Zara : violation de données exposant 197 000 clients, revendiquée par ShinyHunters

📰 Contexte

Source : BleepingComputer, publié le 8 mai 2026 par Sergiu Gatlan. L’article rapporte une violation de données confirmée affectant le détaillant de mode espagnol Zara, propriété du groupe Inditex, et revendiquée par le gang d’extorsion ShinyHunters.

🎯 Incident

Des attaquants ont accédé à des bases de données hébergées par un ancien prestataire technologique d’Inditex. Selon Inditex, les données compromises concernent des relations commerciales avec des clients sur différents marchés. La société précise que les noms, numéros de téléphone, adresses, identifiants et informations de paiement n’ont pas été exposés.

📊 Données volées

Selon l’analyse de Have I Been Pwned, la violation a exposé les données de 197 400 personnes, incluant :

• Adresses e-mail uniques
• Localisations géographiques
• Achats
• Tickets de support
• SKUs produits, IDs de commandes, marchés d’origine des tickets

🛠️ Méthode d’attaque

ShinyHunters a revendiqué la responsabilité et divulgué une archive de 140 Go contenant des documents prétendument volés depuis des instances BigQuery via des tokens d’authentification Anodot compromis. Le groupe a également indiqué avoir été bloqué par une détection basée sur l’IA lors de tentatives d’exfiltration depuis des instances Salesforce.

🔗 Contexte élargi – Campagne ShinyHunters

ShinyHunters est également lié à :

• Une campagne de vishing ciblant des employés et agents BPO pour voler des comptes Microsoft Entra, Okta, Google SSO et accéder à des SaaS connectés
• Des violations revendiquées contre : Google, Cisco, PornHub, Match Group, Vimeo, Rockstar Games, ADT, Commission européenne, McGraw Hill, Medtronic, Carnival, 7-Eleven, Udemy, Instructure (Canvas)
• Le double piratage d’Instructure, incluant la défiguration de portails Canvas de ~330 établissements d’enseignement

📌 Note sectorielle

Un incident similaire a touché MANGO, autre géant espagnol de la mode, en octobre (via son prestataire marketing), sans revendication connue.

🗂️ Type d’article

Article de presse spécialisée relatant un incident de violation de données confirmé, avec attribution à un acteur de menace connu et contexte de campagne plus large.

🧠 TTPs et IOCs détectés

Acteurs de menace

• ShinyHunters (cybercriminal) — orkl.eu · Malpedia

TTP

• T1078 — Valid Accounts (Initial Access)
• T1530 — Data from Cloud Storage (Collection)
• T1566 — Phishing (Initial Access)
• T1598 — Phishing for Information (Reconnaissance)
• T1657 — Financial Theft (Impact)
• T1586.002 — Compromise Accounts: Email Accounts (Resource Development)

🟢 Indice de vérification factuelle : 65/100 (haute)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 12602 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 6 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/zara-data-breach-exposed-personal-information-of-197-000-people/