Команда Have I Been Pwned верифицировала утечку: в сети оказались данные более 197 тысяч клиентов Zara. Украдены уникальные адреса email, данные о геолокации, история покупок и переписка со службой поддержки. Имена, телефоны, адреса доставки и платёжные реквизиты, по заявлению Inditex, скомпрометированы не были — но и это требует проверки временем.
Контекст
Zara — флагманский бренд испанского ретейл-конгломерата Inditex, которому также принадлежат Bershka, Pull&Bear, Massimo Dutti, Stradivarius и другие сети. Общая сеть насчитывает свыше 1,5 тысячи собственных и франчайзинговых точек по всему миру. Масштаб — это и есть главная проблема: чем больше экосистема, тем шире поверхность атаки через сторонних подрядчиков.
Взломанные базы данных хранились у бывшего поставщика технологических услуг — название компании Inditex не раскрыла. Злоумышленники получили доступ через скомпрометированные токены аутентификации Anobot, что позволило им читать экземпляры BigQuery. Это классическая атака на цепочку поставок: взломали не саму Zara, а слабое звено в её подрядной экосистеме.
Ответственность взяла на себя группировка ShinyHunters — одна из наиболее активных в сегменте корпоративного вымогательства. Среди их жертв: Cisco, Vimeo, Vercel, AT&T, Rockstar Games, Medtronic и Европейская комиссия. В прошлом месяце ShinyHunters подтвердила кражу данных у десятков компаний через те же токены Anobot. Попытка вытащить данные из Salesforce была заблокирована системой обнаружения на базе ИИ — это редкий публичный кейс, где AI-детекция реально сработала.
Аналитика
Этот инцидент — учебный пример supply chain attack нового поколения. Атакуют не через уязвимости в коде, а через токены и учётные данные подрядчиков. Причём подрядчик может быть «бывшим» — то есть контракт расторгнут, но токены остались живыми. Именно это, судя по всему, и произошло с Inditex. Инвалидация токенов при смене вендора — простая гигиена, которой не следуют даже глобальные корпорации.
ShinyHunters активно эксплуатирует фишинг против Microsoft Entra, Okta и Google SSO — это значит, что в зоне риска вся SaaS-экосистема компании, подключённая к этим провайдерам идентичности. Один скомпрометированный подрядчик с SSO-доступом открывает дверь в CRM, аналитику, облачные хранилища. Именно поэтому 140 ГБ данных — это не баг, это архитектурное решение «всё в облаке, всё связано».
Параллельно атакам на Zara и Mango в ретейл-сегменте — Nike расследует публикацию 1,4 ТБ операционных данных группировкой World Leaks. Ретейл стал системной мишенью: большая клиентская база, сложные цепочки поставок, множество SaaS-интеграций, часто слабый InfoSec на уровне подрядчиков.
Кейсы применения в бизнесе
B2B-SaaS стартап: если вы работаете с несколькими подрядчиками и передаёте им API-токены или сервисные аккаунты — проведите аудит прямо сейчас. Составьте реестр всех выданных токенов, проверьте, есть ли срок действия, настройте автоматическую инвалидацию при завершении контракта. Инструмент минимума: Google Cloud IAM audit logs или AWS CloudTrail.
Корпорация с legacy: история Zara показывает, что данные в BigQuery, подключённые к старым подрядческим аккаунтам, — живая угроза. Приоритет: инвентаризация сервисных аккаунтов в GCP/AWS, ротация токенов, внедрение принципа минимальных привилегий. Не «когда будет время», а в этом квартале.
SMB и локальный бизнес в КР/СНГ: если вы используете облачные CRM (например, Bitrix24, AmoCRM) и подключали к ним сторонних разработчиков — проверьте список активных интеграций и API-ключей. Удалите всё, что не используется. Настройте уведомления о входах в аккаунт с новых устройств.
Кейсы в личной жизни
Разработчик: проверьте свои личные аккаунты через Have I Been Pwned прямо сейчас. Если email был в утечке — смените пароли на связанных сервисах, включите 2FA. Для рабочих проектов: никогда не используйте долгоживущие токены там, где можно использовать короткоживущие с автообновлением.
Покупатель онлайн-магазинов: адрес электронной почты + история покупок + геолокация — достаточно для точечного фишинга. Если вы клиент Zara и получаете «письмо от службы поддержки» со ссылкой — не кликайте. Проверяйте отправителя вручную.
Фрилансер/подрядчик: если вы получаете доступ к данным клиента (облако, CRM, аналитика) — фиксируйте это в договоре, используйте отдельные аккаунты для каждого клиента, никогда не сохраняйте токены в .env-файлах в публичных репозиториях. Ваша небрежность = их утечка = ваша ответственность.
Как применить сегодня
- Проверьте свой email на Have I Been Pwned — бесплатно, занимает 10 секунд.
- Проведите аудит активных API-токенов и сервисных аккаунтов в вашем облаке — удалите все неиспользуемые.
- Настройте политику автоматического истечения токенов при завершении контрактов с подрядчиками.
- Включите алерты на подозрительные входы в Google Workspace / Microsoft 365 / Okta — это бесплатно и делается за 5 минут в настройках безопасности.
- Если вы ретейл или e-commerce — сегментируйте доступ подрядчиков: каждый вендор видит только свои данные, не весь BigQuery.
Попытка ShinyHunters вытащить данные из Salesforce была заблокирована AI-детекцией — редкий публичный случай, когда автоматическая система реально остановила атаку в процессе.