JD Sports 近日披露了一次涉及 1000 萬客戶數據的網絡攻擊，這些客戶的個人和財務信息可能已被攻擊者訪問。

JD Sports 是英國著名運動連鎖服飾零售商。根據其 2022 年年度報告，JD Sports 在其所有不同品牌中在 32 個地區經營著 3402 家門店。該公司的商店主要位于英國，也在愛爾蘭和歐盟其他地區。JD Sports 還在亞太地區、美國和加拿大經營門店。

此次攻擊影響范圍包含了 2018 年 11 月至 2020 年 10 月期間在 JD、Size、Millets、Blacks、Scotts 和 MilletSport 品牌下訂單的客戶——估計有“1000 萬獨立客戶”。被泄露的信息包括姓名、地址、電子郵件帳戶、電話號碼、訂單詳細信息和銀行卡的最后四位數字。

然而，JD Sports 稱訪問的數據“有限”，并解釋道他們不存儲完整的支付卡詳細信息。因此，它不認為帳戶密碼已被泄露。

JD Sports還表示，目前所有客戶都被告知要注意網絡釣魚電子郵件、短信或電話。

JD Sports 首席財務官尼爾·格林哈爾 (Neil Greenhalgh) 表示：“我們想向可能受到此次事件影響的客戶道歉。” “我們建議他們對潛在的詐騙電子郵件、電話和短信保持警惕，并提供有關如何報告這些的詳細信息。”

同時該公司表示：“我們已立即采取必要措施調查和應對事件，包括與領先的網絡安全專家合作。”

數據監管是否合規

根據目前掌握的信息，JD Sports 此次發生的網絡攻擊事件，受影響的只有歷史數據。而且是4年前的用戶數據，根據通用數據保護條例（GDPR）數據最小化的原則，該公司是否存在違規的數據管控？

目前該公司拒絕就泄露事件何時開始、何時被發現以及所有受影響客戶的居住方式和地點發表評論。

JD Sports 在此次事件通告中表示，它已通知英國信息專員辦公室，該辦公室負責執行英國通用數據保護條例。根據 GDPR，一旦組織認為其個人數據可能遭到泄露，它必須在 72 小時內通知相關機構。

關于 JD Sports 數據泄露的一個監管問題是，該公司是否遵守了 GDPR 的數據最小化規則，因為一些暴露的數據現在已有四年多了。根據 GDPR，任何收集或處理個人數據的組織都必須只收集它需要的——并且是被允許的——并及時刪除數據。

目前此次事件背后的攻擊者尚不清楚，但有關人士表示可能與近期英國皇家郵政遭到俄羅斯勒索組織LockBit 攻擊有關。