Nel mondo sempre più interconnesso del retail online, l’attenzione verso la sicurezza informatica non è più un’opzione, ma una necessità. Lo dimostra l’ultimo incidente che ha coinvolto The North Face, uno dei brand più iconici nel settore dell’abbigliamento outdoor. Più di 2.800 clienti si sono visti recapitare una comunicazione allarmante in cui veniva specificato che i loro account sono stati compromessi durante un attacco informatico nel mese di aprile. L’origine? Una pratica ormai tristemente diffusa, quella del credential stuffing.
Questa tipologia di attacco sfrutta l’abitudine, ancora troppo comune, di utilizzare la stessa combinazione di email e password su più servizi. I criminali informatici prendono di mira siti specifici utilizzando enormi liste di credenziali trapelate da precedenti violazioni. Se un utente ha riutilizzato la stessa password già compromessa in un altro attacco, l’accesso diventa una formalità.
North Face, come riportato da CNet, ha dichiarato di aver rilevato “attività insolite” sul proprio sito il 23 aprile. L’indagine interna ha poi confermato un attacco di piccola scala, che ha interessato esattamente 2.861 account. Anche se l’azienda sostiene che l’incidente non rientra nelle violazioni che richiedono notifiche obbligatorie secondo la legge, ha scelto di avvisare comunque i clienti per precauzione. Tutte le password coinvolte sono state disattivate e gli utenti dovranno impostarne di nuove per poter accedere nuovamente.
Il caso The North Face: quando una buona password fa davvero la differenza
Il caso North Face è solo l’ultimo di una lunga lista che include nome come Marks & Spencer che hanno subito attacchi simili in tempi recenti. Ma ciò che rende queste violazioni così efficaci è quasi sempre la negligenza degli utenti, non necessariamente falle nei sistemi aziendali. In questo caso, anche se i dati delle carte di credito non sono stati compromessi grazie all’uso di token sicuri collegati a processori di pagamento esterni, informazioni personali come nome, data di nascita, email, numero di telefono, indirizzi di spedizione e cronologia degli acquisti potrebbero essere finite nelle mani sbagliate.
Tuttavia, proteggersi non è impossibile. La prima linea di difesa resta una password solida, unica e complessa per ogni account. Troppo complicato? Un buon password manager può fare la differenza. Ancora meglio se si aggiunge un secondo livello di protezione, come l’autenticazione a due fattori (2FA), che richiede anche un codice via app o un riconoscimento biometrico per accedere. C’è poi il tema della quantità di dati che si sceglie di salvare online. Avere tutto memorizzato nell’account di un negozio è comodo, ma ogni informazione aggiuntiva è un possibile premio per un hacker, per cui è corretto valutare di entrare nei siti come ospite o eliminare gli account inutilizzati.
Infine, non meno importante, è la vigilanza contro il phishing. Più dati i criminali raccolgono su una persona, più convincenti diventano i tentativi di truffa via email, SMS o social media. E con l’intelligenza artificiale sempre più abile a imitare linguaggi e contesti reali, riconoscere l’inganno diventa più difficile. Dubitare sempre di messaggi non richiesti, soprattutto se chiedono dati personali o bancari, è un’abitudine salvavita. L’attacco subito da North Face ci ricorda che la sicurezza online è una responsabilità condivisa tra aziende e consumatori. E in molti casi, basta una sola password “pigra” per mettere a rischio un intero ecosistema di informazioni.
