Zara母公司Inditex遭駭客竊取197萬客戶資料影響近20萬人

西班牙快時尚品牌Zara母公司Inditex（國際時裝集團）近日遭勒索軟體組織ShinyHunters宣稱入侵其雲端分析系統，導致近20萬名客戶個人資料外洩。事件發生於四月，駭客利用Anodot行銷分析平台的驗證憑證，從Inditex的BigQuery執行個體竊取140 GB資料，並威脅若未支付贖金將公開資料。Inditex承認偵測到異常活動，歸因於前技術供應商的資安事件，但強調客戶密碼、信用卡等支付資訊未受影響。Have I Been Pwned週五正式將Inditex列入外洩清單，確認外洩資料達197,000筆，包含不重複電子郵件、產品SKU、訂單編號、客戶來源地區及9,500萬筆支援工單資訊，影響範圍遍及全球市場。此事件凸顯供應鏈資安漏洞的嚴重性，引發業界對雲端數據保護的深切憂慮。

事件經過與駭客手法剖析

ShinyHunters作為近期活躍的勒索軟體組織，其攻擊手法精準且具備高度專業性。根據資安機構分析，該組織於四月利用Anodot行銷分析平台的驗證憑證漏洞入侵Inditex系統，Anodot作為全球零售業常用雲端分析工具，提供客戶行為數據整合服務，但其憑證管理存在缺陷。駭客透過未加密的API介面取得存取權限，直接竊取BigQuery執行個體中的結構化資料，包括客戶訂單細節與行為數據。此手法並非首次出現，類似攻擊在2023年曾導致多家歐美企業外洩，例如Rockstar Games的《GTA》遊戲數據洩漏，均源於第三方供應商資安事件。Inditex雖在事件後展開內部調查，但未能及時修補供應商漏洞，反映出企業對第三方風險評估的不足。資安專家指出，許多企業過度依賴雲端服務卻忽視供應鏈審查，導致「一環失守，全鏈崩解」。更值得警惕的是，ShinyHunters在威脅公開資料後，轉向公開其他受害者資訊，如Vimeo的用戶數據外洩，顯示其攻擊策略已從單一目標擴展至系統性勒索，迫使企業在「支付贖金」與「資料公開」間做抉擇，而Inditex選擇不支付贖金，最終引發更大規模洩露。

資料外洩範圍與行業衝擊

外洩資料的細節顯示，197,000筆客戶資訊包含電子郵件、產品SKU（如Zara服裝型號）、訂單編號及來源地區（涵蓋歐美亞主要市場），這些數據足以精準定位客戶並進行社交工程攻擊，例如偽裝成官方郵件的釣魚詐騙。更嚴重的是9,500萬筆支援工單資訊，包含客戶投訴內容與服務歷史，可能被駭客用於模擬客服進行詐騙。此事件與Nvidia的GeForce NOW外洩案形成呼應，ShinyHunters宣稱竊得數百萬用戶資料，Nvidia已證實亞美尼亞合作的GFN.AM雲端平台遭入侵，顯示攻擊範圍已擴及遊戲與雲端服務產業。零售業尤其脆弱，因客戶數據密集且價值高，而Inditex作為全球第二大時裝集團，擁有超過2,000家門店，數據規模更易成為目標。行業分析指出，類似事件在2023年全球資安事件中佔比達37%，其中70%源於第三方供應商漏洞。台灣企業亦需警惕，因台灣零售業高度依賴國際供應鏈，例如統一超商與國際品牌合作的數據平台，若未加強供應商資安審查，恐重演此類風險。此外，外洩資料可能被黑市販售，每筆客戶資訊價值約10-50美元，推升駭客攻擊動機，對企業商譽與客戶信任造成不可逆損傷。

行業警示與防範策略建議

此事件為全球企業敲響警鐘，凸顯資安管理需從「單點防禦」轉向「供應鏈全鏈路監控」。首先，企業應強制要求第三方供應商通過ISO 27001資安認證，並定期進行滲透測試，避免如Anodot般因小漏洞引發大規模洩露。其次，採用零信任架構（Zero Trust Architecture），對雲端存取實施多因素驗證與最小權限原則，例如Inditex本可透過限制Anodot的API存取範圍來降低風險。資安公司指出，成功防範攻擊的企業多採用「供應商資安分級制度」，將供應商分為高/中/低風險，高風險者需每季提交安全報告。此外，應建立快速應變機制，如Inditex承認「偵測異常」但未及時通報客戶，導致外洩擴大，應參考Nvidia的即時透明化策略——在事件發生後24小時內公佈影響範圍與防護措施。對消費者而言，需提高警惕，定期更換密碼並啟用兩步驟驗證，避免因資料洩露導致二次詐騙。從產業層面看，歐盟《數位服務法案》（DSA）已要求企業公開供應鏈風險報告，台灣可借鑒此框架，推動《資通安全法》修正案，強制關鍵基礎設施企業提交第三方評估。資安專家強調：「資料外洩不是意外，而是管理失誤的結果。」未來企業競爭力將取決於資安成熟度，而非僅是技術創新。Inditex的教訓證明，單一供應商漏洞足以拖垮整個企業生態，唯有將資安納入供應鏈核心流程，方能化解此類威脅。