Genel Veri Koruma Yönetmeliği (GDPR), Standartlar, Yönetmelikler ve Uyumluluk
Açığa Çıkan: Çevrimiçi Müşteri Ayrıntıları, Ancak Ödeme Kartı Verileri Eksik
Mathew J. Schwartz (euroinfosec) •
30 Ocak 2023
Dünyanın dört bir yanında satış noktaları bulunan İngiliz spor moda perakendecisi JD Sports, bilgisayar korsanlarının “yaklaşık 10 milyon tekil müşteriyle” ilgili verileri çaldığını söylüyor.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyum Başucu Kitabı
Şirket, ihlalin “Kasım 2018 ile Ekim 2020 arasında verilen bazı çevrimiçi siparişlerle ilgili” müşteri verilerini içeren bir sistemden kaynaklandığını ve müşterilerin dolandırıcılar nedeniyle risk altında olduğunu söylüyor.
Londra Menkul Kıymetler Borsası’nda işlem gören ve çoğunluğu Londra merkezli Pentland Group’a ait olan şirket, birden fazla ülkede binlerce fiziksel mağaza işletiyor.
Pazartesi günü yayınlanan bir veri ihlali bildiriminde şirket, güvenlik olayının altı spor moda ve dış giyim mağazası markasının çevrimiçi müşterilerini etkilediğini söyledi: JD, Size?, Millets, Blacks, Scotts ve MilletSport.
Açıklanan bilgiler bir müşterinin adını, fatura adresini, teslimat adresini, e-posta adresini, telefon numarasını ve sipariş ayrıntılarını içerir. Aynı zamanda bir müşterinin ödeme kartının son dört hanesini de içerir. Şirket, tam ödeme kartı verilerini saklamadığını söylüyor.
Şirketin “hesap şifrelerine erişildiğine inanmak için hiçbir nedeni yok.”
JD Sports, müşterileri “JD Sports’tan veya grup markalarımızdan herhangi birinden geldiği iddia edilen herhangi bir şüpheli veya olağandışı iletişim için uyanık olmaları” konusunda uyarıyor.
Müşteriler tarafından alınan bildirimlere göre, ihlalin Birleşik Krallık’taki ve diğer birçok ülkedeki bireyleri etkilediği görülüyor.
Şirketin Finans Direktörü Neil Greenhalgh, “Bu olayın ardından harici uzmanlarla ortaklaşa siber güvenliğimizi tam olarak gözden geçirmeye devam ediyoruz” dedi.
JD Sports, 2022 yıllık raporuna göre tüm farklı markalarında 32 bölgede 3.402 mağaza işletiyor. Şirketin mağazaları ağırlıklı olarak Birleşik Krallık’ta ve ayrıca İrlanda’da ve AB’nin diğer bölgelerinde bulunuyor. JD Sports ayrıca Asya-Pasifik, Amerika Birleşik Devletleri ve Kanada’da da mağazalar işletiyor.
Şirket, ihlalin ne zaman başladığı, ne zaman ve nasıl tespit edildiği ve etkilenen tüm müşterilerin nerede yaşadığı hakkında yorum yapmaktan kaçındı.
JD Sports ihlal bildiriminde, Birleşik Krallık Genel Veri Koruma Yönetmeliğini uygulayan İngiltere Bilgi Komiserliği Ofisine bilgi verdiğini söylüyor. GDPR uyarınca, bir kuruluş kişisel verilerinin ihlal edilmiş olabileceğine inandığında, 72 saat içinde ilgili bir makamı uyarmalıdır.
JD Sports ihlali hakkında yanıtlanması gereken düzenleyici sorulardan biri, açığa çıkan verilerin bir kısmının şu anda dört yıldan daha eski olduğu göz önüne alındığında, şirketin GDPR’nin veri minimizasyon kurallarına uyup uymadığı olacaktır. GDPR uyarınca, kişisel verileri toplayan veya işleyen herhangi bir kuruluş, yalnızca ihtiyaç duyduğu ve izin verilen kadarını toplamalı ve verileri zamanında silmelidir.