JD Sports признал утечку данных почти 10 млн клиентов

JD Sports предупредила клиентов, которые покупали товары на веб-сайте в период с ноября 2018 года по октябрь 2020 года, что их номера телефонов и адреса электронной почты стали известны киберпреступникам.

Компания призвала клиентов быть осторожными с потенциальными фишинговыми электронными письмами, звонками и текстовыми сообщениями после взлома. Пол Бишофф, защитник прав потребителей в Comparitech, предупредил, что:

«Клиенты JD и ее дочерних брендов должны следить за целевыми фишинговыми сообщениями от JD или связанной с ней компании. Эти электронные письма будут пытаться заставить жертв щелкнуть ссылку или вредоносное вложение. Ссылки могут быть имитацией страниц входа, где жертв обманом заставляют передать свои пароли или платежную информацию. Никогда не нажимайте на ссылки или вложения в нежелательных сообщениях».

Хотя не предполагается, что пароли или полные данные платежных карт были раскрыты, JD Sports признала, что киберпреступники могли получить доступ к последним четырем цифрам платежных карт клиентов.

Нил Гринхал, финансовый директор JD Sports, извинился перед пострадавшими клиентами и подтвердил, что компания работает над уменьшением ущерба. Нарушение произошло на фоне серии громких кибератак в последние недели, в том числе на британскую газету The Guardian и службу почтового маркетинга Mailchimp.

Помимо экономического спада, некоторые эксперты назвали изменчивый технологический ландшафт ключевым фактором этих громких кибератак.

Грег Дэй, старший вице-президент и глобальный директор по информационной безопасности Cybereason, прокомментировал: киберинцидент с JD Sports:

«Инцидент является напоминанием для всех организаций о том, что во всем мире мы можем ожидать увеличения нарушений из-за нашей цифровой зависимости, особенно по мере того, как предприятия восстанавливаются после технологических изменений COVID и продолжающихся изменений угроз.

К сожалению, в то время как компании потратили годы на укрепление своих возможностей для GDPR, за последние пару лет данные стали гораздо более фрагментированными из-за быстрого перехода в облако».

Эрфан Шадаби, эксперт по кибербезопасности в Comforte AG, утверждает, что кибератаки на крупные предприятия розничной торговли и электронной коммерции не должны вызывать удивления, учитывая огромное количество конфиденциальных персональных данных (PII) о существующих и потенциальных клиентах, а также их зависимость от транзакций. чтобы продвигать свой бизнес.

Даррен Гуччионе, генеральный директор и соучредитель Keeper Security, дал несколько советов заинтересованным клиентам:

«Даже в тех случаях, когда данные клиентов украдены, но не пароли, угроза их конфиденциальной информации в результате утечки данных сохраняется. В фишинговых атаках злоумышленники часто адаптируют мошенничество, используя реалистично выглядящие шаблоны электронной почты и вредоносные веб-сайты. Узнаваемое пользователями визуальное оформление (например, логотип или цветовая схема сайта) используется для того, чтобы заманить их на вредоносную ссылку или поле формы.

Ключом к тому, чтобы не стать жертвой этого типа атак, является обеспечение того, чтобы пользователи проверяли, соответствует ли URL-адрес подлинному веб-сайту.

В любом случае электронные письма, содержащие ссылки, всегда должны подвергаться большей осведомленности и бдительности. Диспетчер паролей, который может автоматически определять, когда URL-адрес сайта не совпадает, является важным инструментом для предотвращения наиболее распространенных атак, связанных с паролями, включая фишинг».

На данный момент основная причина взлома JD Sports еще не общедоступна. Однако это нарушение подчеркивает, что компании всех форм и размеров должны принимать меры для защиты личной информации своих клиентов.