Il sito Lush UK vittima degli hacker: i consigli di Trend Micro per proteggere i sistemi e-commerce

Il sito Lush UK vittima degli hacker: i consigli di Trend Micro per proteggere i sistemi e-commerce.

24/gen/2011 13.44.44 M&CM Contatta l'autore

Questo comunicato è stato pubblicato più di 1 anno fa. Le informazioni su questa pagina potrebbero non essere attendibili.

TM_logo_noPAYOFF_leggero                                                                                                                                                                      Comunicato stampa

 

 

Il sito di Lush UK sotto attacco degli hacker

I consigli di Trend Micro alle aziende per la protezione dei siti di e-commerce

 

 

Milano, 24 gennaio 2011 - Il sito Web inglese del produttore di cosmetici Lush è stato compromesso e, nell'arco di quattro mesi, sono stati sottratti i dati delle carte di credito di numerosi clienti, compresi quelli che hanno fatto acquisti online nel periodo molto trafficato delle feste natalizie. Parte di questi dati è già stata utilizzata in maniera fraudolenta, e se si visita la pagina Facebook di Lush i clienti sono tutt'altro che contenti.

 

Le conseguenze di questo attacco sono state talmente gravi, per non parlare dell'effetto disastroso sulla fiducia che Lush era riuscita a creare intorno al proprio negozio online, che l'intero sito dell'azienda è stato disattivato e sostituito da un'unica pagina che fornisce solo qualche indicazione sull'accaduto.

 

Sul sito Web di Lush UK si legge infatti:

 

"Il nostro sito è stato vittima di hacker. Il monitoraggio di sicurezza indica che siamo ancora sotto attacco, e sono in atto continui tentativi di ingresso illecito al sistema. Non intendiamo mettere nuovamente a rischio i nostri clienti, e per questo abbiamo deciso di disattivare completamente la versione attuale del sito Web. Per maggiore tranquillità suggeriamo a tutti i nostri clienti che hanno effettuato acquisti ONLINE presso di noi nel periodo compreso tra il 4 ottobre 2010 e il 20 gennaio 2011 di contattare le rispettive banche dal momento che i dati delle loro carte di credito potrebbero essere stati compromessi".

 

“Sono venuto inizialmente a conoscenza dell'attacco grazie alla segnalazione di un'amica la cui carta, insieme a quella del marito, è stata utilizzata per effettuare acquisti fraudolenti presso importanti retailer online per un totale di quasi 6.000 sterline” ha dichiarato Rik Ferguson, Senior Security Advisor di Trend Micro. “Il rischio che i criminali utilizzino dati di carte di credito sottratti non è più una semplice possibilità bensì una realtà concreta”.

 

Nella maggior parte dei casi gli acquisti online sono sicuri tanto quanto quelli effettuati nei negozi tradizionali, ma quando viene compromesso un sito di e-commerce le conseguenze dell'evento sono notevolmente più gravi poiché colpiscono un numero di clienti decisamente superiore rispetto a quello dei negozi tradizionali, a causa della natura centralizzata dei punti vendita online.

 

I consumatori dovrebbero richiedere ai loro istituti finanziari un maggior numero di servizi per aumentare la protezione degli acquisti online come, ad esempio, i numeri di carta di credito usa e getta: un sistema introdotto nel 2000 da American Express che tuttavia non si è diffuso presso la clientela quanto si immaginava.

 

Lush non ha rivelato i dettagli sulle modalità precise con cui le sue informazioni sono state sottratte, ma non è mai una cattiva idea ripetere alcune best practice per la protezione delle applicazioni Web:

 

  • Installare sempre le patch più recenti.
  • MAI memorizzare dati sensibili in chiaro (accorgimento peraltro richiesto dagli standard PCI).
  • Effettuare regolarmente analisi delle vulnerabilità dall'interno così come dall'esterno.
  • Applicare un'autenticazione a 2 fattori se ci si rivolge a una popolazione limitata di utenti o se i dati memorizzati sono particolarmente sensibili. I cookie possono essere usati per effettuare l'hijacking di sessione.
  • Mettere regole ai dati in ingresso aiuta a evitare gli attacchi basati su buffer overflow e SQL injection.
  • Fornire accesso alle informazioni in base alle reali esigenze individuali e sempre con il livello di privilegio più basso possibile.
  • Non fornire pagine di errore dettagliate ai browser: poiché non saranno certo i vostri clienti a eseguire il debug delle vostre applicazioni, è inutile comunicare loro i messaggi di errore.

 

 

Trend Micro

Trend Micro, leader globale nella sicurezza dei contenuti Internet, è impegnata a rendere più sicuro lo scambio di informazioni digitali sia per le aziende che per gli utenti privati. Pioniere del settore in cui ha sempre svolto un ruolo di avanguardia, Trend Micro promuove lo sviluppo di una tecnologia per la gestione integrata delle minacce in grado di assicurare la continuità operativa e proteggere le informazioni personali e il patrimonio di risorse da malware, spam, fughe di dati e dalle più recenti minacce Web. Per approfondimenti sulle minacce è possibile visitare l’osservatorio TrendWatch all’indirizzo www.trendmicro.com/go/trendwatch

Le soluzioni flessibili di Trend Micro, disponibili in diversi formati, sono supportate 24 ore su 24 e 7 giorni su 7 da ricercatori esperti nell’analisi delle minacce attivi in tutte le aree geografiche. La gran parte di queste soluzioni sono potenziate da “Trend Micro Smart Protection Network, un’infrastruttura cloud-client di nuova generazione progettata per proteggere i clienti dalle minacce Web. Trend Micro, società multinazionale con quartier generale a Tokyo, commercializza le proprie soluzioni di sicurezza attraverso una rete di business partner presenti in tutto il mondo. Per ulteriori informazioni e per ottenere copie di prova di tutti i prodotti e servizi Trend Micro, visitare il sito Web it.trendmicro-europe.com.

 

Seguiteci su:

 

 Trend Micro su Twitter

 Trend Micro su Facebook

 Trend Micro su YouTube

 Trend Micro su SlideShare

 

 

Per ulteriori informazioni:

Carla Targa                                                       Federica Beretta

Trend Micro                                                      M&CM

Tel 02 925931                                                   Tel 02 68821.619

carla_targa@trendmicro.it                                f.beretta@mecm.it

 

 

blog comments powered by Disqus
Comunicati.net è un servizio offerto da Factotum Srl