Il sito di Lush UK sotto attacco degli hacker

La Redazione

Il sito Web inglese del produttore di cosmetici Lush è stato compromesso e, nell’arco di quattro mesi, sono stati sottratti i dati delle carte di credito di numerosi clienti, compresi quelli che hanno fatto acquisti online nel periodo molto trafficato delle feste natalizie. Parte di questi dati è già stata utilizzata in maniera fraudolenta, e se si visita la pagina Facebook di Lush i clienti sono tutt’altro che contenti. 

Le conseguenze di questo attacco sono state talmente gravi, per non parlare dell’effetto disastroso sulla fiducia che Lush era riuscita a creare intorno al proprio negozio online, che l’intero sito dell’azienda è stato disattivato e sostituito da un’unica pagina che fornisce solo qualche indicazione sull’accaduto. Sul sito Web di Lush UK si legge infatti:

"Il nostro sito è stato vittima di hacker. Il monitoraggio di sicurezza indica che siamo ancora sotto attacco, e sono in atto continui tentativi di ingresso illecito al sistema. Non intendiamo mettere nuovamente a rischio i nostri clienti, e per questo abbiamo deciso di disattivare completamente la versione attuale del sito Web. Per maggiore tranquillità suggeriamo a tutti i nostri clienti che hanno effettuato acquisti ONLINE presso di noi nel periodo compreso tra il 4 ottobre 2010 e il 20 gennaio 2011 di contattare le rispettive banche dal momento che i dati delle loro carte di credito potrebbero essere stati compromessi". 

“Sono venuto inizialmente a conoscenza dell’attacco grazie alla segnalazione di un’amica la cui carta, insieme a quella del marito, è stata utilizzata per effettuare acquisti fraudolenti presso importanti retailer online per un totale di quasi 6.000 sterline” ha dichiarato Rik Ferguson, Senior Security Advisor di Trend Micro.
“Il rischio che i criminali utilizzino dati di carte di credito sottratti non è più una semplice possibilità bensì una realtà concreta”.
 

Nella maggior parte dei casi gli acquisti online sono sicuri tanto quanto quelli effettuati nei negozi tradizionali, ma quando viene compromesso un sito di e-commerce le conseguenze dell’evento sono notevolmente più gravi poiché colpiscono un numero di clienti decisamente superiore rispetto a quello dei negozi tradizionali, a causa della natura centralizzata dei punti vendita online.

I consumatori dovrebbero richiedere ai loro istituti finanziari un maggior numero di servizi per aumentare la protezione degli acquisti online come, ad esempio, i numeri di carta di credito usa e getta: un sistema introdotto nel 2000 da American Express che tuttavia non si è diffuso presso la clientela quanto si immaginava.
 

Lush non ha rivelato i dettagli sulle modalità precise con cui le sue informazioni sono state sottratte, ma non è mai una cattiva idea ripetere alcune best practice per la protezione delle applicazioni Web: 

  • Installare sempre le patch più recenti.
  • MAI memorizzare dati sensibili in chiaro (accorgimento peraltro richiesto dagli standard PCI).
  • Effettuare regolarmente analisi delle vulnerabilità dall’interno così come dall’esterno.
  • Applicare un’autenticazione a 2 fattori se ci si rivolge a una popolazione limitata di utenti o se i dati memorizzati sono particolarmente sensibili. I cookie possono essere usati per effettuare l’hijacking di sessione.
  • Mettere regole ai dati in ingresso aiuta a evitare gli attacchi basati su buffer overflow e SQL injection.
  • Fornire accesso alle informazioni in base alle reali esigenze individuali e sempre con il livello di privilegio più basso possibile.
  • Non fornire pagine di errore dettagliate ai browser: poiché non saranno certo i vostri clienti a eseguire il debug delle vostre applicazioni, è inutile comunicare loro i messaggi di errore.