Утечки данных

Утечка данных Zara раскрыла информацию 197 400 клиентов через стороннего поставщика

18 мая 2026 г.5 мин чтения

By Lina Petrov — 8 years reviewing consumer technology

Утечка данных Zara раскрыла информацию 197 400 клиентов через стороннего поставщика

Кибератака на бывшего технологического провайдера, работавшего с Zara, привела к утечке персональных данных примерно 197 400 клиентов. Инцидент, связанный с печально известной группировкой ShinyHunters, стал известен в конце апреля 2026 года и был подтверждён компанией Inditex, материнской компанией Zara. В числе скомпрометированных записей — адреса электронной почты, история покупок и идентификаторы заказов. По заявлению Inditex, платёжные данные затронуты не были.

Последнее обстоятельство отчасти успокаивает, однако инцидент демонстрирует закономерность, которая должна беспокоить каждого, кто совершает покупки в интернете: ваши данные могут быть раскрыты через поставщиков и партнёров, о которых вы никогда не слышали и на передачу информации которым не давали согласия.

ShinyHunters и проблема третьих сторон

ShinyHunters — не новое имя в сфере кибербезопасности. На протяжении нескольких последних лет группировка причастна к целому ряду громких утечек данных, неизменно атакуя базы данных компаний или их поставщиков услуг, а не взламывая защиту напрямую.

В данном случае точкой входа стал бывший аналитический или технологический вендор, который ранее имел доступ к данным о транзакциях клиентов Zara. Партнёрские отношения могли завершиться, однако данные, судя по всему, не были в полной мере ликвидированы или защищены. Это повторяющаяся уязвимость в розничном и e-commerce секторе: сторонние подрядчики накапливают данные клиентов в период действия контракта, и эти данные могут оставаться доступными ещё долго после завершения деловых отношений.

В результате даже осторожные покупатели, тщательно выбирающие, каким ритейлерам доверять, практически не имеют представления о разветвлённой сети поставщиков, которую те используют. Утечка в одном звене этой цепочки способна раскрыть данные, собранные несколько лет назад.

Что именно было раскрыто и почему это важно

Соблазнительно считать утечку незначительной, если номера платёжных карт не пострадали. Однако адреса электронной почты в сочетании с историей покупок и идентификаторами заказов — это весомый набор данных для тех, кто намерен проводить целевые мошеннические схемы.

Располагая такой информацией, злоумышленники могут составлять фишинговые письма, выглядящие крайне убедительно. Сообщение, в котором упоминается конкретный недавний заказ из Zara и которое адресовано нужному электронному адресу, с гораздо большей вероятностью побудит человека перейти по вредоносной ссылке или ввести учётные данные, чем обычная спам-рассылка. Этот метод, известный как целевой фишинг (spear phishing), является одним из наиболее эффективных инструментов киберпреступников именно потому, что выглядит персонализированным.

Идентификаторы заказов также могут использоваться для обращения в службы поддержки клиентов, что потенциально позволяет мошенникам перенаправлять доставку, запрашивать возврат средств или получать дополнительные данные об аккаунте с помощью методов социальной инженерии.

Эти риски наглядно демонстрируют один важный момент: VPN защищает ваш интернет-трафик в процессе передачи, но никак не защищает данные, которые компания уже хранит на своих серверах. Никакое зашифрованное соединение не предотвратит взлом поставщика. Защита конфиденциальности для онлайн-покупателей требует более широкого подхода, чем любой отдельно взятый инструмент.

Что это означает для вас

Если вы являетесь клиентом Zara, особенно если вы делали у них онлайн-покупки, стоит предпринять ряд конкретных шагов прямо сейчас.

Во-первых, внимательно следите за своим почтовым ящиком в ближайшие недели. Фишинговые попытки, ссылающиеся на ваши покупки в Zara, — вполне реальная угроза. С осторожностью относитесь к любым письмам с просьбой подтвердить заказ, уточнить данные аккаунта или перейти по ссылке, связанной с доставкой, — даже если они выглядят подлинными.

Во-вторых, подумайте, не используете ли вы один и тот же пароль от электронной почты на нескольких сервисах. Если почтовый адрес, привязанный к аккаунту Zara, служит логином и на других платформах, смена этих паролей сейчас будет разумной мерой предосторожности. Менеджер паролей значительно упрощает управление ими.

В-третьих, проверьте, какие именно персональные данные ритейлеры хранят о вас. Во многих юрисдикциях потребители вправе требовать удаления данных или доступа к ним в соответствии с законодательством о защите персональных данных. Если вы больше не совершаете покупки у какого-либо ритейлера, подача запроса на удаление данных снижает ваши риски при возможных будущих инцидентах.

Наконец, этот инцидент служит полезным напоминанием о том, что произошло с 6,2 миллиона клиентов, пострадавших в результате утечки данных Odido, где раскрытые контактные данные точно так же стали материалом для последующего мошенничества. Закономерность неизменна: как только персональные данные оказываются в открытом доступе, главный риск состоит в том, как они будут использованы впоследствии.

Практические рекомендации

С подозрением относитесь к письмам, связанным с Zara, в которых упоминаются номера заказов или активность аккаунта в ближайшие несколько недель.
Не используйте одинаковые пароли для аккаунтов, привязанных к одному адресу электронной почты.
Включите двухфакторную аутентификацию для своей электронной почты и любых торговых аккаунтов с сохранёнными платёжными данными.
Направьте запросы на удаление данных ритейлерам, у которых вы больше не совершаете покупки, — это сократит вашу поверхность риска.
Используйте отдельный псевдоним электронной почты для регистрации на сайтах e-commerce в будущем; многие почтовые провайдеры и инструменты для защиты конфиденциальности предлагают такую функцию.

Утечка данных Zara напоминает о том, что конфиденциальность при онлайн-шопинге зависит не столько от какой-либо одной защитной меры, сколько от общей культуры безопасности, которую вы поддерживаете в отношении своих аккаунтов и цифрового следа. Ритейлеры и их поставщики несут ответственность за защиту хранимых данных, однако потребители способны предпринять реальные шаги, чтобы ограничить ущерб в тех случаях, когда эти системы неизбежно дают сбой.

// FAQ

Сколько клиентов пострадало в результате утечки данных Zara?

Персональные данные примерно 197 400 клиентов были раскрыты в ходе инцидента.

Кто несёт ответственность за кибератаку на данные Zara?

Утечка была связана с группировкой ShinyHunters — организацией, причастной к многочисленным громким кибератакам, направленным на базы данных компаний и их поставщиков.

Какие именно данные клиентов были раскрыты в результате утечки?

В числе скомпрометированных записей оказались адреса электронной почты, история покупок и идентификаторы заказов; при этом, по заявлению Inditex, платёжные данные затронуты не были.

Каким образом злоумышленники получили доступ к данным клиентов Zara?

Злоумышленники получили доступ к данным через бывшего технологического или аналитического поставщика, ранее сотрудничавшего с Zara, у которого данные клиентов не были в полной мере ликвидированы или защищены после завершения деловых отношений.

Почему эта утечка считается опасной, даже несмотря на то что данные платёжных карт не были похищены?

Адреса электронной почты в сочетании с историей покупок и идентификаторами заказов могут использоваться для составления убедительных целевых фишинговых писем и манипулирования каналами поддержки клиентов с помощью методов социальной инженерии, что делает их ценным инструментом для киберпреступников.

Утечка данных Zara раскрыла информацию 197 400 клиентов через стороннего поставщика

ShinyHunters и проблема третьих сторон

Что именно было раскрыто и почему это важно

Что это означает для вас

Практические рекомендации

// FAQ

// Похожие