Après Anodot, Zara se retrouve au cœur d’une fuite qui touche près de 197 000 personnes

Actualités
Par publié

Un nouveau nom apparaît

A hand about to touch a phone. Superimposed on top of it is a pink triangle with exclamation mark inside it. Behind it is a computer display with code on it
(Crédit photo: Getty Images)
  • ShinyHunters a divulgué 140 Go de données issues des instances BigQuery de Zara, exposant 197 400 adresses e-mail, des historiques d’achat et des tickets d’assistance
  • Inditex a confirmé qu’aucun nom, adresse, identifiant ni information de paiement n’avait été volé, ce qui réduit le risque direct
  • Les adresses e-mail et les détails d’achat exposés pourraient toutefois alimenter des campagnes de phishing très ciblées contre les clients

Le géant de la mode Zara a perdu des données clients concernant près de 200 000 personnes, mais très peu d’informations réellement privées semblent avoir été dérobées.

Zara est l’un des plus grands distributeurs de mode au monde, avec plus de 1 500 magasins à l’international. Il s’agit aussi de la marque phare du groupe Inditex, qui possède également Massimo Dutti, Pull&Bear, Bershka et de nombreuses autres enseignes.

Le mois dernier, l’entreprise a révélé avoir subi une fuite de données liée à l’incident en cours impliquant Anodot, une plateforme d’analyse cloud dopée à l’IA que certaines entreprises avaient intégrée à d’autres services, comme Snowflake. Lorsque les cybercriminels du groupe ShinyHunters ont compromis Anodot, ils ont pu accéder à ces intégrations et voler des fichiers appartenant à plusieurs entreprises.

ShinyHunters frappe encore

Lorsque Inditex a communiqué sur l’incident, le groupe a indiqué que les attaquants n’avaient pas accédé à des informations privées comme les noms, les numéros de téléphone, les adresses, les identifiants de connexion ou les informations de paiement.

« Inditex a immédiatement appliqué ses protocoles de sécurité et a commencé à notifier les autorités compétentes de cet accès non autorisé, qui découle d’un incident de sécurité ayant touché un ancien prestataire technologique et ayant affecté plusieurs entreprises opérant à l’international », avait alors déclaré l’entreprise.

Entre-temps, ShinyHunters a revendiqué l’attaque et publié une archive de 140 Go, que le groupe affirme avoir volée à partir d’instances BigQuery. Selon BleepingComputer, le service Have I Been Pwned? a depuis analysé les données volées et identifié 197 400 adresses e-mail, ainsi que des emplacements géographiques, des achats et des tickets d’assistance.

« Les données contenaient 197 000 adresses e-mail uniques, ainsi que des références produits, des identifiants de commande et le marché d’origine du ticket d’assistance », a indiqué le service.

L’absence de noms et d’adresses réduit en partie les risques. Les cybercriminels peuvent toutefois exploiter les informations disponibles pour mener des campagnes de phishing très personnalisées. Grâce à ces e-mails, ils peuvent voler des identifiants de connexion, déployer des malwares et ainsi pousser leurs attaques encore plus loin.

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.