Los datos personales de hasta 10 millones de personas que compraron en línea en artículos deportivos y el minorista de moda JD Sports han sido accedidos y potencialmente robados por delincuentes cibernéticos en un incidente cibernético de naturaleza actualmente desconocida.
Se entiende que el incidente, divulgado hoy (30 de enero), afecta a personas que compraron en línea entre noviembre de 2018 y octubre de 2020 en seis de las marcas de la organización, JD, Size?, Millets, Blacks, Scotts y MilletSport.
En un comunicado enviado a la Bolsa de Valores de Londres, JD Sports dijo que los datos afectados tenían un alcance “limitado” y que no se accedió a las contraseñas de las cuentas de usuario del sitio web. Afirma no tener datos completos de la tarjeta de pago de ninguno de sus clientes.
En este momento, los datos a los que se sabe que se ha accedido consisten en nombres, direcciones de facturación y entrega, direcciones de correo electrónico y números de teléfono, y los últimos cuatro dígitos de las tarjetas de pago utilizadas en los diversos sitios web de JD Sports.
“Queremos pedir disculpas a aquellos clientes que puedan haberse visto afectados por este incidente”, dijo el director financiero de JD Sports, Neil Greenhalgh. “Les aconsejamos que estén atentos a los posibles correos electrónicos, llamadas y mensajes de texto fraudulentos, y les brindamos detalles sobre cómo denunciarlos.
“Continuamos con una revisión completa de nuestra seguridad cibernética en asociación con especialistas externos luego de este incidente. Proteger los datos de nuestros clientes es una prioridad absoluta para JD.”
El minorista dijo que estaba investigando y respondiendo al incidente, y ya incorporó a expertos forenses cibernéticos a bordo y se comprometió con la Oficina del Comisionado de Información de acuerdo con sus obligaciones legales.
El minorista se está acercando de manera proactiva a los clientes que sabe que se verán afectados y les advertirá que estén más atentos a los riesgos potenciales para su propia seguridad, como intentos de fraude o ataques de phishing dirigidos. También advierte a las personas que estén atentas a comunicaciones sospechosas o de aspecto inusual que parezcan provenir de JD Sports o de cualquiera de las otras marcas afectadas.
En su carta a los clientes, una copia de la cual se compartió con Computer Weekly, el minorista también dijo que sus equipos de seguridad respondieron “rápidamente” al descubrir el incidente y que no hubo acceso posterior al servidor comprometido.
JD Sports no proporcionó más información sobre la naturaleza precisa del incidente y, en el momento de escribir este artículo, no había indicios de que el incidente en JD Sports involucrara ransomware.
El incidente es el último de una serie de ataques cibernéticos contra las principales organizaciones orientadas al consumidor en el Reino Unido que se han desarrollado en el espacio de apenas un mes.
Lo más significativo es que un presunto ataque de ransomware LockBit en Royal Mail continúa teniendo ramificaciones para los clientes, con servicios que aún no están completamente operativos casi tres semanas después del incidente inicial.
Otras víctimas destacadas han incluido la operación en el Reino Unido del gigante de comidas informales con sede en EE. UU. Yum! Brands, que dirige las cadenas KFC y Pizza Hut.
Mientras tanto, inmediatamente antes de la Navidad de 2022, El guardián El periódico y el vendedor de autos Arnold Clark fueron víctimas de ataques de ransomware. En el caso de Arnold Clark, el ataque fue posteriormente reivindicado por la operación de ciberextorsión de Play.