Des pirates ont réussi à pénétrer dans les bases de données du détaillant espagnol de mode rapide **Zara**, compromettant les données de plus de 197 000 clients, selon **Have I Been Pwned**. **Zara**, une marque phare du **Inditex Group**, qui possède également des marques comme Bershka et Pull&Bear, exploite plus de 1 500 magasins dans le monde. ### Détails de la violation **Inditex** a révélé le mois dernier que les bases de données compromises étaient hébergées par un ancien fournisseur de technologie et contenaient des informations sur les relations commerciales avec les clients. L'entreprise a déclaré que les noms, numéros de téléphone, adresses, identifiants et informations de paiement n'avaient pas été accédés. Cependant, l'étendue complète de la violation et l'identité du fournisseur affecté sont restées non divulguées jusqu'à présent. « **Inditex** a immédiatement appliqué ses protocoles de sécurité et a commencé à notifier les autorités compétentes de cet accès non autorisé, qui découle d'un incident de sécurité ayant affecté un ancien fournisseur de technologie et ayant eu un impact sur plusieurs entreprises opérant à l'international », a déclaré **Inditex**. ### ShinyHunters revendique la responsabilité Le gang d'extorsion **ShinyHunters** a revendiqué la responsabilité de la violation, publiant une archive de 140 Go prétendument volée à des instances **BigQuery** à l'aide de jetons d'authentification **Anodot** compromis.  L'analyse de **Have I Been Pwned** a révélé que la violation avait exposé 197 400 adresses e-mail uniques, des localisations géographiques, des achats et des tickets de support. « Les données contenaient 197 000 adresses e-mail uniques ainsi que des SKUs de produits, des identifiants de commande et le marché d'origine du ticket de support », a déclaré **Have I Been Pwned**. ### Mode opératoire de ShinyHunters **ShinyHunters** avait précédemment révélé à BleepingComputer qu'ils avaient volé des données à de nombreuses entreprises en utilisant des jetons d'authentification **Anodot**. Ils ont également mentionné avoir été contrecarrés par une détection basée sur l'IA lors de tentatives de vol de données à partir d'instances **Salesforce**. Le groupe a également été lié à une campagne de vishing généralisée ciblant les comptes **Microsoft Entra**, **Okta** et **Google** SSO des employés pour voler des données d'applications SaaS connectées (y compris **Salesforce**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk**, **Dropbox**, **Microsoft 365**, **Google Workspace**, et d'autres) après avoir compromis les comptes SSO d'entreprise. ### Cibles précédentes de ShinyHunters Parmi les autres violations revendiquées par **ShinyHunters** ces derniers mois figurent **Google**, **Cisco**, **PornHub**, **Match Group**, **Vimeo**, **Rockstar Games**, **ADT**, la **Commission européenne**, **McGraw Hill**, **Medtronic**, Carnival, 7-Eleven et Udemy. Plus récemment, **ShinyHunters** a piraté deux fois le géant de la technologie éducative **Instructure**, la deuxième fois en exploitant une vulnérabilité de sécurité pour défigurer les portails de connexion **Canvas** d'environ 330 collèges et universités et en menaçant de publier les données volées lors de la précédente violation **Instructure** si une rançon n'était pas payée. **MANGO**, un autre détaillant de mode espagnol, a également envoyé des notifications de violation de données à ses clients en octobre, les avertissant que des données personnelles utilisées dans des campagnes marketing avaient été compromises après le piratage de son fournisseur de marketing. Cependant, aucun groupe de ransomware ou d'extorsion n'a revendiqué l'incident **MANGO**, donc les attaquants restent inconnus.