Hvordan fikk ShinyHunters tilgang til Zaras kundedata?

ShinyHunters utnyttet kompromitterte autentiseringstokens knyttet til Anodot, en tidligere tredjeparts dataanalyserleverandør som tidligere hadde samarbeidet med Zara. Disse tokenene forble gyldige selv etter at leverandørforholdet tok slutt, noe som ga angriperne tilgang til data gjennom mangler i avslutningsprosessen.

Hvilke spesifikke data ble stjålet i Zara-bruddet?

De stjålne dataene inkluderer omtrent 197 000 unike kunde-e-postadresser samt ordrerelatert informasjon. Ingen passord eller betalingskortnumre er bekreftet som del av det eksponerte datasettet.

Ble Zaras kjerneforretningsvirksomhet påvirket av bruddet?

Morselskapet Inditex bekreftet at kjernevirksomheten ikke ble forstyrret av hendelsen. Eksponeringen av kundedata var imidlertid reell til tross for at systemene fortsatte å fungere normalt.

Hvorfor er kunder fortsatt i faresonen selv om ingen passord eller betalingsdata ble stjålet?

E-postadresser kombinert med kjøpshistorikk gjør det mulig for angripere å utforme svært overbevisende nettfiskingsmeldinger som refererer til ekte ordre og merkevarer, noe som gjør det enklere å lure mottakere til å klikke på ondsinnede lenker eller overgi ytterligere legitimasjon.

Er Zara-bruddet en isolert hendelse eller del av en større kampanje?

Zara-bruddet er del av en bredere koordinert kampanje av ShinyHunters rettet mot flere globale merkevarer, inkludert Carnival og 7-Eleven, der gruppen angivelig hevder å ha over 9 millioner poster totalt på tvers av disse angrepene.

ShinyHunters stjeler 197 000 Zara-e-poster via tredjeparts-brudd

Zara-databruddet knyttet til ShinyHunters er nok en påminnelse om at din personlige informasjon bare er så sikker som den svakeste leverandøren en forhandler noen gang har samarbeidet med. I denne hendelsen hevdet hackergruppen ShinyHunters å ha stjålet 197 000 unike kunde-e-postadresser sammen med ordrerelaterte data fra motevaremerket – ikke ved å bryte seg direkte inn i Zaras egne systemer, men ved å utnytte en tidligere tredjeparts teknologileverandør kalt Anodot.

Morselskapet Inditex bekreftet at kjernevirksomheten ikke ble forstyrret, men den formuleringen bør gi kundene begrenset trøst. Dataene var ekte, eksponeringen var ekte, og metoden angriperne brukte avslører noe viktig om hvordan detaljhandelsbrudd i stadig større grad fungerer.

Hvordan ShinyHunters brøt seg inn i Zara via en tredjepartsleverandør

Angrepsvektoren i dette tilfellet var Anodot, et dataanalysefirma som tidligere hadde samarbeidet med Zara. Nøkkelordet her er «tidligere». Anodot var tilsynelatende en tidligere leverandør, men autentiseringstokens knyttet til det forholdet var fortsatt gyldige nok til å kunne utnyttes.

ShinyHunters brukte disse kompromitterte tokenene til å få tilgang til data som burde ha vært utilgjengelige etter at leverandørforholdet tok slutt. Dette er et problem med leverandørkjedetilgang, og det er et problem som rammer organisasjoner av alle størrelser. Når en leverandørkontrakt avsluttes, utløper de tekniske tillatelsene og legitimasjonene knyttet til det forholdet ikke alltid på en ryddig måte. Mangler i avslutningsprosesser kan etterlate aktive tilgangspunkter som ligger inaktive og venter på å bli oppdaget.

Dette bruddet er en del av et bredere mønster. Som dekket i vår rapportering om Zara, Carnival og 7-Eleven – alle rammet av ShinyHunters, har gruppen gjennomført en koordinert kampanje mot flere globale merkevarer og hevder å ha over 9 millioner poster totalt. Zara var ett mål i det som ser ut til å være en systematisk innsats for å utnytte svake punkter i bedrifters leverandørkosystemer.

Hvilke data ble stjålet og hvem er i faresonen

I følge tilgjengelige rapporter inkluderer de stjålne dataene omtrent 197 000 unike e-postadresser og ordrerelatert informasjon. Selv om ingen passord eller betalingskortnumre er bekreftet som del av det eksponerte datasettet, betyr ikke det at berørte kunder er i trygge hender.

E-postadresser kombinert med kjøpshistorikk skaper en profil som er nyttig for målrettet nettfisking. Angripere kan utforme overbevisende meldinger som refererer til ekte ordre, ekte merkevarer og plausible scenarier, noe som gjør det langt enklere å lure mottakere til å klikke på ondsinnede lenker eller overgi ytterligere legitimasjon.

Kunder som har handlet hos Zara og mottatt markedsføringskommunikasjon eller ordrebekreftelser til en bestemt e-postadresse, er mest sannsynlig inkludert i det eksponerte datasettet. Hvis du noen gang har kjøpt fra Zara på nett, er det verdt å anta at e-postadressen din kan ha vært inkludert.

Hvorfor kompromittering av tredjeparts autentiseringstokens er spesielt farlig

Autentiseringstokens er legitimasjon som lar systemer kommunisere med hverandre uten at det kreves brukernavn og passord ved hvert trinn. De er designet for bekvemmelighet og effektivitet, men de blir en alvorlig sårbarhet når de havner i feil hender.

I motsetning til et stjålet passord kan et kompromittert token brukes i det stille og utløser ofte ikke standard påloggingsvarsler. Det omgår den friksjonens sikkerhetsteam er avhengige av for å oppdage uautorisert tilgang. I dette tilfellet ga tokenet knyttet til en tidligere leverandør angriperne en inngangsport som Zara kanskje ikke aktivt overvåket, nettopp fordi forretningsforholdet hadde tatt slutt.

Dette er grunnen til at det å avslutte leverandørforhold ikke bare er en administrativ oppgave. Det er en sikkerhetskritisk prosess. Hvert token, hver API-nøkkel og hver tillatelse gitt til en tredjepart må eksplisitt tilbakekalles når forholdet avsluttes, og revisjonslogger bør bekrefte at tilbakekallingen har funnet sted. I praksis følger mange organisasjoner ikke konsekvent opp, og det er akkurat dette gapet som grupper som ShinyHunters leter etter.

Hva dette betyr for deg: Slik beskytter du deg etter et detaljhandels-databrudd

Hvis du har handlet hos Zara eller rett og slett er bekymret for eksponeringen din på tvers av detaljhandelsplattformer mer generelt, er det konkrete tiltak som er verdt å ta akkurat nå.

Sjekk bruddovervåkningsverktøy. Tjenester som HaveIBeenPwned lar deg skrive inn e-postadressen din og se om den har dukket opp i kjente brudd. Zaras brudd er allerede lagt til i den databasen, så du kan sjekke direkte.

Vær oppmerksom på nettfiske-e-poster. I ukene etter et brudd begynner berørte e-postadresser ofte å motta målrettede meldinger. Vær skeptisk til enhver e-post som refererer til din Zara-ordrehistorikk, ber deg bekrefte kontodetaljer eller oppfordrer deg til å klikke på en lenke – selv om den ser legitim ut.

Bruk unike e-postadresser for detaljhandelskontoer. Hvis e-postleverandøren din støtter aliaser eller underadressering, gjør bruk av en variant spesifikk for hver forhandler det enklere å identifisere kilden til fremtidig søppelpost og nettfiskingsforsøk.

Aktiver multifaktorautentisering der det er mulig. Selv om e-postadressen din nå befinner seg i et lekket datasett, gjør MFA på kontoene dine det betydelig vanskeligere for angripere å ta neste steg.

Gjennomgå dine aktive kontotillatelser. Hvis du noen gang har brukt en tredjeparts innlogging (for eksempel å logge inn på et detaljhandelssted med Google- eller Apple-kontoen din), kan du se hvilke apper og tjenester som har tilgang og tilbakekalle alt du ikke lenger bruker.

Zara-databruddet er en tydelig illustrasjon av hvordan leverandørforhold – selv utløpte – kan bli sårbarheter. Du kan ikke kontrollere hvordan en forhandler håndterer sine tidligere leverandører, men du kan redusere skaden et brudd forårsaker ved å holde deg informert og ta noen bevisste skritt for å sikre dine egne kontoer.