La popular firma de cosmética y productos de belleza hha sido víctima de un ataque a su tienda online, lo que ha permitido el robo de los datos de las tarjetas bancarias de numerosos clientes durante cuatro meses.

La página web de la compañía de cosméticos Lush ha sido hackeada y como consecuencia de este ataque, los detalles de tarjetas de crédito han sido robados durante casi 4 meses, período en el que se incluye la campaña de compras de Navidad. Algunas de estas tarjetas ya han sido utilizadas para realizar compras fraudulentas, Los clientes en la página de Facebook de Lush están manifestando su descontento y preocupación.

Las consecuencias de este ataque son graves, y el efecto sobre la confianza en Lush, así como en su tienda online han sido tan serios que se ha decidido que toda la página web de la compañía haya sido puesta offline y sustituida con una simple página en la que se ofrecen detalles limitados del ataque.

Así, el comunicado de la web dice lo siguiente:

“Nuestra página web ha sido víctima de los hackers. Una monitorización de seguridad de 24 horas nos ha mostrado que todavía estamos en el punto de mira y hay continuos intentos por volver a acceder.. Nos negamos a poner en riesgo a nuestros clientes, por eso, hemos decidido retirar completamente esta versión de nuestra web. Para ayudar a esclarecer y añadir tranquilidad a los usuarios, nos gustaría que todos los clientes que hayan realizado compras ONLINE entre el 4 de octubre de 2010 y el 20 de enero de 2011, se pusieran en contacto con sus bancos con el fin de asesorarse, pues los detalles de su tarjeta de crédito podrían haberse visto comprometidos”.

Los consumidores deben de exigir a sus instituciones financiera más servicios como números de tarjetas de crédito de un solo uso para facilitarles más protección cuando realicen compras online. Las tarjetas de crédito con números de un único uso se introdujeron en el mercado en el año 2000 por AmEX, pero no han sido adoptadas ampliamente por los consumidores tal y como se hubiera esperado. Hable con su banco y averigüe qué seguridad ofrece cuando se trata de compras online.
El riesgo del robo de estos números de tarjetas que están siendo utilizadas por los criminales ya ha traspasado la teoría para convertirse en real.

En su mayoría, las compras online son tan seguras como las compras tradicionales realizadas directamente en la tienda, pero cuando se produce un ataque y un comercio online se ver comprometido, a menudo sus consecuencias son mucho mayores y afectan a más gente que cuando se da una clonación de tarjetas en un establecimiento debido a la naturaleza centralizada de las tiendas online. Si crees que puedes haberte visto afectado contacta inmediatamente con tu banco.

Lush no ha hecho públicos los detalles sobre cómo exactamente los delincuentes pudieron acceder a la información, pero nunca es mala idea hacer hincapié en algunos consejos sobre mejores prácticas para asegurar las aplicaciones web

  • Mantener las aplicaciones parcheadas
  • NUNCA almacenes datos sensibles en ”clear text” (esto, de hecho, es una exigencia de la normativa PCI)
  • Realice y mantenga un escaneo regular de vulnerabilidades desde dentro así como desde fuera.
  • Utilice una autenticación fuerte (factor 2) si únicamente se está sirviendo a una población de usuarios limitada o si los datos que mantiene son particularmente sensibles. Tenga en cuenta que las cookies pueden dar lugar a sesiones de secuestro.
  • Delimitar la comprobación de datos entrantes ayuda a evitar desbordamientos de buffer y ataques del tipo inyección SQL.
  • Facilite el acceso a la información en base a la premisa de Necesario Saber y suminístrela siempre con los Menores Privilegios.
  • No ofrezca información detallada de errores de los buscadores, no espere que sus clientes depuren su aplicación, por lo que no divulgue ese mensaje de error.

Fuente