Zara (Inditex) : fuite de données clients
Inditex confirme une fuite touchant plus de 197 000 clients Zara via un ancien prestataire technologique. Données revendiquées par ShinyHunters.
- Organisation
- Zara (groupe Inditex)
- Secteur
- Retail / e-commerce
- Pays
- Espagne
- Date des faits
- Données publiées le 22 avril 2026 ; divulgation par Inditex à la mi-avril 2026
- Ampleur
- plus de 197 000 (197 400 adresses email uniques)
- Vecteur
- sous-traitant
- Données exposées
- Adresses email, Identifiants de commande, Références produit (SKU), Historique d'achat, Tickets de support client, Marché d'origine du ticket
Le groupe espagnol Inditex, maison mère de Zara, a confirmé en avril-mai 2026 une fuite de données clients survenue chez un ancien prestataire technologique. Selon les sources concordantes (BleepingComputer, Security Affairs, Infosecurity Magazine), plus de 197 000 personnes sont concernées, le service Have I Been Pwned ayant identifié 197 400 adresses email uniques. Les données exposées comprennent des adresses email, des identifiants de commande, des références produit (SKU), des éléments d’historique d’achat ainsi que des tickets de support client et le marché d’origine de ces tickets. Inditex indique en revanche que les noms, numéros de téléphone, adresses postales, identifiants de connexion et informations de paiement n’ont pas été compromis.
Inditex a confirmé officiellement l’incident, déclarant avoir « immédiatement appliqué ses protocoles de sécurité et commencé à notifier les autorités compétentes » d’un accès non autorisé provenant d’un incident ayant touché un ancien prestataire technologique et impacté « plusieurs entreprises opérant à l’international ». La compromission est revendiquée par le groupe d’extorsion ShinyHunters, qui affirme avoir exfiltré une archive d’environ 140 Go via des jetons d’authentification compromis liés à la plateforme d’analyse Anodot, donnant accès à des instances cloud BigQuery. Les données auraient été publiées le 22 avril 2026, à l’expiration d’un délai de rançon.
Zara étant un détaillant espagnol présent dans la plupart des pays de l’Union européenne, dont la France, et les données fuitées comportant le marché d’origine des tickets de support, des clients européens et français figurent selon toute vraisemblance parmi les personnes touchées. À noter toutefois qu’aucune source consultée ne fournit de ventilation chiffrée par pays ni de confirmation explicite du nombre de clients français ou européens concernés.
Cet incident s’inscrit, selon les chercheurs cités par la presse spécialisée, dans une campagne plus large de ShinyHunters exploitant la même voie d’accès (jetons Anodot) contre de nombreuses organisations. L’attribution et le volume revendiqué (jusqu’à 1 To et environ 95 millions d’enregistrements de tickets selon certaines sources) restent des allégations de l’attaquant et n’ont pas été confirmés indépendamment.
Sources
- Zara data breach exposed personal information of 197,000 people · BleepingComputer
- Zara Data Breach: 197,000 Customers Exposed in Third-Party Security Incident · Security Affairs
- Zara Data Breach Impacts Nearly 200,000 Customers · Infosecurity Magazine
- Zara Owner Inditex Confirms Customer Data Breach Affecting Nearly 200,000 People · Information Security Buzz