freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

重磅!JD Sports泄露1000万用户信息
2023-01-31 11:52:19
所属地 上海

JD Sports 近日披露了一次涉及 1000 万客户数据的网络攻击,这些客户的个人和财务信息可能已被攻击者访问。

JD Sports 是英国著名运动连锁服饰零售商。根据其 2022 年年度报告,JD Sports 在其所有不同品牌中在 32 个地区经营着 3402 家门店。该公司的商店主要位于英国,也在爱尔兰和欧盟其他地区。JD Sports 还在亚太地区、美国和加拿大经营门店。

此次攻击影响范围包含了 2018 年 11 月至 2020 年 10 月期间在 JD、Size、Millets、Blacks、Scotts 和 MilletSport 品牌下订单的客户——估计有“1000 万独立客户”。被泄露的信息包括姓名、地址、电子邮件帐户、电话号码、订单详细信息和银行卡的最后四位数字。

然而,JD Sports 称访问的数据“有限”,并解释道他们不存储完整的支付卡详细信息。因此,它不认为帐户密码已被泄露。

JD Sports还表示,目前所有客户都被告知要注意网络钓鱼电子邮件、短信或电话。

JD Sports 首席财务官尼尔·格林哈尔 (Neil Greenhalgh) 表示:“我们想向可能受到此次事件影响的客户道歉。” “我们建议他们对潜在的诈骗电子邮件、电话和短信保持警惕,并提供有关如何报告这些的详细信息。”

同时该公司表示:“我们已立即采取必要措施调查和应对事件,包括与领先的网络安全专家合作。”

数据监管是否合规

根据目前掌握的信息,JD Sports 此次发生的网络攻击事件,受影响的只有历史数据。而且是4年前的用户数据,根据通用数据保护条例(GDPR)数据最小化的原则,该公司是否存在违规的数据管控?

目前该公司拒绝就泄露事件何时开始、何时被发现以及所有受影响客户的居住方式和地点发表评论。

JD Sports 在此次事件通告中表示,它已通知英国信息专员办公室,该办公室负责执行英国通用数据保护条例。根据 GDPR,一旦组织认为其个人数据可能遭到泄露,它必须在 72 小时内通知相关机构。

关于 JD Sports 数据泄露的一个监管问题是,该公司是否遵守了 GDPR 的数据最小化规则,因为一些暴露的数据现在已有四年多了。根据 GDPR,任何收集或处理个人数据的组织都必须只收集它需要的——并且是被允许的——并及时删除数据。

目前此次事件背后的攻击者尚不清楚,但有关人士表示可能与近期英国皇家邮政遭到俄罗斯勒索组织LockBit 攻击有关。

参考链接:https://cybernews.com/news/jd-sports-cyberattack/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录