La sicurezza informatica di The North Face continua a mostrare preoccupanti lacune, con un nuovo attacco di credential stuffing che ha colpito il noto marchio di abbigliamento outdoor nell'aprile 2025. Questo episodio rappresenta il quarto incidente della stessa natura in soli cinque anni, evidenziando una vulnerabilità sistemica nella protezione dei dati dei clienti. La società, che genera oltre 3 miliardi di dollari di ricavi annui e conta sull'e-commerce per il 42% delle vendite totali, si trova nuovamente a dover informare i propri clienti che le loro informazioni personali sono state compromesse.
L'azienda ha rilevato "attività insolite" sul proprio sito web il 23 aprile 2025, avviando immediatamente un'indagine che ha confermato l'attacco. Le informazioni esposte includono nomi completi, cronologia degli acquisti, indirizzi di spedizione, email, date di nascita e numeri di telefono. The North Face ha precisato che i dati di pagamento non sono stati compromessi, poiché gestiti da un fornitore esterno, con l'azienda che conserva solo un token necessario per completare le transazioni.
Un pattern di vulnerabilità allarmante
Questa violazione si inserisce in un contesto di ripetuti fallimenti nella sicurezza informatica per il marchio americano. All'inizio del 2025, la società madre VF Outdoor aveva già segnalato un attacco simile che aveva colpito sia il sito di The North Face che quello di Timberland, compromettendo 15.700 account. Prima ancora, episodi analoghi erano stati documentati nel novembre 2020 e nel settembre 2022, con oltre 200.000 clienti coinvolti.
La decisione di non implementare l'autenticazione a più fattori (MFA) su tutti gli account si è rivelata particolarmente costosa in termini di sicurezza. L'MFA rappresenta infatti uno strumento fondamentale per contrastare proprio gli attacchi di credential stuffing, che sfruttano il riutilizzo delle stesse credenziali su più servizi online da parte degli utenti.
Gli attacchi di credential stuffing funzionano grazie al fenomeno del "riciclo delle credenziali" - l'abitudine degli utenti di utilizzare le stesse combinazioni di nome utente e password su più piattaforme. I cybercriminali automatizzano i tentativi di accesso utilizzando coppie di credenziali precedentemente esposte in altre violazioni di dati. Se però gli account sono protetti da autenticazione multi-fattore, questi attacchi falliscono anche quando le password sono compromesse.
L'incidente più grave nella storia recente del marchio rimane comunque l'attacco ransomware del dicembre 2023, che ha interessato ben 35 milioni di clienti, evidenziando una preoccupante vulnerabilità nelle infrastrutture digitali dell'azienda. VF Corporation, che oltre a The North Face controlla anche marchi come Vans, Timberland e Dickies, si trova ora ad affrontare crescenti preoccupazioni sulla sicurezza dei dati dei propri clienti. Questa sequenza di incidenti solleva interrogativi sulla capacità dell'azienda di proteggere adeguatamente le informazioni sensibili e sull'urgenza di implementare misure di sicurezza più robuste in tutto il proprio ecosistema digitale.