Datenleck bei Zara: Daten von 197.000 Kunden abgeflossen

Zusammenfassung

Bei einem Einbruch in die Datenbanken des spanischen Modekonzerns Zara haben Angreifer Daten von mehr als 197.000 Kunden erbeutet. Das meldet der Benachrichtigungsdienst Have I Been Pwned, der die entwendeten Daten ausgewertet hat. Zara betreibt weltweit über 1.500 eigene und Franchise-Geschäfte und ist die Hauptmarke der Inditex-Gruppe, zu der unter anderem auch Bershka, Zara Home, Oysho, Pull&Bear, Massimo Dutti, Stradivarius und Uterqüe gehören. Nach Angaben von Inditex lagen die betroffenen Datenbanken bei einem früheren Technologiedienstleister und enthielten Informationen über Geschäftsbeziehungen zu Kunden in verschiedenen Märkten. Der Konzern betont, dass die Angreifer keinen Zugriff auf Namen, Telefonnummern, Adressen, Zugangsdaten oder Zahlungsinformationen wie Bankkarten erlangt hätten. Eigene Systeme und der laufende Betrieb seien nicht beeinträchtigt worden. Zu welchem Dienstleister es gehört und welche Tätergruppe verantwortlich ist, ließ Inditex offen. Inzwischen hat sich die Erpressergruppe ShinyHunters zu dem Angriff bekannt und ein 140 GB großes Archiv veröffentlicht.

Have I Been Pwned analysierte die gestohlenen Daten und gab an, dass von dem Vorfall 197.400 Personen betroffen sind. Offengelegt wurden demnach eindeutige E-Mail-Adressen, geografische Standorte, Käufe und Support-Anfragen. „Die Daten enthielten 197.000 eindeutige E-Mail-Adressen zusammen mit Produkt-SKUs, Bestell-IDs und dem Markt, aus dem die Support-Anfrage stammte", erklärte der Dienst.

Inditex selbst hatte den Vorfall in diesem Monat bestätigt, als er breit gemeldet wurde. Laut dem Konzern stammt der unbefugte Zugriff aus einem Sicherheitsvorfall bei einem früheren Technologiedienstleister, von dem mehrere international tätige Unternehmen betroffen sind. Man habe sofort die Sicherheitsprotokolle angewendet und begonnen, die zuständigen Behörden zu informieren. Eine Zuordnung zu einer konkreten Tätergruppe sowie den Namen des betroffenen Dienstleisters nannte Inditex bislang nicht, ebenso wenig die Gesamtzahl der Betroffenen.

Die Erpressergruppe ShinyHunters reklamierte den Einbruch für sich und veröffentlichte ein 140 GB großes Archiv mit Dokumenten, die angeblich aus BigQuery-Instanzen stammen. Dafür sollen kompromittierte Authentifizierungs-Token von Anodot verwendet worden sein. Gegenüber BleepingComputer gab die Gruppe an, mit Anodot-Token Daten von Dutzenden Unternehmen gestohlen zu haben; beim Versuch, Daten aus Salesforce-Instanzen abzugreifen, sei sie von einer KI-gestützten Erkennung blockiert worden.

Die Gruppe wird zudem mit einer breit angelegten Vishing-Kampagne in Verbindung gebracht, die auf Microsoft-Entra-, Okta- und Google-SSO-Konten von Mitarbeitern und Beschäftigten von Business-Process-Outsourcing-Dienstleistern abzielt. Nach der Übernahme der Unternehmens-SSO-Konten sollen Daten aus angebundenen SaaS-Anwendungen wie Salesforce, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, Microsoft 365 und Google Workspace abgeflossen sein.

Zu den weiteren Vorfällen, zu denen sich ShinyHunters in den vergangenen Monaten bekannt hat, zählen Google, Cisco, PornHub, Match Group, Vimeo, Rockstar Games, ADT, die Europäische Kommission, McGraw Hill, Medtronic, Carnival, 7-Eleven und Udemy. Zuletzt griff die Gruppe den Bildungstechnologie-Anbieter Instructure zweimal an und nutzte dabei eine Schwachstelle aus, um die Canvas-Anmeldeportale von rund 330 Hochschulen und Universitäten zu verändern.

Auch der spanische Modehändler MANGO verschickte Benachrichtigungen über ein Datenleck an seine Kunden und warnte, dass für Marketingkampagnen genutzte personenbezogene Daten nach einem Angriff auf seinen Marketingdienstleister kompromittiert worden seien. Zu diesem Vorfall hat sich bislang keine Ransomware- oder Erpressergruppe bekannt, die Täter sind unbekannt.

Datenleck bei Zara: Daten von 197.000 Kunden abgeflossen

Ähnliche Artikel

Neueste Artikel