ShinyHunters похищает 197 тысяч email-адресов Zara через взлом третьей стороны

ShinyHunters похищает 197 тысяч email-адресов Zara через взлом третьей стороны

Утечка данных Zara, связанная с ShinyHunters, — ещё одно напоминание о том, что безопасность ваших личных данных определяется надёжностью самого слабого поставщика, с которым когда-либо работал ритейлер. В этом инциденте хакерская группа ShinyHunters заявила, что похитила 197 000 уникальных email-адресов клиентов вместе с данными о заказах у модного бренда — и не путём прямого взлома собственных систем Zara, а через эксплуатацию бывшего стороннего технологического поставщика под названием Anodot.

Материнская компания Inditex подтвердила, что основная деятельность не была нарушена, однако эта формулировка должна давать покупателям весьма ограниченное утешение. Данные были реальными, утечка была реальной, а метод, использованный злоумышленниками, раскрывает нечто важное о том, как всё чаще происходят взломы в сфере розничной торговли.

Как ShinyHunters взломали Zara через стороннего поставщика

Вектором атаки в данном случае стала компания Anodot — фирма по анализу данных, ранее сотрудничавшая с Zara. Ключевое слово здесь — «ранее». Anodot являлась бывшим поставщиком, однако аутентификационные токены, связанные с этими отношениями, по-прежнему оставались достаточно действительными, чтобы их можно было использовать.

ShinyHunters воспользовались этими скомпрометированными токенами для получения доступа к данным, которые должны были стать недоступными после прекращения отношений с поставщиком. Это проблема доступа в цепочке поставок, и она затрагивает организации любого масштаба. Когда контракт с поставщиком завершается, технические разрешения и учётные данные, связанные с этими отношениями, не всегда аннулируются должным образом. Пробелы в процессах завершения сотрудничества могут оставлять активные точки доступа в дремлющем состоянии — в ожидании, пока их кто-нибудь обнаружит.

Этот взлом является частью более широкой закономерности. Как сообщалось в нашем материале о том, как Zara, Carnival и 7-Eleven стали жертвами ShinyHunters, группа проводит скоординированную кампанию против множества глобальных брендов, заявляя о похищении в общей сложности более 9 миллионов записей. Zara стала одной из целей в том, что выглядит как систематические усилия по эксплуатации слабых мест в экосистемах корпоративных поставщиков.

Какие данные были похищены и кто находится в зоне риска

Согласно имеющимся отчётам, похищенные данные включают около 197 000 уникальных email-адресов и информацию о заказах. Хотя пароли или номера платёжных карт не были подтверждены как часть раскрытого набора данных, это не означает, что пострадавшие клиенты вне опасности.

Email-адреса в сочетании с историей покупок формируют профиль, пригодный для целевого фишинга. Злоумышленники могут создавать убедительные сообщения, ссылающиеся на реальные заказы, реальные бренды и правдоподобные сценарии, — что значительно облегчает обман получателей, вынуждая их нажимать на вредоносные ссылки или передавать дополнительные учётные данные.

Клиенты, совершавшие покупки в Zara и получавшие маркетинговые письма или подтверждения заказов на определённый email-адрес, с наибольшей вероятностью входят в раскрытый набор данных. Если вы когда-либо делали покупки в Zara онлайн, стоит допустить, что ваш email мог быть включён в него.

Почему компрометация аутентификационных токенов третьих сторон особенно опасна

Аутентификационные токены — это учётные данные, позволяющие системам взаимодействовать друг с другом без ввода имени пользователя и пароля на каждом шаге. Они созданы для удобства и эффективности, однако становятся серьёзной уязвимостью, попав в чужие руки.

В отличие от похищенного пароля, скомпрометированный токен может использоваться незаметно и зачастую не вызывает стандартных оповещений о входе в систему. Он обходит те барьеры, на которые команды безопасности полагаются для обнаружения несанкционированного доступа. В данном случае токен, связанный с бывшим поставщиком, дал злоумышленникам путь, за которым Zara, вероятно, активно не следила — именно потому, что деловые отношения были завершены.

Вот почему прекращение сотрудничества с поставщиками — это не просто административная задача. Это критически важный для безопасности процесс. Каждый токен, ключ API и разрешение, предоставленные третьей стороне, должны быть явным образом отозваны по завершении отношений, а журналы аудита должны подтверждать, что отзыв был выполнен. На практике многие организации не делают этого последовательно, и именно этот пробел ищут такие группы, как ShinyHunters.

Что это означает для вас: как защитить себя после утечки данных в розничной торговле

Если вы совершали покупки в Zara или просто обеспокоены своей уязвимостью на розничных платформах в целом, прямо сейчас стоит предпринять конкретные шаги.

Воспользуйтесь инструментами мониторинга утечек. Сервисы вроде HaveIBeenPwned позволяют ввести ваш email-адрес и проверить, не фигурирует ли он в известных утечках. Утечка данных Zara уже добавлена в эту базу данных, так что вы можете проверить напрямую.

Следите за фишинговыми письмами. В недели, следующие за утечкой, на пострадавшие email-адреса нередко начинают поступать целевые сообщения. Относитесь скептически к любому письму, которое ссылается на историю ваших заказов в Zara, просит подтвердить данные аккаунта или предлагает перейти по ссылке — даже если оно выглядит легитимным.

Используйте уникальные email-адреса для аккаунтов в розничных магазинах. Если ваш почтовый провайдер поддерживает псевдонимы или субадресацию, использование варианта адреса, специфичного для каждого ритейлера, упростит определение источника будущего спама и фишинговых попыток.

Включите многофакторную аутентификацию везде, где это возможно. Даже если ваш email-адрес теперь входит в утечку, MFA на ваших аккаунтах существенно усложняет злоумышленникам следующий шаг.

Проверьте активные разрешения аккаунта. Если вы когда-либо использовали сторонний вход (например, вход на сайт розничного магазина через аккаунт Google или Apple), проверьте, какие приложения и сервисы имеют доступ, и отзовите те, которыми вы больше не пользуетесь.

Утечка данных Zara наглядно демонстрирует, как отношения с поставщиками — даже истёкшие — могут превращаться в уязвимости. Вы не можете контролировать то, как ритейлер управляет своими бывшими поставщиками, но вы можете снизить ущерб от утечки, оставаясь в курсе событий и предпринимая несколько осознанных шагов для защиты собственных аккаунтов.