Inditex va reconèixer a mitjans d'abril una bretxa de dades lligada a accessos no autoritzats a bases de dades allotjades per un antic proveïdor tecnològic. La companyia va sostenir que els seus sistemes i operacions no van resultar afectats i que els atacants no van obtenir noms, telèfons, adreces, credencials ni dades de pagament.
La tensió de l'incident rau en el que va quedar fora i el que sí ha aparegut després. Mentre el grup minimitzava l'abast sobre la informació més sensible, la plataforma Have I Been Pwned va confirmar la presència de 197.000 correus electrònics únics de clients de Zara juntament amb referències de comandes i dades geogràfiques associades.
Have I Been Pwned va confirmar 197.000 correus de clients de Zara
La bretxa va afectar a informació sobre interaccions comercials amb clients que estava en bases de dades d'un antic proveïdor. Inditex va enquadrar el cas en un atac més ampli que va assolir diverses empreses amb activitat internacional.
Have I Been Pwned va verificar 197.000 correus únics de Zara.
A més d'aquestes adreces de correu, la plataforma va detallar que el material sostret inclou codis SKU de productes, identificadors de comandes i dades geogràfiques vinculades a aquests encàrrecs. Aquest conjunt dibuixa un nivell d'exposició superior al d'un simple llistat de contactes, encara que no incorpora, segons Inditex, credencials ni informació de pagament.
ShinyHunters es va atribuir l'atac amb un fitxer de 140 GB
El grup de ransomware ShinyHunters es va adjudicar la intrusió i va difondre un arxiu de 140 GB amb documents suposadament extrets d'instàncies de BigQuery. L'atribució del grup situa el cas en una campanya amb impacte internacional i no en un incident aïllat sobre la cadena de moda.
ShinyHunters va publicar un arxiu de 140 GB.
Segons aquesta atribució, l'extracció s'hauria produït mitjançant testimonis d'autenticació d'Anodot compromesos. Inditex, per la seva banda, va vincular la bretxa a bases de dades allotjades per un antic proveïdor tecnològic i va remarcar que la incidència no va afectar les seves operacions internes.
El mateix grup ha aparegut en incidents recents que han esquitxat la Comissió Europea, Vimeo, Google, Cisco, Pornhub, Match Group, 7-Eleven i McGraw Hill. La referència a aquests atacs amplia el context del cas i situa la bretxa d'Inditex en una cadena d'accions reivindicades per un actor ja conegut en el sector.
Mango ja va notificar a l'octubre una altra filtració lligada al màrqueting
L'episodi arriba a més després d'un altre avís en el sector tèxtil català. A l'octubre, Mango va notificar una filtració de dades relacionada amb informació personal usada en les seves campanyes de màrqueting.
La coincidència temporal entre tots dos casos torna a posar el focus sobre les dades comercials i promocionals que gestionen les grans cadenes. En el cas d'Inditex, la companyia va sostenir que els atacants no van arribar a accedir a noms, números de telèfon, adreces ni dades de pagament.
A l'octubre, Mango va notificar una filtració sobre dades personals usades en campanyes de màrqueting.