文章总结： 时尚品牌Zara发生数据泄露事件，影响约19.74万用户，泄露数据包括邮箱地址、地理位置、购买记录等。攻击者可能利用这些信息进行钓鱼攻击或品牌冒充。泄露数据不包含支付信息等敏感内容，Inditex集团已启动安全协议并通报监管机构。勒索组织ShinyHunters声称通过BigQuery实例窃取140GB数据。 综合评分： 75 文章分类： 数据泄露,威胁情报,安全意识,漏洞分析,安全运营

【安全圈】时尚品牌 Zara 遭数据泄露，约 19.74 万用户恐面临钓鱼风险

安全圈

2026年5月9日 19:01 江苏

在小说阅读器读本章

去阅读

关键词

数据泄露

科技媒体 bleepingcomputer 昨日（5 月 8 日）发布博文，报道称关联西班牙快时尚品牌 Zara 的数据泄露事件，已确认影响 197400 名用户。

Have I Been Pwned 分析指出，本次数据泄露事件影响 197400 名用户，泄露内容主要包括邮箱地址、地理位置、购买记录、产品 SKU、订单 ID，以及客服工单对应的市场信息。

这些数据泄露后，可能无法直接威胁用户账户，但是黑客拼接邮箱和消费轨迹等信息，可以构建针对消费者的完整画像，从而铺垫后续的钓鱼或者其它类型攻击。比如攻击者可以伪装成客服，引用真实订单信息联系用户，从而提高诈骗成功率。

对 Zara 事件而言，现阶段更现实的风险不在支付盗刷，而在后续钓鱼、勒索和品牌冒充。用户若收到与订单、退货、客服工单相关的邮件或来电，需要格外警惕，不要点开陌生链接，也不要重复提交账户信息。

Zara 在全球拥有超过 1500 家公司直营店和加盟店，是 Inditex 集团的旗舰品牌。Inditex 集团是全球最大的时尚分销集团之一，旗下还拥有 Bershka、Zara Home、Oysho、Pull&Bear、Massimo Dutti、Stradivarius 和 Uterq ü e 等品牌。

Inditex 强调受影响数据库并不在现有核心系统中，攻击者没有拿到受影响用户的姓名、电话号码、住址、登录凭证和支付信息（包括银行卡数据）。为了控制风险，Inditex 已启动安全协议，并向相关监管机构通报。

勒索组织 ShinyHunters 已认领此次攻击，并称他们从 BigQuery 实例中窃取了 140GB 文档，所用入口是被盗的 Anodot 身份验证 tokens。

ShinyHunters 近几个月还认领了 Google、Cisco、Match Group、Vimeo、Rockstar Games、欧洲委员会和 Udemy 等多起事件。

END

阅读推荐

【安全圈】Chrome 148 安全大更新127 个漏洞，立刻升级

【安全圈】Ubuntu官方账号被黑！发布假AI程序：实为钓鱼骗局

【安全圈】思科修复高危漏洞，防范 SSRF 与代码执行攻击

【安全圈】供水设施遭入侵，Claude AI 助力黑客锁定 OT 资产

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】时尚品牌 Zara 遭数据泄露，约 19.74 万用户恐面临钓鱼风险》