Des cybercriminels ont dérobé les données de plus de 197 000 clients de l’enseigne de mode rapide Zara, comme l’indique le service de notification de fuites Have I Been Pwned.
Zara, marque phare du groupe Inditex qui gère plus de 1 500 magasins dans le monde, a été touchée via des bases de données hébergées par un ancien fournisseur technologique. Ce dernier stockait des informations sur les relations commerciales avec des clients de divers marchés.
Réaction d’Inditex
Le groupe Inditex a confirmé que les attaquants n’ont pas accédé aux noms, numéros de téléphone, adresses, identifiants ou données de paiement des clients impactés. Les systèmes et opérations internes restent intacts. Les autorités compétentes ont été alertées immédiatement après activation des protocoles de sécurité.
Revendication du gang ShinyHunters
Le groupe d’extorsion ShinyHunters a revendiqué l’attaque et publié un archive de 140 Go prétendument extraite d’instances BigQuery grâce à des jetons d’authentification Anodot compromis. L’analyse de Have I Been Pwned révèle que 197 400 personnes sont concernées, avec des adresses e-mail uniques, des localisations géographiques, des identifiants de commandes et des tickets de support associés à des produits et marchés spécifiques.
ShinyHunters a indiqué avoir utilisé des jetons Anodot pour viser plusieurs entreprises, tout en étant stoppé par des détections basées sur l’IA lors de tentatives sur des instances Salesforce. Le gang est aussi impliqué dans une campagne de vishing massive contre des comptes Microsoft Entra, Okta et Google SSO d’employés et d’agents de sous-traitance, afin d’exfiltrer des données de services SaaS variés.
Autres victimes récentes
ShinyHunters a frappé récemment des cibles comme Google, Cisco, PornHub, Match Group, Vimeo, Rockstar Games, ADT, la Commission européenne, Vercel, McGraw Hill, Medtronic, Carnival, 7-Eleven et Udemy. Ils ont aussi attaqué deux fois la plateforme éducative Instructure, la seconde via une faille pour défigurer des portails de connexion Canvas de 330 établissements.
Par ailleurs, l’enseigne espagnole Mango a notifié ses clients en octobre d’une compromission de données marketing via un prestataire externe, sans revendication connue à ce jour.