京东体育近日披露了一起涉及1000万客户数据的网络攻击事件,攻击者可能获取了他们的个人信息和财务信息。JDSports是英国著名的运动连锁服装零售商。根据其2022年年度报告,京东体育在其所有不同品牌中在32个地点经营着3,402家门店。该公司的门店主要位于英国,但也在爱尔兰和欧盟其他地区。JDSports还在亚太地区、美国和加拿大经营门店。该攻击影响了在2018年11月至2020年10月期间以JD、Size、Millets、Blacks、Scotts和MilletSport品牌下订单的客户——估计有“1000万独立客户”。泄露的信息包括姓名、地址、电子邮件帐户、电话号码、订单详情和银行卡的最后四位数字。然而,JDSports称访问的数据“有限”,并解释说他们不存储完整的支付卡详细信息。因此,它不认为帐户密码已被泄露。京东体育还表示,目前所有客户都被告知要注意网络钓鱼电子邮件、短信或电话。JDSports首席财务官NeilGreenhalgh表示:“我们想向可能受到此事件影响的客户道歉。”提供有关如何报告这些的详细信息。”同时,该公司表示:“我们已立即采取必要措施调查和应对事件,包括与领先的网络安全专家合作。”在这次网络攻击中,只有历史数据是并且是4年前的用户数据,根据通用数据保护条例(GDPR)的数据最小化原则,公司是否存在非法数据控制?公司拒绝评论违规何时开始,何时开始被发现,或者所有受影响的客户如何以及在哪里生活。在事件通知中,JDSports表示已通知英国信息专员办公室,该办公室负责执行英国通用数据保护条例。根据GDPR,一旦组织认为其个人数据可能已被泄露,必须在72小时内通知相关部门。关于京东体育数据泄露的一个监管问题是公司是否纽约遵守GDPR的数据最小化规则,因为一些暴露的数据现在已有四年多了。根据GDPR,任何收集或处理个人数据的组织都必须仅收集其需要且被允许收集的数据,并及时删除数据。目前尚不清楚这起事件背后的攻击者是谁,但相关人士表示,这可能与俄罗斯勒索组织LockBit近期对皇家邮政发起的攻击有关。
