重磅！JD Sports泄露1000万用户信息

JD Sports 近日披露了一次涉及 1000 万客户数据的重磅网络攻击，这些客户的泄露息个人和财务信息可能已被攻击者访问 。

JD Sports 是户信英国著名运动连锁服饰零售商。根据其 2022 年年度报告，重磅JD Sports 在其所有不同品牌中在 32 个地区经营着 3402 家门店  。泄露息该公司的户信商店主要位于英国 ，也在爱尔兰和欧盟其他地区
。重磅JD Sports 还在亚太地区 
、泄露息美国和加拿大经营门店。户信

此次攻击影响范围包含了 2018 年 11 月至 2020 年 10 月期间在 JD、重磅Size、建站模板泄露息Millets、户信Blacks 、重磅Scotts 和 MilletSport 品牌下订单的泄露息客户——估计有“1000 万独立客户” 。被泄露的户信信息包括姓名 、地址、电子邮件帐户
、电话号码 、订单详细信息和银行卡的最后四位数字。

然而，JD Sports 称访问的数据“有限”，源码库并解释道他们不存储完整的支付卡详细信息。因此，它不认为帐户密码已被泄露
。

JD Sports还表示 ，目前所有客户都被告知要注意网络钓鱼电子邮件
、短信或电话。

JD Sports 首席财务官尼尔·格林哈尔 (Neil Greenhalgh) 表示：“我们想向可能受到此次事件影响的客户道歉。” “我们建议他们对潜在的诈骗电子邮件  、电话和短信保持警惕，并提供有关如何报告这些的详细信息 。模板下载”

同时该公司表示 ：“我们已立即采取必要措施调查和应对事件，包括与领先的网络安全专家合作  。”

根据目前掌握的信息，JD Sports 此次发生的网络攻击事件，受影响的只有历史数据。而且是4年前的用户数据 ，根据通用数据保护条例（GDPR）数据最小化的高防服务器原则，该公司是否存在违规的数据管控？

目前该公司拒绝就泄露事件何时开始 、何时被发现以及所有受影响客户的居住方式和地点发表评论。

JD Sports 在此次事件通告中表示 ，它已通知英国信息专员办公室，该办公室负责执行英国通用数据保护条例 。根据 GDPR ，一旦组织认为其个人数据可能遭到泄露，它必须在 72 小时内通知相关机构。

关于 JD Sports 数据泄露的一个监管问题是服务器租用，该公司是否遵守了 GDPR 的数据最小化规则 ，因为一些暴露的数据现在已有四年多了。根据 GDPR ，任何收集或处理个人数据的组织都必须只收集它需要的——并且是被允许的——并及时删除数据 。

目前此次事件背后的攻击者尚不清楚
，云计算但有关人士表示可能与近期英国皇家邮政遭到俄罗斯勒索组织LockBit 攻击有关。