HaveIBeenPwnedによると、ShinyHuntersキャンペーンにより、ファッション小売業者Zaraの197,000人以上の顧客の情報が流出しました。
データ侵害通知サービスは、2026年4月のインシデント中に盗まれたデータが、一意なメールアドレスと商品のストックキーピングユニット(SKU)、注文ID、およびサポートチケットに関連する情報を含んでいることを説明する簡潔なメモをウェブサイトに掲載しました。
当初、Zaraの親会社Inditexは、このインシデントに影響を受けた名前、パスワード、銀行カード詳細、またはその他の支払い方法がないと主張していました。
「Inditexは直ちにセキュリティプロトコルを適用し、かつての技術プロバイダーに影響を与え、国際的に事業を展開する複数の企業に影響を及ぼしたセキュリティインシデントに由来するこの不正なアクセスについて、関連当局への通知を開始しました」とグループは4月中旬に述べました。
その事業は明らかにこのインシデントの影響を受けていませんでした。
ShinyHuntersの詳細を読む:MedtronicがShinyHuntersの主張後にデータ侵害を確認
このインシデントは分析プロバイダであるAnodotへの攻撃に由来すると考えられています。
盗まれたAnodot認証トークンは、複数のダウンストリームデータプラットフォームにアクセスするために使用されました。ShinyHuntersは、これらのトークンを介してアクセスされたBigQueryインスタンスから盗んだと主張する140GBのドキュメント集をリークしました。
この「支払うか漏洩するか」キャンペーンの他の企業被害者には、Vimeo、Rockstar Games、およびedtech大手のMcGraw Hillが含まれると考えられています。数百万の顧客が影響を受けています。
HaveIBeenPwned は、このグループが最大9,500万のサポートチケットレコードにこの方法でアクセスしたと主張したと述べました。データはBigQueryだけでなく、企業被害者のSnowflakeインスタンスにも保持されていました。
ShinyHuntersは広大なネットを投げかける
2026年4月下旬、ShinyHuntersはCanvas Learning Management Systemを手掛ける企業であるedtechプロバイダInstructureを標的にしました。これにより、名前、メールアドレス、学生ID番号、およびメッセージの流出をもたらしました。ただし、パスワード、生年月日、政府識別子、または財務情報は影響を受けなかったと主張しました。
TrendAIは、このブリーチが50か国にわたる人気のCanvasラーニング管理プラットフォームの8809人のユーザーに影響することを述べました。
「このブリーチは、8つのアイビーリーグ機関を含む、世界中の大学、K-12学区、および教育病院に影響します」と、それは説明しました。
「Canvasは医療対応要求や私的なアドバイザーとの会話など、機密の個人的な開示を保存しているため、主なリスクは実際の機関コンテキストを使用した高度にターゲット化されたスピアフィッシングです。直接的なリスクは、フォローオンのソーシャルエンジニアリング、認証情報の悪用、およびターゲット化されたフィッシングキャンペーンです。」
Instructureが5月12日までに身代金を支払うよう圧力をかけるために、ShinyHuntersは脆弱性を悪用して数百の教育機関のCanvasログインポータルを改ざんしました。
「影響を受けたリスト内のいずれかの学校が自分のデータの公開を防止することに関心がある場合は、サイバーアドバイザリー企業に相談し、TOXで解決策を交渉するために私たちに個別に連絡してください。すべてがリークされる前に2026年5月12日の終日までの時間があります」とメモは読みました。
翻訳元: https://www.infosecurity-magazine.com/news/zara-data-breach-impacts-200000/
