A varejista de roupas e equipamentos para atividades ao ar livre, The North Face, está alertando seus clientes de que suas informações pessoais foram roubadas em ataques de credential stuffing direcionados ao site da empresa em abril.
The North Face é uma importante marca americana de roupas e equipamentos para atividades ao ar livre, pertencente à VF Corporation, que também controla marcas como Vans, Timberland e Dickies.
The North Face gera mais de $3 bilhões em receita anual, o que a torna uma das maiores marcas de produtos para atividades ao ar livre do mundo, com seu e-commerce representando aproximadamente 42% do seu volume total de vendas.
Os ataques de credential stuffing são um tipo de ciberataque onde os agentes de ameaças tentam obter acesso não autorizado a contas de usuários automatizando tentativas de login usando pares de nome de usuário e senha previamente expostos em violações de dados.
A técnica é possível graças ao "reciclagem de credenciais", que ocorre quando as pessoas usam o mesmo nome de usuário e senha em múltiplos serviços online.
No entanto, se as contas estiverem protegidas por autenticação de múltiplos fatores (MFA), esses ataques falham mesmo que as senhas estejam comprometidas.
The North Face agora começou a enviar notificações de violação de dados aos clientes impactados, com um aviso de amostra compartilhado com o Attorney General de Vermont, que informa aos clientes que a empresa sofreu recentemente um ataque de credential stuffing.
"Em 23 de abril de 2025, descobrimos atividades incomuns envolvendo nosso site, thenorthface.com, as quais investigamos imediatamente", diz o aviso.
Após uma investigação cuidadosa e rápida, concluímos que um atacante lançou um ataque de credential stuffing em pequena escala contra nosso site em 23 de abril de 2025.
Os dados que foram expostos incluem:
- Nome completo
- Histórico de compras
- Endereço de envio
- Endereço de email
- Data de nascimento
- Número de telefone
Observa-se que as informações de pagamento não foram expostas, pois um provedor externo lida com pagamentos no site, e The North Face não retém nada além de um token necessário para que o processo seja concluído.
No caso de The North Face, a decisão de não impor MFA em todas as contas teve um custo significativo para sua base de clientes, já que este é o quarto incidente de credential stuffing que o site da marca sofre desde 2020.
No início deste ano, sua empresa mãe, VF Outdoor, informou sobre um ataque de credential stuffing que impactou 'thenorthface.com' e 'timberland.com', descoberto em 13 de março de 2025.
Esse incidente expôs 15.700 contas.
Dois incidentes semelhantes foram divulgados em novembro de 2020 e setembro de 2022, impactando mais de 200.000 clientes.
O incidente de cibersegurança mais grave que atingiu a The North Face foi um ataque de ransomware em dezembro de 2023 que, mais tarde, confirmou-se ter impactado 35.000.000 de clientes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...