JD Sports 近日披露了一次涉及 1000 萬客戶數(shù)據(jù)的網(wǎng)絡(luò)攻擊，這些客戶的個人和財務(wù)信息可能已被攻擊者訪問。

JD Sports 是英國著名運動連鎖服飾零售商。根據(jù)其 2022 年年度報告，JD Sports 在其所有不同品牌中在 32 個地區(qū)經(jīng)營著 3402 家門店。該公司的商店主要位于英國，也在愛爾蘭和歐盟其他地區(qū)。JD Sports 還在亞太地區(qū)、美國和加拿大經(jīng)營門店。

此次攻擊影響范圍包含了 2018 年 11 月至 2020 年 10 月期間在 JD、Size、Millets、Blacks、Scotts 和 MilletSport 品牌下訂單的客戶——估計有“1000 萬獨立客戶”。被泄露的信息包括姓名、地址、電子郵件帳戶、電話號碼、訂單詳細信息和銀行卡的最后四位數(shù)字。

然而，JD Sports 稱訪問的數(shù)據(jù)“有限”，并解釋道他們不存儲完整的支付卡詳細信息。因此，它不認為帳戶密碼已被泄露。

JD Sports還表示，目前所有客戶都被告知要注意網(wǎng)絡(luò)釣魚電子郵件、短信或電話。

JD Sports 首席財務(wù)官尼爾·格林哈爾 (Neil Greenhalgh) 表示：“我們想向可能受到此次事件影響的客戶道歉?！?nbsp;“我們建議他們對潛在的詐騙電子郵件、電話和短信保持警惕，并提供有關(guān)如何報告這些的詳細信息?！?/p>

同時該公司表示：“我們已立即采取必要措施調(diào)查和應(yīng)對事件，包括與領(lǐng)先的網(wǎng)絡(luò)安全專家合作?！?/p>

數(shù)據(jù)監(jiān)管是否合規(guī)

根據(jù)目前掌握的信息，JD Sports 此次發(fā)生的網(wǎng)絡(luò)攻擊事件，受影響的只有歷史數(shù)據(jù)。而且是4年前的用戶數(shù)據(jù)，根據(jù)通用數(shù)據(jù)保護條例（GDPR）數(shù)據(jù)最小化的原則，該公司是否存在違規(guī)的數(shù)據(jù)管控？

目前該公司拒絕就泄露事件何時開始、何時被發(fā)現(xiàn)以及所有受影響客戶的居住方式和地點發(fā)表評論。

JD Sports 在此次事件通告中表示，它已通知英國信息專員辦公室，該辦公室負責執(zhí)行英國通用數(shù)據(jù)保護條例。根據(jù) GDPR，一旦組織認為其個人數(shù)據(jù)可能遭到泄露，它必須在 72 小時內(nèi)通知相關(guān)機構(gòu)。

關(guān)于 JD Sports 數(shù)據(jù)泄露的一個監(jiān)管問題是，該公司是否遵守了 GDPR 的數(shù)據(jù)最小化規(guī)則，因為一些暴露的數(shù)據(jù)現(xiàn)在已有四年多了。根據(jù) GDPR，任何收集或處理個人數(shù)據(jù)的組織都必須只收集它需要的——并且是被允許的——并及時刪除數(shù)據(jù)。

目前此次事件背后的攻擊者尚不清楚，但有關(guān)人士表示可能與近期英國皇家郵政遭到俄羅斯勒索組織LockBit 攻擊有關(guān)。