ZARA’nın çatı şirketi Inditex tarafından yapılan açıklamada, siber akının markanın direkt kendi operasyonel altyapısına değil, eski bir teknoloji tedarikçisinin sistemine yönelik gerçekleştiği söz edildi.
Yetkililer, birinci incelemelere nazaran müşterilerin isim, açık adres, şifre ve kredi kartı üzere kritik bilgilerinin ele geçirilmediğini bildirdi. Şirket, bu sistemin 14 Nisan tarihinde yetkisiz bir erişime maruz kaldığını ve mevzunun yetkili mercilere iletildiğini doğruladı.
E-POSTA VE SİPARİŞ AYRINTILARI SIZDI
ZARA’nın birinci açıklamalarının akabinde, siber güvenlik data tabanı “Have I Been Pwned” tarafından yayımlanan aktüel datalar, durumun şirket açıklamasından daha geniş kapsamlı olabileceğini gösterdi. Platformun aktardığı bilgilere nazaran, siber hücumda 197 bin kullanıcıya ilişkin eşsiz e-posta adresi, sipariş numaraları, satın alınan eser kodları ve sevkiyatlara dair coğrafik pozisyon bilgileri internete sızdırıldı.
Bu gelişme, sızdırılan bilgilerin ZARA’nın bildirisinde yer alan “gezinti bilgileri ve analitik hedefli bilgiler” tarifinden daha fazlasını içerebileceğine işaret ediyor.
Söz konusu bilgi ihlalini, daha evvel pek çok global şirketi gaye alan “ShinyHunters” isimli siber hata kümesinin gerçekleştirdiği belirlendi.
Grubun, teknoloji sağlayıcısına ilişkin erişim anahtarlarını ele geçirerek sistemden yaklaşık 140 GB boyutunda bilgi çektiği ve bu bilgileri yayımladığı sav ediliyor. ShinyHunters, daha evvel de Microsoft, T-Mobile üzere dev markalara yönelik taarruzlarla gündeme gelmişti.
MÜŞTERİLER İÇİN KRİTİK UYARI
Siber güvenlik uzmanları, kredi kartı ve şifre üzere finansal bilgiler çalınmamış olsa dahi sızdırılan sipariş geçmişi ve e-posta bilgilerinin tehlike arz ettiğine dikkat çekiyor.
ZARA TARAFINDAN YAPILAN RESMİ BİLDİRİ METNİ
ZARA, müşterilerine yönelik hazırladığı bilgilendirmede şu sözlere yer verdi:
“Verileriniz hakkında kıymetli bilgi
Sayın Müşterimiz,
14 Nisan tarihinde, müşterilerimizle olan ticari bağlantılara dair bilgilerin yer aldığı ve üçüncü bir tarafta barındırılan bilgi tabanlarına yönelik yetkisiz bir erişim tespit edildiğini bildirmek isteriz. Mevzuyla ilgili yetkili merciler ve medya bilgilendirilmiş olup; bu durumun giriş şifrelerini, banka kartı datalarını yahut öteki ödeme araçlarını ya da rastgele bir hassas bilgiyi etkilemediğini teyit ederiz. Ticari platformlarımız her an müşterilerimizin erişimine açık kalmış ve süreçler olağan seyrinde devam etmiştir.
Güvenlik protokollerinin ve uygun düzeltici tedbirlerin uygulanmasının akabinde yapılan kapsamlı tahliller sonucunda; kelam konusu erişimin gezinme bilgileri, satın alma geçmişi, dahili kimlik tanımlayıcılar yahut aygıt kimlikleri ile müşteri hizmetleri sorguları üzere analitik hedeflerle kullanılan kimi bilgilerin yanı sıra birtakım irtibat bilgilerine ulaştığını teyit edebiliriz. Tüm durumlarda, müşteri kapalılığı açısından kıymetli bir risk bulunmamaktadır.


