197 Ribu Data Pelanggan Zara Bocor, Kelompok Hacker Ini Diduga Jadi Dalang Peretasan

Liputan6.com, Jakarta - Raksasa ritel fast-fashion asal Spanyol, Zara, dilaporkan menjadi korban peretasan data yang berdampak pada lebih dari 197.000 pelanggan. Informasi ini dikonfirmasi oleh layanan pemberitahuan kebocoran data, Have I Been Pwned, untuk menganalisis basis data yang dicuri tersebut.

Pihak Inditex, grup perusahaan yang menaungi Zara, menyatakan bahwa insiden ini bersumber dari penyedia layanan teknologi pihak ketiga yang pernah bekerja sama dengan mereka.

Meskipun melibatkan jumlah data yang besar, Inditex menegaskan bahwa sistem internal dan operasional perusahaan tetap berjalan normal dan tidak terpengaruh secara langsung. Demikian sebagaimana dikutip dari BleepingComputer, Senin (11/5/2026).

Berdasarkan analisis Have I Been Pwned, kebocoran tersebut mencakup 197.400 alamat email unik, lokasi geografis, riwayat pembelian, serta tiket layanan bantuan. Data tersebut juga memuat ID pesanan dan SKU produk yang dibeli pelanggan.

Meski demikian, Inditex memberikan klarifikasi untuk meredam kekhawatiran konsumen. Perusahaan menyatakan bahwa peretas tidak berhasil mengakses informasi sensitif seperti:

• Nama lengkap pelanggan
• Nomor telepon dan alamat rumah
• Kredensial akun (password)
• Informasi pembayaran atau detail kartu bank

"Inditex segera menerapkan protokol keamanan dan mulai memberi tahu otoritas terkait mengenai akses tidak sah ini," ujar perwakilan Inditex dalam pernyataan resminya.

Hingga saat ini, Inditex belum secara resmi menyebutkan identitas pelaku di balik serangan tersebut. Namun, kelompok peretas ternama, ShinyHunters, telah mengklaim bertanggung jawab atas aksi ini.

Grup pemeras tersebut dilaporkan telah membocorkan arsip data sebesar 140GB. Mereka diduga mencuri dokumen itu dari instansi BigQuery dengan memanfaatkan token autentikasi Anodot yang telah dikompromikan.

ShinyHunters bukan pemain baru dalam dunia kejahatan siber. Belakangan ini, mereka juga dikaitkan dengan serangkaian peretasan terhadap perusahaan global dan institusi besar, termasuk:

• Sektor Teknologi & Media: Google, Cisco, Vimeo, dan Rockstar Games.
• Sektor Layanan & Ritel: ADT, 7-Eleven, dan Match Group.
• Institusi Publik: Komisi Eropa.

Modus operandi kelompok ini sering kali melibatkan kampanye vishing (voice phishing) yang menargetkan karyawan untuk mencuri akun SSO (Single Sign-On), yang kemudian digunakan untuk membobol aplikasi SaaS seperti Salesforce, Slack, hingga Microsoft 365.

Kasus yang menimpa Zara ini mempertegas tren kerentanan keamanan siber melalui vendor atau pihak ketiga. Belum lama ini, kompetitor Zara sesama ritel Spanyol, MANGO, juga mengalami insiden serupa.

Pada Oktober 2025, MANGO mengirimkan notifikasi kebocoran data kepada pelanggannya setelah vendor pemasaran mereka diretas. Bedanya, hingga saat ini belum ada kelompok peretas yang mengklaim bertanggung jawab atas insiden di MANGO.

Pihak Inditex menyatakan akan terus berkoordinasi dengan pihak berwenang untuk mengusut tuntas insiden ini dan memastikan keamanan data pelanggan di masa mendatang.

Bagi para pelanggan Zara, disarankan untuk tetap waspada terhadap potensi upaya penipuan melalui email (phishing) yang memanfaatkan data yang bocor tersebut.