi szolgáltatóit, de csökkentheted az adatszivárgás okozta károkat azzal, hogy tájékozott maradsz, és néhány tudatos lépést teszel saját fiókjaid megerősítése érdekében.