Op 8 mei 2026 is een datalek bij Zara bekendgemaakt: de modeketen was vorige maand genoemd als slachtoffer van ShinyHunters, waarna gegevens met 197.000 unieke e-mailadressen online verschenen. Het gaat om supportrecords, product-SKU’s en order-ID’s; oorzaak, aanvalsmethode en geografisch bereik zijn onbekend.
New breach: Zara was named as a ShinyHunters victim last month, after which data containing 197k unique email addresses was published. Impacted data included customer support records, product SKUs and order IDs. 60% were already in @haveibeenpwned. More: https://t.co/0hIQbqoBCk
— Have I Been Pwned (@haveibeenpwned) May 8, 2026
Dit lek draait minder om toegang tot accounts en meer om de sporen rond klantenservice. Een order-ID en product-SKU zeggen niet alles over een klant, maar ze koppelen een e-mailadres wel aan een concrete aankoop of klacht. Dat maakt de dataset anders dan een losse mailinglijst, ook omdat Zara een merk is waar veel consumenten vaker terugkeren.
Supportdata maakt aankopen herkenbaar
Customer support records zijn vaak rommelig, maar juist daarom waardevol. Ze kunnen laten zien dat iemand contact had over een bestelling, retour, klacht of productvraag. In de bron staat niet welke velden precies in die supportrecords zaten. Wel is duidelijk dat de gegevens verder gingen dan alleen e-mailadressen, doordat ook product-SKU’s en order-ID’s zijn genoemd.
Een SKU is een intern productnummer waarmee een artikel te herkennen is. In een retaillek kan dat detail de stap maken van “dit adres stond in een database” naar “dit adres hoort bij deze aankoop”. Dat is vooral relevant bij een merk als Zara, waar online bestellingen en retouren een groot deel van de klantrelatie vormen. Het lek raakt dus niet alleen identiteit, maar ook winkelgedrag.
Zestig procent was al bekend
Van de 197.000 unieke e-mailadressen stond 60 procent al in Have I Been Pwned. Dat betekent niet dat dit incident klein is. Het zegt vooral dat een groot deel van de betrokken adressen eerder in andere datasets opdook. Voor die groep komt er een nieuwe context bij: niet alleen dát het adres ergens rondgaat, maar ook dat het aan Zara-supportdata is verbonden.
De overige 40 procent is juist het deel dat nog niet in die databank voorkwam. Bij 197.000 adressen gaat het dan om tienduizenden adressen die voor het eerst in zo’n overzicht kunnen verschijnen. Die verhouding maakt dit lek dubbel: deels hergebruik van bekende digitale identiteit, deels nieuwe zichtbaarheid van klanten die eerder buiten beeld bleven.
De ontbrekende details tellen mee
ShinyHunters wordt in de melding genoemd als dadergroep, maar de bron geeft geen aanvalsmethode. Er staat niet of Zara zelf werd binnengedrongen, of een leverancier of supportsysteem betrokken was. Ook is niet duidelijk wanneer de gegevens precies zijn buitgemaakt. Die onbekenden zijn belangrijk, omdat supportdata vaak verspreid staat over meerdere tools en teams.
Voor klanten is het meest praktische signaal concreet: let bij berichten over openstaande retouren, ordernummers of productvragen extra op de afzender en de link. Niet omdat elk Zara-bericht verdacht is, maar omdat echte orderdetails een vals bericht minder vreemd kunnen laten lijken. De volgende vraag is daarom niet alleen hoeveel klanten zijn geraakt, maar uit welk systeem deze supportsporen precies kwamen.
