A fine aprile 2025, il celebre marchio di abbigliamento outdoor The North Face è stato vittima di un attacco informatico che ha portato alla compromissione di 2.861 account di clienti. Il responsabile? Un metodo ormai tristemente noto nel panorama della sicurezza informatica: il credential stuffing. Si tratta di una tecnica che sfrutta combinazioni di email e password già trapelate da precedenti violazioni, spesso riutilizzate dagli utenti su diversi siti web.
L’attacco è stato rilevato il 23 aprile, quando i sistemi di sicurezza dell’azienda hanno individuato attività anomale sul proprio portale e-commerce. In seguito a un’indagine interna, è emerso che i cybercriminali avevano condotto un’operazione su piccola scala, ma sufficiente per accedere ai profili online di quasi tremila utenti. La società ha scelto di notificare volontariamente l’accaduto agli utenti coinvolti, pur non essendo tenuta legalmente a farlo, come riportato in un documento presentato alle autorità statunitensi del Maine.
Secondo quanto dichiarato da The North Face, i dati accessibili agli attaccanti includevano nomi, date di nascita, numeri di telefono, indirizzi email e postali, oltre a cronologia degli acquisti e preferenze di shopping. Fortunatamente, le informazioni relative alle carte di pagamento non risultano compromesse: l’azienda infatti non memorizza questi dati sui propri server, ma si affida a un sistema di tokenizzazione con provider esterni.
Tra i punti più delicati emersi dall’incidente c’è l’abitudine diffusa tra gli utenti di riutilizzare le stesse credenziali su più servizi online. Un comportamento che espone al rischio anche account apparentemente sicuri. Per questo motivo, oltre alla disattivazione forzata delle password compromesse, The North Face ha consigliato ai clienti di modificare anche le credenziali di eventuali altri account su cui è stata utilizzata la stessa combinazione.
A quanto pare, negli ultimi mesi, anche marchi noti come Victoria’s Secret, Adidas, Cartier e Marks & Spencer, sono stati vittima di attacchi hacker, segno che la sicurezza digitale resta una sfida aperta per il settore del commercio elettronico.
I consigli che vi abbiamo dato in passato restano sempre validi: utilizzare password robuste, univoche e generate casualmente per ogni servizio. L’uso di un password manager può semplificare la gestione di più credenziali, mentre l’attivazione dell’autenticazione a due fattori rappresenta un’ulteriore barriera contro gli accessi non autorizzati. È altrettanto importante limitare i dati memorizzati negli account online: maggiore è la quantità di informazioni salvate, maggiore è il potenziale danno in caso di violazione.
Infine, bisognerebbe essere particolarmente cauti nei confronti di email o messaggi sospetti. Con l’aiuto dell’AI, i tentativi di phishing stanno diventando sempre più raffinati e personalizzati. Ogni comunicazione non richiesta andrebbe valutata con attenzione, specialmente se contiene link o richieste di informazioni personali.
Valditara: "Vietati gli smartphone anche alle superiori dal prossimo anno"