Zara 数据泄露曝光了 197,000 人的个人信息

Source: Bleeping Computer

根据数据泄露通知服务 Have I Been Pwned，黑客入侵了西班牙快时尚零售商 Zara 的数据库，窃取了超过 197,000 名客户的资料。

Zara 在全球拥有超过 1,500 家公司直营和加盟门店，是 Inditex Group 的旗舰品牌，后者是全球最大的时尚分销集团之一。Inditex 还拥有 Bershka、Zara Home、Oysho、Pull&Bear、Massimo Dutti、Stradivarius 和 Uterqüe。

Inditex声明

正如Inditex上个月所述，在泄露事件被广泛报道时，受影响的数据库由一家前技术供应商托管，且其中包含了不同市场客户的业务关系信息。

• 攻击者 未 获取客户的姓名、电话号码、地址、凭证或支付信息（例如银行卡）。
• Inditex的运营和系统 未受影响。
• 公司尚未将此次泄露归因于特定的威胁行为者，也未确认被黑的供应商。

“Inditex已立即启动其安全协议，并已开始通知相关部门此类未经授权的访问，该访问源于一次影响前技术供应商并波及多家国际运营公司的安全事件，”
— Inditex press release

ShinyHunters 声称

虽然 Inditex 和 Zara 尚未披露更多细节，但 ShinyHunters 勒索团伙声称对泄露负责，并公布了一个 140 GB 的档案，内含据称从 BigQuery 实例中使用被盗 Anodot 身份验证令牌窃取的文件。

ShinyHunters 数据泄露站点上的 Zara 条目（BleepingComputer）

Have I Been Pwned 对被盗数据进行了分析，报告称此次泄露 暴露了 197,400 人的资料，包括唯一的电子邮件地址、地理位置、购买记录和支持工单：

“数据包含 197k 条唯一电子邮件地址，以及产品 SKU、订单 ID 和支持工单来源的市场。”
— Have I Been Pwned – Zara breach

此前，黑客团伙曾告诉 BleepingComputer，他们利用 Anodot 身份验证令牌窃取了数十家公司的数据，但在尝试从 Salesforce 实例窃取数据时被基于 AI 的检测拦截。

该组织还与一次 大规模语音钓鱼（vishing）活动 有关联，目标是员工和 BPO 代理的 Microsoft Entra、Okta 和 Google SSO 账户，以在突破企业 SSO 账户后窃取连接的 SaaS 应用（Salesforce、SAP、Slack、Adobe、Atlassian、Zendesk、Dropbox、Microsoft 365、Google Workspace 等）的数据。

其他 ShinyHunters 声称的泄露（最近几个月）

• Google – 持续的 Salesforce 数据盗窃攻击
• Cisco – 影响 Cisco.com 用户账户
• PornHub – 在窃取高级会员活动数据后进行勒索
• Match Group – 来自 Hinge、Tinder、OkCupid 和 Match 的数据
• Vimeo – Anodot 泄露的用户数据
• Rockstar Games – 被盗的分析数据已泄露
• ADT – 影响 5500 万人
• European Commission – 30 个欧盟实体的数据被曝光
• McGraw‑Hill – 影响 1.35 亿账户
• Medtronic – 声称盗取了 900 万条记录
• Carnival（邮轮运营商）
• 7‑Eleven（便利店连锁）
• Udemy（在线培训公司）

更近期，ShinyHunters 两次入侵教育技术巨头 Instructure。第二次攻击利用安全漏洞，对约 330 所高校的 Canvas 登录门户进行涂鸦，并威胁若不支付赎金就泄露早前泄露中窃取的数据。

相关事件：MANGO

西班牙时尚零售商 MANGO 也在十月向其客户发送了泄露通知，警告其用于营销活动的个人数据在其营销供应商被黑后已被泄露。尚未有勒索软件或敲诈集团声称对此事件负责，攻击者身份仍未知。

其他媒体

99% of What Mythos Found Is Still Unpatched.

AI 将四个零日链成一个利用

利用绕过了渲染器和操作系统沙箱。 新一波利用正在来临。

在 Autonomous Validation Summit（5 月 12 日 & 14 日），了解自主、上下文丰富的验证如何发现可利用的漏洞、证明控制有效并关闭修复循环。

Claim Your Spot