В результате расследования информационный комиссар установил, что дистрибьютор косметики Lush нарушил закон о защите данных (Data Protection Act) после того, как сайт компании был взломан, а данные о кредитных картах клиентов скомпрометированы.

В январе сайт компании «лёг» в результате настойчивых хакерских атак. Компания предупредила всех клиентов, размещавших заказы онлайн в период с 4 октября 2010 по 20 января 2011 о том, что их данные «возможно были скомпрометированы».

ICO (британская организация информационных комиссаров, которая занимается расследованием подобных случаев) удалось установить, что хакеры могли получить доступ к платёжным реквизитам 5 000 клиентов. Однако, Lush заявила о проблемах с безопасностью только в январе. И то лишь после того, как получила жалобы от 95 клиентов, ставших жертвами мошенничества с кредитными картами.

В ходе расследования ICO также установила, что в компании принимались недостаточные меры для обеспечения защиты информации на своём сайте. В частности, сайт был плохо защищён от хакерских атак. В Lush к тому же не смогли быстро выявить и устранить бреши в своей системе безопасности из-за недейственных методов регистрации подозрительной активности на сайте компании.

В настоящее время Lush подписала обязательство в дальнейшем обеспечивать обработку данных кредитных карт клиентов в соответствии со стандартами Payment Card Industry Data Security Standard (PCI-DSS). Также компания обещает хранить только минимальный набор данных, необходимых для приёма платежей.