科技媒体BleepingComputer近日披露，西班牙快时尚品牌Zara发生一起用户数据泄露事件，受影响用户数量已超过19.7万。

根据数据泄露查询网站Have I Been Pwned的分析报告，此次泄露的信息涵盖用户邮箱地址、地理位置、历史购买记录、产品SKU编码、订单ID以及客服工单对应的市场区域数据。

尽管泄露数据不包含直接支付凭证，但其潜在风险不容小觑。攻击者能够将邮箱与具体的消费行为轨迹进行关联，为每位受影响的用户构建出精准的“消费行为画像”。凭借这份画像，后续发起钓鱼邮件或社会工程学攻击的成功率将显著上升。例如，冒充Zara客服人员，在沟通中准确提及用户的真实订单细节，此类骗局极具迷惑性，容易令用户放松警惕。

因此，对Zara用户而言，当前更需防范的是可能随之而来的钓鱼攻击、勒索软件威胁及品牌仿冒诈骗。若收到任何涉及订单查询、退货流程或客服跟进的可疑邮件或电话，务必保持审慎，切勿轻易点击不明链接，也避免重复提交个人账户信息。

Zara所属的Inditex集团是全球最大的时尚零售集团之一，旗下还拥有Bershka、Pull&Bear等多个知名品牌。集团方面已声明，此次受影响的数据库位于核心系统之外，攻击者并未获取用户的姓名、电话号码、住址、登录密码或支付信息等敏感数据。为应对事件，Inditex已启动安全应急预案，并向相关监管机构进行了通报。

值得注意的是，此次攻击已被黑客组织ShinyHunters公开认领。该组织声称，通过窃取的Anodot身份验证令牌，从一个BigQuery实例中获取了约140GB的文档数据。

ShinyHunters是近年来活跃的黑客组织，在近期还宣称对谷歌、思科、Match Group、Vimeo、Rockstar Games乃至欧洲委员会等多起重大数据泄露事件负责。