全球时装零售商Inditex旗下品牌Zara披露一起数据泄露事件,约19.7万名客户信息在一次疑似勒索软件攻击中被泄露。攻击者通过入侵Zara的一家第三方技术供应商获得进入权限,在Zara拒绝支付赎金后,于暗网泄露网站公开了超过1TB数据,其中包括约9500万条订单及客服工单记录。
此次事件最早由Zara母公司Inditex于4月16日披露。Inditex表示,攻击源于一家技术供应商遭遇网络安全事件,并进一步波及包括Zara在内的多家国际企业。
几天后,ShinyHunters在暗网泄露网站发布相关信息,声称已入侵Zara的BigQuery数据库,并向其发出付款或公开数据的勒索要求,最后期限为4月21日。
勒索组织公布ZARA数据泄露信息
在未获得回应后,攻击者随后公开泄露了大量据称来自Zara的数据。
根据最新披露的信息,此次泄露共涉及邮箱地址、购买记录、订单ID、产品SKU以及客服工单等信息。
攻击者声称,此次公开的数据总量达到1TB,其中包含约9500万条客服工单记录。
目前,Inditex尚未公布涉事供应商的具体名称,ShinyHunters的说法也尚未得到官方证实。建议Zara客户留意账户异常情况,如收到自称Zara官方的可疑邮件或短信,务必保持警惕,不要轻易点击链接或提供个人信息。
ShinyHunters持续活跃于全球数据泄露与勒索攻击活动中,曾攻击AT&T、Ticketmaster、Santander等多家大型企业。该团伙倾向于通过窃取数据、公开施压以及暗网泄露等方式实施数据勒索。
