Dane klientów w rękach hakerów
Kwiecień 2025 roku przyniósł niepokojące wieści dla klientów jednej z największych marek outdoorowych na świecie. The North Face, należąca do koncernu VF Corporation, padła ofiarą kolejnego już ataku typu credential stuffing. Cyberprzestępcy uzyskali dostęp do kont użytkowników, wykorzystując zautomatyzowane próby logowania z użyciem wcześniej wyciekłych loginów i haseł. Zjawisko to opiera się na prostym mechanizmie: wielu użytkowników posługuje się tymi samymi danymi logowania w różnych serwisach, co otwiera drogę dla hakerów. W tym przypadku działania cyberprzestępców skutkowały przejęciem danych osobowych takich jak imiona i nazwiska, adresy e-mail, numery telefonów, adresy wysyłkowe, daty urodzenia, a także historię zakupów. Co istotne, dane dotyczące płatności pozostały bezpieczne. The North Face podkreśliło, że system płatności obsługiwany jest przez zewnętrznego operatora, a sama firma nie przechowuje danych kart kredytowych, a jedynie tokeny umożliwiające realizację transakcji. Firma poinformowała o naruszeniu za pomocą oficjalnych powiadomień wysłanych do klientów. Choć atak miał miejsce na niewielką skalę, jego konsekwencje są poważne, zwłaszcza biorąc pod uwagę wcześniejsze incydenty, które naruszyły zaufanie klientów. Przedstawiciele marki zaznaczyli, że aktywność została wykryta i zbadana tego samego dnia – 23 kwietnia – co pozwoliło na szybkie podjęcie działań ograniczających skutki naruszenia.
Historia problemów z bezpieczeństwem
Najnowszy incydent nie jest odosobniony. Od 2020 roku marka The North Face kilkukrotnie stawała się celem ataków tego samego typu. Ostatni raz, przed kwietniowym zajściem, sytuacja miała miejsce niespełna miesiąc wcześniej – 13 marca – i dotyczyła nie tylko witryny thenorthface.com, ale również timberland.com. Wówczas ujawniono dane 15 700 kont. Wcześniejsze naruszenia, które miały miejsce w listopadzie 2020 i we wrześniu 2022 roku, dotknęły w sumie ponad 200 tysięcy klientów. Kulminacją problemów był jednak atak ransomware z grudnia 2023 roku, który objął aż 35 milionów klientów. Wówczas skala wycieku była rekordowa, a marka zmuszona była podjąć poważne kroki naprawcze, w tym długotrwałą współpracę z zespołami zajmującymi się cyberbezpieczeństwem oraz organami ścigania.
Warto zaznaczyć, że w żadnym z tych przypadków firma nie wymagała od klientów obowiązkowego włączenia uwierzytelniania wieloskładnikowego (MFA), mimo iż ta metoda skutecznie uniemożliwia dostęp do kont nawet przy znajomości hasła. Wielu specjalistów ds. bezpieczeństwa zwraca uwagę na fakt, że brak wymogu MFA jest poważnym zaniedbaniem, które może prowadzić do kolejnych naruszeń. Obecnie The North Face nie ujawniła, ile dokładnie kont zostało objętych kwietniowym atakiem.
