Hackers conseguiram invadir os bancos de dados da varejista espanhola de fast-fashion **Zara**, comprometendo os dados de mais de 197.000 clientes, de acordo com o **Have I Been Pwned**. **Zara**, uma marca principal do **Inditex Group**, que também é dona de marcas como Bershka e Pull&Bear, opera mais de 1.500 lojas em todo o mundo. ### Detalhes do Vazamento O **Inditex** revelou no mês passado que os bancos de dados comprometidos eram hospedados por um antigo provedor de tecnologia e continham informações sobre relacionamentos comerciais com clientes. A empresa declarou que nomes, números de telefone, endereços, credenciais e informações de pagamento não foram acessados. No entanto, o escopo completo do vazamento e a identidade do provedor afetado permaneceram não divulgados até agora. "O **Inditex** aplicou imediatamente seus protocolos de segurança e iniciou a notificação às autoridades relevantes sobre este acesso não autorizado, que decorre de um incidente de segurança que afetou um antigo provedor de tecnologia e impactou diversas empresas que operam internacionalmente", disse o **Inditex**. ### ShinyHunters Reivindica Responsabilidade A gangue de extorsão **ShinyHunters** reivindicou a responsabilidade pelo vazamento, divulgando um arquivo de 140 GB supostamente roubado de instâncias do **BigQuery** usando tokens de autenticação **Anodot** comprometidos.  A análise do **Have I Been Pwned** revelou que o vazamento expôs 197.400 endereços de e-mail únicos, localizações geográficas, compras e tickets de suporte. "Os dados continham 197 mil endereços de e-mail únicos, juntamente com SKUs de produtos, IDs de pedidos e o mercado de origem do ticket de suporte", declarou o **Have I Been Pwned**. ### Modus Operandi do ShinyHunters O **ShinyHunters** já havia divulgado ao BleepingComputer que roubou dados de inúmeras empresas usando tokens de autenticação **Anodot**. Eles também mencionaram ter sido impedidos por detecção baseada em IA ao tentar roubar dados de instâncias do **Salesforce**. O grupo também foi associado a uma campanha generalizada de vishing visando contas **Microsoft Entra**, **Okta** e **Google** SSO de funcionários para roubar dados de aplicativos SaaS conectados (incluindo **Salesforce**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk**, **Dropbox**, **Microsoft 365**, **Google Workspace**, e outros) após invadir contas corporativas de SSO. ### Alvos Anteriores do ShinyHunters Outros vazamentos reivindicados pelo **ShinyHunters** nos últimos meses incluem **Google**, **Cisco**, **PornHub**, **Match Group**, **Vimeo**, **Rockstar Games**, **ADT**, a **Comissão Europeia**, **McGraw Hill**, **Medtronic**, Carnival, 7-Eleven e Udemy. Mais recentemente, o **ShinyHunters** invadiu duas vezes o gigante de tecnologia educacional **Instructure**, a segunda vez explorando uma vulnerabilidade de segurança para desfigurar portais de login do **Canvas** para aproximadamente 330 faculdades e universidades e ameaçando vazar dados roubados no vazamento anterior da **Instructure** a menos que um resgate fosse pago. A **MANGO**, outra varejista de moda espanhola, também enviou notificações de um vazamento de dados aos seus clientes em outubro, alertando-os de que dados pessoais usados em campanhas de marketing haviam sido comprometidos após o hack de seu fornecedor de marketing. No entanto, nenhum grupo de ransomware ou extorsão reivindicou o incidente da **MANGO**, então os atacantes permanecem desconhecidos.