Comunicato stampa
Il sito di Lush UK sotto attacco degli hacker
I consigli di Trend Micro alle aziende per la protezione dei siti di e-commerce
Milano, 24 gennaio 2011 - Il sito Web inglese del produttore di cosmetici Lush è stato compromesso e,
nell'arco di quattro mesi, sono stati sottratti i dati delle carte di credito di numerosi clienti, compresi quelli che
hanno fatto acquisti online nel periodo molto trafficato delle feste natalizie. Parte di questi dati è già stata
utilizzata in maniera fraudolenta, e se si visita la pagina Facebook di Lush i clienti sono tutt'altro che contenti.
Le conseguenze di questo attacco sono state talmente gravi, per non parlare dell'effetto disastroso sulla
fiducia che Lush era riuscita a creare intorno al proprio negozio online, che l'intero sito dell'azienda è stato
disattivato e sostituito da un'unica pagina che fornisce solo qualche indicazione sull'accaduto.
Sul sito Web di Lush UK si legge infatti:
"Il nostro sito è stato vittima di hacker. Il monitoraggio di sicurezza indica che siamo ancora sotto attacco, e
sono in atto continui tentativi di ingresso illecito al sistema. Non intendiamo mettere nuovamente a rischio i
nostri clienti, e per questo abbiamo deciso di disattivare completamente la versione attuale del sito Web. Per
maggiore tranquillità suggeriamo a tutti i nostri clienti che hanno effettuato acquisti ONLINE presso di noi nel
periodo compreso tra il 4 ottobre 2010 e il 20 gennaio 2011 di contattare le rispettive banche dal momento
che i dati delle loro carte di credito potrebbero essere stati compromessi".
“Sono venuto inizialmente a conoscenza dell'attacco grazie alla segnalazione di un'amica la cui carta,
insieme a quella del marito, è stata utilizzata per effettuare acquisti fraudolenti presso importanti retailer
online per un totale di quasi 6.000 sterline” ha dichiarato Rik Ferguson, Senior Security Advisor di Trend
Micro. “Il rischio che i criminali utilizzino dati di carte di credito sottratti non è più una semplice possibilità
bensì una realtà concreta”.
Nella maggior parte dei casi gli acquisti online sono sicuri tanto quanto quelli effettuati nei negozi tradizionali,
ma quando viene compromesso un sito di e-commerce le conseguenze dell'evento sono notevolmente più
gravi poiché colpiscono un numero di clienti decisamente superiore rispetto a quello dei negozi tradizionali, a
causa della natura centralizzata dei punti vendita online.
I consumatori dovrebbero richiedere ai loro istituti finanziari un maggior numero di servizi per aumentare la
protezione degli acquisti online come, ad esempio, i numeri di carta di credito usa e getta: un sistema
introdotto nel 2000 da American Express che tuttavia non si è diffuso presso la clientela quanto si
immaginava.
Lush non ha rivelato i dettagli sulle modalità precise con cui le sue informazioni sono state sottratte, ma non
è mai una cattiva idea ripetere alcune best practice per la protezione delle applicazioni Web:







Installare sempre le patch più recenti.
MAI memorizzare dati sensibili in chiaro (accorgimento peraltro richiesto dagli standard PCI).
Effettuare regolarmente analisi delle vulnerabilità dall'interno così come dall'esterno.
Applicare un'autenticazione a 2 fattori se ci si rivolge a una popolazione limitata di utenti o se i dati
memorizzati sono particolarmente sensibili. I cookie possono essere usati per effettuare l'hijacking di
sessione.
Mettere regole ai dati in ingresso aiuta a evitare gli attacchi basati su buffer overflow e SQL injection.
Fornire accesso alle informazioni in base alle reali esigenze individuali e sempre con il livello di
privilegio più basso possibile.
Non fornire pagine di errore dettagliate ai browser: poiché non saranno certo i vostri clienti a
eseguire il debug delle vostre applicazioni, è inutile comunicare loro i messaggi di errore.
Trend Micro
Trend Micro, leader globale nella sicurezza dei contenuti Internet, è impegnata a rendere più sicuro lo scambio di
informazioni digitali sia per le aziende che per gli utenti privati. Pioniere del settore in cui ha sempre svolto un ruolo
di avanguardia, Trend Micro promuove lo sviluppo di una tecnologia per la gestione integrata delle minacce in
grado di assicurare la continuità operativa e proteggere le informazioni personali e il patrimonio di risorse da
malware, spam, fughe di dati e dalle più recenti minacce Web. Per approfondimenti sulle minacce è possibile
visitare l’osservatorio TrendWatch all’indirizzo www.trendmicro.com/go/trendwatch
Le soluzioni flessibili di Trend Micro, disponibili in diversi formati, sono supportate 24 ore su 24 e 7 giorni su 7 da
ricercatori esperti nell’analisi delle minacce attivi in tutte le aree geografiche. La gran parte di queste soluzioni sono
potenziate da “Trend Micro Smart Protection Network, un’infrastruttura cloud-client di nuova generazione progettata
per proteggere i clienti dalle minacce Web. Trend Micro, società multinazionale con quartier generale a Tokyo,
commercializza le proprie soluzioni di sicurezza attraverso una rete di business partner presenti in tutto il mondo.
Per ulteriori informazioni e per ottenere copie di prova di tutti i prodotti e servizi Trend Micro, visitare il sito Web
it.trendmicro-europe.com.
Seguiteci su:
Trend Micro su Twitter
Trend Micro su Facebook
Trend Micro su YouTube
Trend Micro su SlideShare
Per ulteriori informazioni:
Carla Targa
Trend Micro
Tel 02 925931
[email protected]
Federica Beretta
M&CM
Tel 02 68821.619
[email protected]