- Inicie sesión para enviar comentarios
La popular firma de cosmética y productos de belleza hechos a mano ha sido víctima de un ataque a su tienda online, lo que ha permitido el robo de los datos de las tarjetas bancarias de numerosos clientes durante cuatro meses.
La página web de la compañía de cosméticos Lush ha sido hackeada y como consecuencia de este ataque, los detalles de tarjetas de crédito han sido robados durante casi 4 meses, período en el que se incluye la campaña de compras de Navidad. Algunas de estas tarjetas ya han sido utilizadas para realizar compras fraudulentas, tal y como advierte Trend Micro. Los clientes en la página de Facebook de Lush están manifestando su descontento y preocupación.
Las consecuencias de este ataque son graves, y el efecto sobre la confianza en Lush, así como en su tienda online han sido tan serios que se ha decidido que toda la página web de la compañía haya sido puesta offline y sustituida con una simple página en la que se ofrecen detalles limitados del ataque.
Así, el comunicado de la web dice lo siguiente:
“Nuestra página web ha sido víctima de los hackers. Una monitorización de seguridad de 24 horas nos ha mostrado que todavía estamos en el punto de mira y hay continuos intentos por volver a acceder.. Nos negamos a poner en riesgo a nuestros clientes, por eso, hemos decidido retirar completamente esta versión de nuestra web. Para ayudar a esclarecer y añadir tranquilidad a los usuarios, nos gustaría que todos los clientes que hayan realizado compras ONLINE entre el 4 de octubre de 2010 y el 20 de enero de 2011, se pusieran en contacto con sus bancos con el fin de asesorarse, pues los detalles de su tarjeta de crédito podrían haberse visto comprometidos”.
Rik Ferguson, Consultor Senior de Seguridad de Trend Micro, comenta que “inicialmente, recibí esta alerta directamente de una de mis amigas, cuya tarjeta había sido utilizada para realizar compras fraudulentas por un valor de 6.000 libras en un conocido retailer online”. .
Los consumidores deben de exigir a sus instituciones financiera más servicios como números de tarjetas de crédito de un solo uso para facilitarles más protección cuando realicen compras online. Las tarjetas de crédito con números de un único uso se introdujeron en el mercado en el año 2000 por AmEX, pero no han sido adoptadas ampliamente por los consumidores tal y como se hubiera esperado. Hable con su banco y averigüe qué seguridad ofrece cuando se trata de compras online.
El riesgo del robo de estos números de tarjetas que están siendo utilizadas por los criminales ya ha traspasado la teoría para convertirse en real.
Trend Micro apunta que, en su mayor parte, las compras online son tan seguras como las compras tradicionales realizadas directamente en la tienda, pero cuando se produce un ataque y un comercio online se ver comprometido, a menudo sus consecuencias son mucho mayores y afectan a más gente que cuando se da una clonación de tarjetas en un establecimiento debido a la naturaleza centralizada de las tiendas online. Si crees que puedes haberte visto afectado contacta inmediatamente con tu banco.
Lush no ha hecho públicos los detalles sobre cómo exactamente los delincuentes pudieron acceder a la información, pero nunca es mala idea hacer hincapié en algunos consejos sobre mejores prácticas para asegurar las aplicaciones web:
- Mantener las aplicaciones parcheadas.
- NUNCA almacenes datos sensibles en ”clear text” (esto, de hecho, es una exigencia de la normativa PCI)
-
Realice y mantenga un escaneo regular de vulnerabilidades desde dentro así como desde fuera.
-
Utilice una autenticación fuerte (factor 2) si únicamente se está sirviendo a una población de usuarios limitada o si los datos que mantiene son particularmente sensibles. Tenga en cuenta que las cookies pueden dar lugar a sesiones de secuestro.
-
Delimitar la comprobación de datos entrantes ayuda a evitar desbordamientos de buffer y ataques del tipo inyección SQL.
-
Facilite el acceso a la información en base a la premisa de Necesario Saber y suminístrela siempre con los Menores Privilegios.
-
No ofrezca información detallada de errores de los buscadores, no espere que sus clientes depuren su aplicación, por lo que no divulgue ese mensaje de error.
Acerca de Trend Micro:
Fundada en 1988, Trend Micro Inc., líder mundial en la seguridad de contenidos en Internet, cuenta con más de 20 años de experiencia en la creación de un mundo más seguro tanto para consumidores como para empresas en el intercambio de información digital. Con sede en Tokio y más de 4.400 empleados en 23 países, Trend es una empresa pionera y líder en el sector, que adelanta una tecnología integrada para la gestión de amenazas a fin de proteger la continuidad de trabajo, la información personal y la propiedad frente al malware, spam, filtraciones de datos y amenazas Web más recientes. Visite TrendWatch en www.trendmicro.com/go/trendwatch para conocer más sobre las amenazas. Sus flexibles soluciones, disponibles en diversas configuraciones, cuentan las 24 horas día con el respaldo de un equipo internacional de expertos en amenazas. Muchas de estas soluciones están reforzadas por la Trend Micro™ Smart Protection Network™, una innovadora infraestructura cloud-cliente de nueva generación que combina una sofisticada tecnología de reputación “in-the-cloud”, bucles de retroalimentación y la experiencia del equipo de investigación de TrendLabs, para ofrecer protección en tiempo real frente a las amenazas emergentes. Las fiables soluciones de seguridad de Trend Micro incluyen una gama de productos que abarcan desde aplicaciones para el mercado de consumo hasta soluciones de seguridad y gestión de amenazas de nivel empresarial. Los productos de Trend Micro se comercializan a través de sus partners empresariales en todo el mundo. Más información en https://es.trendmicro.com.