Jakarta, FORTUNE - Ancaman keamanan siber kembali menghantam industri ritel global. Brand fast-fashion asal Spanyol, Zara, dilaporkan mengalami kebocoran data yang memengaruhi lebih dari 197 ribu pelanggan.
Informasi tersebut diungkap layanan pemantau kebocoran data Have I Been Pwned yang menganalisis basis data hasil peretasan. Induk usaha Zara, Inditex, menyebut insiden berasal dari penyedia layanan teknologi pihak ketiga yang sebelumnya bekerja sama dengan perusahaan.
Melansir BleepingComputer, Inditex memastikan sistem internal perusahaan tetap beroperasi normal dan tidak terdampak langsung oleh serangan tersebut.
Berdasarkan hasil analisis Have I Been Pwned, data yang bocor mencakup sekitar 197.400 alamat email unik, lokasi geografis pelanggan, riwayat transaksi pembelian, tiket layanan bantuan, hingga nomor pesanan dan SKU produk.
Meskipun demikian, perusahaan menegaskan tidak ada data sensitif pelanggan yang berhasil diakses peretas, termasuk nama lengkap, nomor telepon, alamat rumah, kata sandi akun, maupun informasi pembayaran dan detail kartu bank.
"Inditex segera menerapkan protokol keamanan dan mulai memberi tahu otoritas terkait mengenai akses tidak sah ini," ujar perwakilan Inditex dalam pernyataan resminya, mengutip Reuters.
Hingga kini, Inditex belum mengungkap identitas pelaku di balik insiden tersebut. Namun, kelompok peretas ShinyHunters mengklaim bertanggung jawab atas serangan itu.
Kelompok tersebut disebut telah membocorkan arsip data berukuran 140GB. Data diduga dicuri dari layanan BigQuery menggunakan token autentikasi Anodot yang telah diretas sebelumnya.
ShinyHunters dikenal sebagai salah satu kelompok peretas yang kerap membidik perusahaan besar dunia. Nama mereka sebelumnya dikaitkan dengan serangan terhadap sejumlah perusahaan teknologi dan ritel global seperti Google, Cisco, Vimeo, Rockstar Games, 7-Eleven, hingga European Commission.
Modus yang sering digunakan kelompok ini ialah vishing atau voice phishing dengan menargetkan karyawan perusahaan untuk mencuri akses akun Single Sign-On (SSO). Akses tersebut kemudian dimanfaatkan untuk membobol layanan SaaS seperti Salesforce, Slack, dan Microsoft 365.
Kasus yang menimpa Zara juga memperlihatkan meningkatnya risiko keamanan siber melalui vendor eksternal. Sebelumnya, peritel asal Spanyol lainnya, MANGO, mengalami insiden serupa setelah vendor pemasaran mereka diretas pada Oktober 2025.
Berbeda dengan kasus Zara, hingga kini belum ada kelompok peretas yang mengaku bertanggung jawab atas kebocoran data MANGO.
Inditex menyatakan akan terus bekerja sama dengan otoritas terkait untuk menyelidiki insiden tersebut sekaligus memperkuat perlindungan data pelanggan ke depan. Perusahaan juga mengimbau pelanggan meningkatkan kewaspadaan terhadap potensi penipuan email atau phishing.