Zara数据泄露事件深度解析：近20万用户面临钓鱼攻击风险与防护指南

科技媒体BleepingComputer昨日披露，西班牙快时尚巨头Zara确认发生数据泄露，受影响用户数量已达197,400名。

根据数据泄露查询网站Have I Been Pwned的分析，此次泄露的数据涵盖用户邮箱地址、地理位置、购买记录、产品SKU、订单ID及客服工单对应的市场信息。

这些数据虽不直接包含支付凭证，但隐患显著。攻击者可将邮箱与具体消费轨迹关联，为每位受影响的用户构建精准的“数字画像”。凭借此画像，后续钓鱼攻击或社会工程学攻击的成功率将急剧上升。例如，伪装成客服并准确引用用户真实订单细节的骗局，极具迷惑性。

因此，对Zara用户而言，当前更紧迫的风险在于需防范可能随之而来的钓鱼邮件、勒索软件攻击及品牌冒充行为。若收到涉及订单、退货或客服工单的邮件或电话，务必保持高度警惕，避免点击可疑链接或重复提交账户信息。

作为全球最大时尚分销集团Inditex的旗舰品牌，Zara在全球运营超过1500家直营与加盟店。Inditex集团旗下还拥有Bershka、Pull&Bear等多个品牌。集团声明称，受影响数据库不在其核心系统内，攻击者也未获取用户姓名、电话、住址、登录凭证或支付信息等敏感数据。为控制风险，Inditex已启动安全协议并向相关监管机构通报。

此次攻击已由黑客组织ShinyHunters认领。该组织声称通过窃取的Anodot身份验证令牌，从一个BigQuery实例中获取了约140GB的文档。

ShinyHunters近期“战绩显赫”，在数月内还认领了针对谷歌、思科、Match Group、Vimeo、Rockstar Games乃至欧洲委员会的多起高调数据泄露事件。