La firma de cosmética y productos de belleza Lush fue víctima de ataques a su tienda online - Seguridad Mania.com - España y América Latina

La página web de la compañía de cosméticos Lush ha sido hackeada y como consecuencia de este ataque, los detalles de tarjetas de crédito han sido robados durante casi 4 meses, período en el que se incluye la campaña de compras de Navidad. Algunas de estas tarjetas ya han sido utilizadas para realizar compras fraudulentas.

Las consecuencias de este ataque son graves, y el efecto sobre la confianza en Lush, así como en su tienda online han sido tan serios que se ha decidido que toda la página web de la compañía haya sido puesta offline y sustituida con una simple página en la que se ofrecen detalles limitados del ataque.

Los consumidores deben de exigir a sus instituciones financiera más servicios como números de tarjetas de crédito de un solo uso para facilitarles más protección cuando realicen compras online. Las tarjetas de crédito con números de un único uso se introdujeron en el mercado en el año 2000 por AmEX, pero no han sido adoptadas ampliamente por los consumidores tal y como se hubiera esperado. Lush no ha hecho públicos los detalles sobre cómo exactamente los delincuentes pudieron acceder a la información, pero nunca es mala idea hacer hincapié en algunos consejos sobre mejores prácticas para asegurar las aplicaciones web:

• Mantener las aplicaciones parcheadas. .
• Nunca  almacenes datos sensibles en ”clear text” (esto, de hecho, es una exigencia de la normativa PCI)
• Realice y mantenga un escaneo regular de vulnerabilidades desde dentro así como desde fuera.
• Utilice una autenticación fuerte (factor 2) si únicamente se está sirviendo a una población de usuarios limitada o si los datos que mantiene son particularmente sensibles. Tenga en cuenta que las cookies pueden dar lugar a sesiones de secuestro.
• Delimitar la comprobación de datos entrantes ayuda a evitar desbordamientos de buffer y ataques del tipo inyección SQL.
• Facilite el acceso a la información en base a la premisa de Necesario Saber y suminístrela siempre con los Menores Privilegios. 
• No ofrezca información detallada de errores de los buscadores, no espere que sus clientes depuren su aplicación, por lo que no divulgue ese mensaje de error.