İhlal nasıl gerçekleşti?

Saldırının doğrudan Zara’nın altyapısından değil, Inditex’in geçmişte birlikte çalıştığı üçüncü taraf bir analitik sağlayıcısından kaynaklandığı belirtiliyor. ShinyHunters’ın, bu sağlayıcının elindeki yetkilendirme bilgilerini kötüye kullanarak Zara müşterilerine ait verilerin tutulduğu bulut ortamına eriştiği ifade ediliyor.

Bu noktada kritik detay, şirketin kendi sistemleri yerine “eski bir teknoloji sağlayıcısı” üzerinden vurulmuş olması. Yani yıllar önce kullanılan ama bugün aktif olmayan bir araç bile, yanlış kapatıldığında veya iyi yönetilmediğinde markalar için ciddi risk yaratabiliyor.

Hangi veriler sızdırıldı?

Veri ihlaline ilişkin paylaşılan bilgilere göre sızdırılan kayıtlar yaklaşık 197 bin müşteriyi kapsıyor ve özellikle aşağıdaki veri türlerini içeriyor:

• E-posta adresleri
• Sipariş ve talep kimlikleri
• Satın alma geçmişi ve ürün bilgileri
• Müşteri destek taleplerine dair içerikler
• Coğrafi pazar (müşterinin işlem yaptığı ülke/pazar bilgisi)

Inditex tarafından yapılan açıklamada, isim, telefon numarası, fiziki adres, şifre ve ödeme bilgileri gibi daha hassas verilerin bu olay kapsamında ele geçirilmediğinin altı çiziliyor.

ShinyHunters’ın daha büyük kampanyasının parçası

Zara olayı, ShinyHunters grubunun son dönemde yürüttüğü çok daha geniş çaplı bir “veri çalma ve şantaj” kampanyasının yalnızca bir parçası. Grup, son haftalarda farklı sektörlerden yaklaşık 40 kurumu hedef aldığını iddia ediyor.

Bu kampanyada ismi geçen bazı markalar ve kurumlar şöyle:

• 7‑Eleven
• Carnival Corporation
• Lüks moda perakendecisi Mytheresa
• Eğitim platformu Udemy
• Tıbbi cihaz üreticisi Medtronic
• Instructure’ın Canvas öğrenme yönetim sistemi

Paylaşılan bilgilere göre Medtronic’e ait 9 milyon kaydın, Canvas tarafında ise binlerce okul ve yüz milyonlarca kullanıcıya ait verilerin etkilendiği iddia ediliyor.

Fidye yok, sadece veri ve şantaj

ShinyHunters’ın diğer birçok siber suç grubundan ayrıştığı nokta, klasik fidye yazılımı taktiğini terk etmiş olması. Grup, sistemleri şifrelemek yerine yalnızca veriyi çalıyor ve bu veri üzerinden “ödeme yap, yoksa yayımlarız” modeliyle hareket ediyor.

Son sızdırılan mesajlarında, çaldıkları verileri suç dünyasında mümkün olan en geniş kitleyle paylaşacaklarını ve bu verilerin “süresiz” olarak dolaşımda kalacağını söylüyorlar. Bu yaklaşım, veri ihlallerinin etkisini uzun vadeye yayan, markaların itibar riskini de sürekli canlı tutan bir tehdit anlamına geliyor.

Zara müşterileri ne yapmalı?

Zara veya Inditex bünyesindeki markalardan çevrim içi alışveriş yapan kullanıcıların özellikle e-posta güvenliğine dikkat etmesi gerekiyor.

Pratik adımlar:

• E-posta kutunuza gelen “hesabınızı doğrulayın, siparişinizle ilgili sorun var” temalı linklere tıklamadan önce gönderen adresini mutlaka kontrol edin.
• Şüpheli maillerdeki linkleri açmak yerine, doğrudan Zara’nın resmi web sitesine giderek hesabınızı oradan kontrol edin.
• Farklı platformlarda aynı e-posta ve şifre kombinasyonunu kullanıyorsanız, şifrelerinizi güçlü ve benzersiz hale getirin.
• Mümkün olan yerlerde iki faktörlü kimlik doğrulamayı aktifleştirin.

Verinizin bu ihlalde yer alıp almadığını anlamak için Have I Been Pwned gibi veri ihlali takip servislerinden e-posta adresinizi kontrol edebilirsiniz.

Markalar için çıkarılacak ders: Üçüncü taraf risk yönetimi

Zara örneği, “artık çalışılmayan” bir hizmet sağlayıcının bile siber risk üretmeye devam edebileceğini gösteren çarpıcı bir vaka. Şirketlerin sadece kendi sistemlerini değil, çalıştıkları (ve çalışmayı bıraktıkları) tüm üçüncü tarafların güvenlik hijyenini de takip etmesi gerekiyor.

• Kullanılmayan entegrasyonlar ve eski sağlayıcı hesapları düzenli olarak kapatılmalı.
• Veri erişim yetkileri, iş ilişkisi bittiği anda iptal edilmeli.
• Tüm tedarik zinciri için periyodik güvenlik denetimleri yapılmalı.

Bugünün dijital dünyasında, asıl hedefte marka olsa bile saldırının giriş kapısı çoğu zaman üçüncü taraf bir uygulama veya hizmet oluyor.