重磅！JD Sports泄露1000万用户信息

JD Sports 近日披露了一次涉及 1000 万客户数据的网络攻击，这些客户的个人和财务信息可能已被攻击者访问。

JD Sports 是英国著名运动连锁服饰零售商。根据其 2022 年年度报告，JD Sports 在其所有不同品牌中在 32 个地区经营着 3402 家门店。该公司的商店主要位于英国，也在爱尔兰和欧盟其他地区。JD Sports 还在亚太地区、美国和加拿大经营门店。

此次攻击影响范围包含了 2018 年 11 月至 2020 年 10 月期间在 JD、Size、Millets、Blacks、Scotts 和 MilletSport 品牌下订单的客户——估计有“1000 万独立客户”。被泄露的信息包括姓名、地址、电子邮件帐户、电话号码、订单详细信息和银行卡的最后四位数字。

然而，JD Sports 称访问的数据“有限”，并解释道他们不存储完整的支付卡详细信息。因此，它不认为帐户密码已被泄露。

JD Sports还表示，目前所有客户都被告知要注意网络钓鱼电子邮件、短信或电话。

JD Sports 首席财务官尼尔·格林哈尔 (Neil Greenhalgh) 表示：“我们想向可能受到此次事件影响的客户道歉。” “我们建议他们对潜在的诈骗电子邮件、电话和短信保持警惕，并提供有关如何报告这些的详细信息。”

同时该公司表示：“我们已立即采取必要措施调查和应对事件，包括与领先的网络安全专家合作。”

数据监管是否合规

根据目前掌握的信息，JD Sports 此次发生的网络攻击事件，受影响的只有历史数据。而且是4年前的用户数据，根据通用数据保护条例（GDPR）数据最小化的原则，该公司是否存在违规的数据管控？

目前该公司拒绝就泄露事件何时开始、何时被发现以及所有受影响客户的居住方式和地点发表评论。

JD Sports 在此次事件通告中表示，它已通知英国信息专员办公室，该办公室负责执行英国通用数据保护条例。根据 GDPR，一旦组织认为其个人数据可能遭到泄露，它必须在 72 小时内通知相关机构。

关于 JD Sports 数据泄露的一个监管问题是，该公司是否遵守了 GDPR 的数据最小化规则，因为一些暴露的数据现在已有四年多了。根据 GDPR，任何收集或处理个人数据的组织都必须只收集它需要的——并且是被允许的——并及时删除数据。

目前此次事件背后的攻击者尚不清楚，但有关人士表示可能与近期英国皇家邮政遭到俄罗斯勒索组织LockBit 攻击有关。