近日,全球知名快时尚品牌Zara遭遇数据泄露事件,经确认,此次事件波及多达197,400名用户。科技媒体BleepingComputer在报道中详细披露了这一消息,指出泄露的数据涵盖邮箱地址、地理位置、购买记录、产品SKU、订单ID以及客服工单对应的市场信息。
尽管这些泄露的数据看似不直接威胁用户账户安全,但潜在风险不容忽视。网络安全专家指出,黑客可能通过拼接邮箱和消费轨迹等信息,构建出针对消费者的完整画像,进而为后续的钓鱼攻击或其他类型的网络诈骗铺路。例如,攻击者可以伪装成Zara客服,利用真实的订单信息联系用户,以此提高诈骗的成功率。
对于Zara而言,此次事件带来的直接风险并非支付盗刷,而是后续可能遭遇的钓鱼攻击、勒索威胁以及品牌冒充。因此,用户若收到与订单、退货或客服工单相关的邮件或来电,应格外警惕,切勿点击陌生链接,也不要重复提交账户信息。
Zara作为Inditex集团的旗舰品牌,在全球拥有超过1500家公司直营店和加盟店。Inditex集团是全球最大的时尚分销集团之一,旗下还拥有Bershka、Zara Home、Oysho、Pull&Bear、Massimo Dutti、Stradivarius和Uterqüe等多个知名品牌。
针对此次数据泄露事件,Inditex集团迅速作出回应,强调受影响的数据库并不在其现有核心系统中,攻击者并未获取到受影响用户的姓名、电话号码、住址、登录凭证以及支付信息(包括银行卡数据)。为控制风险,Inditex已启动安全协议,并向相关监管机构进行了通报。
值得一提的是,勒索组织ShinyHunters已公开认领此次攻击,并声称他们从BigQuery实例中窃取了140GB的文档,使用的入口是被盗的Anodot身份验证tokens。据公开信息显示,ShinyHunters在近几个月内还认领了Google、Cisco、Match Group、Vimeo、Rockstar Games、欧洲委员会和Udemy等多起数据泄露事件,显示出其在网络攻击领域的活跃程度。
