JD Sports 近日披露了一次涉及 1000 万客户数据的重磅网络攻击，这些客户的泄露息个人和财务信息可能已被攻击者访问。

JD Sports 是户信英国著名运动连锁服饰零售商。根据其 2022 年年度报告，重磅JD Sports 在其所有不同品牌中在 32 个地区经营着 3402 家门店。泄露息该公司的户信商店主要位于英国，也在爱尔兰和欧盟其他地区。重磅JD Sports 还在亚太地区、泄露息美国和加拿大经营门店。户信

此次攻击影响范围包含了 2018 年 11 月至 2020 年 10 月期间在 JD、重磅Size、泄露息Millets、户信Blacks、重磅Scotts 和 MilletSport 品牌下订单的泄露息客户——估计有“1000 万独立客户”。被泄露的户信信息包括姓名、地址、电子邮件帐户、电话号码、订单详细信息和银行卡的最后四位数字。

然而，JD Sports 称访问的数据“有限”，并解释道他们不存储完整的免费信息发布网支付卡详细信息。因此，它不认为帐户密码已被泄露。

JD Sports还表示，目前所有客户都被告知要注意网络钓鱼电子邮件、短信或电话。

JD Sports 首席财务官尼尔·格林哈尔 (Neil Greenhalgh) 表示：“我们想向可能受到此次事件影响的客户道歉。” “我们建议他们对潜在的诈骗电子邮件、电话和短信保持警惕，并提供有关如何报告这些的详细信息。”

同时该公司表示：“我们已立即采取必要措施调查和应对事件，包括与领先的网络安全专家合作。”

根据目前掌握的信息，JD Sports 此次发生的网络攻击事件，受影响的只有历史数据。而且是4年前的用户数据，根据通用数据保护条例（GDPR）数据最小化的原则，该公司是高防服务器否存在违规的数据管控？

目前该公司拒绝就泄露事件何时开始、何时被发现以及所有受影响客户的居住方式和地点发表评论。

JD Sports 在此次事件通告中表示，它已通知英国信息专员办公室，该办公室负责执行英国通用数据保护条例。根据 GDPR，一旦组织认为其个人数据可能遭到泄露，它必须在 72 小时内通知相关机构。

关于 JD Sports 数据泄露的一个监管问题是，该公司是否遵守了 GDPR 的数据最小化规则，因为一些暴露的数据现在已有四年多了。根据 GDPR，任何收集或处理个人数据的组织都必须只收集它需要的——并且是被允许的——并及时删除数据。

目前此次事件背后的攻击者尚不清楚，但有关人士表示可能与近期英国皇家邮政遭到俄罗斯勒索组织LockBit 攻击有关。