JD Sports 近日披露了一次涉及 1000 万客户数据的网络攻击,这些客户的个人和财务信息可能已被攻击者访问。
JD Sports 是英国著名运动连锁服饰零售商。根据其 2022 年年度报告,JD Sports 在其所有不同品牌中在 32 个地区经营着 3402 家门店。该公司的商店主要位于英国,也在爱尔兰和欧盟其他地区。JD Sports 还在亚太地区、美国和加拿大经营门店。
此次攻击影响范围包含了 2018 年 11 月至 2020 年 10 月期间在 JD、Size、Millets、Blacks、Scotts 和 MilletSport 品牌下订单的客户——估计有“1000 万独立客户”。被泄露的信息包括姓名、地址、电子邮件帐户、电话号码、订单详细信息和银行卡的最后四位数字。
然而,JD Sports 称访问的数据“有限”,并解释道他们不存储完整的支付卡详细信息。因此,它不认为帐户密码已被泄露。
JD Sports还表示,目前所有客户都被告知要注意网络钓鱼电子邮件、短信或电话。
JD Sports 首席财务官尼尔·格林哈尔 (Neil Greenhalgh) 表示:“我们想向可能受到此次事件影响的客户道歉。” “我们建议他们对潜在的诈骗电子邮件、电话和短信保持警惕,并提供有关如何报告这些的详细信息。”
同时该公司表示:“我们已立即采取必要措施调查和应对事件,包括与领先的网络安全专家合作。”
数据监管是否合规
根据目前掌握的信息,JD Sports 此次发生的网络攻击事件,受影响的只有历史数据。而且是4年前的用户数据,根据通用数据保护条例(GDPR)数据最小化的原则,该公司是否存在违规的数据管控?
目前该公司拒绝就泄露事件何时开始、何时被发现以及所有受影响客户的居住方式和地点发表评论。
JD Sports 在此次事件通告中表示,它已通知英国信息专员办公室,该办公室负责执行英国通用数据保护条例。根据 GDPR,一旦组织认为其个人数据可能遭到泄露,它必须在 72 小时内通知相关机构。
关于 JD Sports 数据泄露的一个监管问题是,该公司是否遵守了 GDPR 的数据最小化规则,因为一些暴露的数据现在已有四年多了。根据 GDPR,任何收集或处理个人数据的组织都必须只收集它需要的——并且是被允许的——并及时删除数据。
目前此次事件背后的攻击者尚不清楚,但有关人士表示可能与近期英国皇家邮政遭到俄罗斯勒索组织LockBit 攻击有关。
