ShinyHunters викрав 197 тисяч електронних адрес Zara через злам стороннього постачальника

ShinyHunters викрав 197 тисяч електронних адрес Zara через злам стороннього постачальника

Витік даних Zara, пов'язаний із ShinyHunters, — це ще одне нагадування про те, що ваша особиста інформація захищена рівно настільки, наскільки захищений найслабший постачальник, з яким будь-коли співпрацював ритейлер. У цьому інциденті хакерське угруповання ShinyHunters заявило, що викрало 197 000 унікальних електронних адрес клієнтів разом із даними про замовлення модного бренду — і зробило це не шляхом прямого злому власних систем Zara, а використавши вразливість колишнього стороннього технологічного постачальника під назвою Anodot.

Материнська компанія Inditex підтвердила, що основна діяльність не була порушена, однак це формулювання має давати клієнтам лише обмежене заспокоєння. Дані були реальними, витік був реальним, а метод, застосований зловмисниками, розкриває щось важливе про те, як дедалі частіше відбуваються злами у сфері роздрібної торгівлі.

Як ShinyHunters зламав Zara через стороннього постачальника

Вектором атаки в цьому випадку стала компанія Anodot — фірма з аналітики даних, яка раніше співпрацювала з Zara. Ключове слово тут — «раніше». Anodot був, очевидно, колишнім постачальником, проте токени автентифікації, пов'язані з цими відносинами, залишалися достатньо дійсними, щоб їх можна було використати.

ShinyHunters застосував ці скомпрометовані токени для отримання доступу до даних, які мали бути недосяжними після завершення відносин із постачальником. Це проблема доступу в ланцюжку постачань, і вона стосується організацій будь-якого розміру. Коли контракт із постачальником закінчується, технічні дозволи та облікові дані, пов'язані з цими відносинами, не завжди анулюються належним чином. Прогалини в процесах відключення можуть залишати активні точки доступу в дрімотному стані — в очікуванні, поки їх хтось виявить.

Цей злам є частиною ширшої закономірності. Як ми писали у матеріалі про те, що Zara, Carnival і 7-Eleven стали жертвами ShinyHunters, угруповання проводить скоординовану кампанію проти кількох глобальних брендів, заявляючи про понад 9 мільйонів записів загалом. Zara була однією з цілей того, що виглядає як систематичні зусилля з експлуатації слабких місць у екосистемах постачальників підприємств.

Які дані були викрадені та хто перебуває в зоні ризику

Згідно з наявними повідомленнями, викрадені дані включають приблизно 197 000 унікальних електронних адрес та інформацію про замовлення. Хоча паролі чи номери платіжних карток не підтверджені як частина витоку, це не означає, що постраждалі клієнти поза небезпекою.

Електронні адреси в поєднанні з історією покупок створюють профіль, придатний для цільового фішингу. Зловмисники можуть складати переконливі повідомлення, що посилаються на реальні замовлення, реальні бренди та правдоподібні сценарії, — що значно полегшує обман одержувачів, змушуючи їх натискати шкідливі посилання або передавати додаткові облікові дані.

Клієнти, які робили покупки в Zara і отримували маркетингові повідомлення або підтвердження замовлень на певну електронну адресу, найімовірніше перебувають у витоку. Якщо ви будь-коли купували товари Zara онлайн, варто припустити, що вашу електронну адресу могло бути включено.

Чому компрометація токенів автентифікації сторонніх постачальників особливо небезпечна

Токени автентифікації — це облікові дані, що дозволяють системам взаємодіяти між собою без необхідності вводити ім'я користувача та пароль на кожному кроці. Вони розроблені для зручності та ефективності, але стають серйозною загрозою, потрапляючи в чужі руки.

На відміну від викраденого пароля, скомпрометований токен може використовуватися непомітно і найчастіше не активує стандартні сповіщення про вхід. Він обходить бар'єри, на які покладаються служби безпеки для виявлення несанкціонованого доступу. У цьому випадку токен, пов'язаний із колишнім постачальником, надав зловмисникам шлях, який Zara, можливо, не відстежувала активно — саме тому, що ділові відносини вже завершились.

Саме тому відключення постачальників — це не просто адміністративне завдання. Це критично важливий для безпеки процес. Кожен токен, ключ API та дозвіл, наданий третій стороні, потребує явного відкликання після завершення відносин, а журнали аудиту мають підтверджувати факт відкликання. На практиці багато організацій не дотримуються цього послідовно, і саме ця прогалина є тим, що шукають угруповання на зразок ShinyHunters.

Що це означає для вас: як захистити себе після витоку даних у роздрібній торгівлі

Якщо ви робили покупки в Zara або просто стурбовані своєю вразливістю на платформах роздрібної торгівлі загалом, зараз варто вжити конкретних заходів.

Перевірте інструменти моніторингу витоків. Такі сервіси, як HaveIBeenPwned, дозволяють ввести електронну адресу та перевірити, чи з'являлася вона у відомих витоках. Злам Zara вже додано до цієї бази даних, тож ви можете перевірити це безпосередньо.

Стежте за фішинговими електронними листами. У тижні після витоку постраждалі адреси нерідко починають отримувати цільові повідомлення. Скептично ставтеся до будь-якого листа, що посилається на вашу історію замовлень Zara, просить підтвердити дані облікового запису або пропонує перейти за посиланням — навіть якщо він виглядає легітимно.

Використовуйте унікальні електронні адреси для облікових записів у магазинах. Якщо ваш поштовий провайдер підтримує псевдоніми або субадресацію, використання варіанту, специфічного для кожного ритейлера, полегшить визначення джерела майбутнього спаму та фішингових спроб.

Увімкніть багатофакторну автентифікацію скрізь, де це можливо. Навіть якщо ваша електронна адреса тепер міститься у витоку, MFA на ваших облікових записах значно ускладнить зловмисникам наступний крок.

Перегляньте активні дозволи облікового запису. Якщо ви будь-коли використовували сторонній вхід (наприклад, вхід на сайт ритейлера через обліковий запис Google або Apple), перегляньте, які застосунки та сервіси мають доступ, і відкличте все, чим ви більше не користуєтеся.

Витік даних Zara наочно ілюструє, як відносини з постачальниками — навіть ті, що вже завершились, — можуть стати вразливими місцями. Ви не можете контролювати, як ритейлер управляє своїми колишніми постачальниками, але ви можете зменшити шкоду від витоку, залишаючись поінформованими та вживаючи кілька свідомих кроків для захисту власних облікових записів.