A conhecida marca de vestuário e equipamento para atividades ao ar livre, The North Face, está a alertar os seus clientes para uma violação de segurança ocorrida em abril, onde informações pessoais foram roubadas através de ataques de credential stuffing direcionados ao seu website. Esta não é, infelizmente, uma novidade para a empresa, que tem enfrentado repetidos incidentes de segurança nos últimos anos.
A mais recente investida: Credential stuffing em abril
Numa comunicação enviada aos clientes afetados, e da qual uma amostra foi partilhada com o Procurador-Geral do Vermont, a The North Face revelou ter detetado atividade invulgar no seu website, thenorthface.com, a 23 de abril de 2025. Após uma investigação imediata, a empresa concluiu ter sido alvo de um ataque de credential stuffing de pequena escala nessa mesma data.
A The North Face, uma subsidiária da VF Corporation – que também detém marcas como Vans, Timberland e Dickies – gera mais de 3 mil milhões de dólares em receitas anuais, sendo que aproximadamente 42% deste volume provém do seu comércio eletrónico.
Como funciona o credential stuffing?
Os ataques de credential stuffing são uma tática comum entre os cibercriminosos. Estes utilizam listas de nomes de utilizador e palavras-passe, previamente roubadas de outras fugas de informação em diferentes serviços online, para tentar aceder a contas noutras plataformas. Esta técnica explora a tendência que muitas pessoas têm de reutilizar as mesmas credenciais em múltiplos websites. Contudo, a eficácia destes ataques é drasticamente reduzida se as contas estiverem protegidas por autenticação multifator (MFA).
Detalhes da fuga de informação: O que foi e não foi exposto
Felizmente, os dados de pagamento dos clientes não foram comprometidos, uma vez que a The North Face utiliza um fornecedor externo para processar pagamentos e não armazena informações financeiras sensíveis, à exceção de um token necessário para a transação.
No entanto, a seguinte informação pessoal dos clientes poderá ter sido acedida pelos atacantes:
- Nome completo
- Histórico de compras
- Morada de envio
- Endereço de email
- Data de nascimento
- Número de telefone
Um histórico preocupante de incidentes de segurança na The North Face
Este incidente de abril de 2025 é o mais recente numa série de falhas de segurança que têm afetado a The North Face. A decisão de não implementar de forma generalizada a autenticação multifator (MFA) nas contas dos seus clientes parece ter um custo contínuo.
Este é, pelo menos, o quarto ataque de credential stuffing que o website da marca sofre desde 2020:
- Março de 2025: A empresa-mãe, VF Outdoor, reportou um ataque semelhante que afetou os websites thenorthface.com e timberland.com, descoberto a 13 de março e que expôs 15.700 contas.
- Setembro de 2022 e Novembro de 2020: Dois incidentes anteriores de credential stuffing comprometeram, no total, mais de 200.000 clientes.
Além destes, o incidente de cibersegurança mais grave que atingiu a The North Face foi um ataque de ransomware em dezembro de 2023, que posteriormente se confirmou ter impactado uns impressionantes 35 milhões de clientes. A repetição destes eventos levanta sérias questões sobre as medidas de proteção de dados da empresa.
Nenhum comentário
Seja o primeiro!