Spor malzemeleri ve moda perakendecisi JD Sports’ta çevrimiçi alışveriş yapan 10 milyona yakın kişinin kişisel verilerine, şu anda bilinmeyen bir siber olayda siber suçlular tarafından erişildi ve potansiyel olarak çalındı.
Bugün (30 Ocak) açıklanan olayın, Kasım 2018 ile Ekim 2020 arasında kuruluşun altı markası JD, Size?, Millets, Blacks, Scotts ve MilletSport’ta çevrimiçi alışveriş yapan kişileri etkilediği anlaşıldı.
JD Sports, Londra Menkul Kıymetler Borsası’na yaptığı açıklamada, etkilenen verilerin kapsamının “sınırlı” olduğunu ve hiçbir web sitesi kullanıcı hesabı şifresine erişilmediğini söyledi. Müşterilerinin hiçbirinde tam ödeme kartı verilerini tutmadığını iddia ediyor.
Şu anda, erişildiği bilinen veriler isimler, fatura ve teslimat adresleri, e-posta adresleri ve telefon numaralarından ve JD Sports’un çeşitli web sitelerinde kullanılan ödeme kartlarının son dört hanesinden oluşmaktadır.
JD Sports finans müdürü Neil Greenhalgh, “Bu olaydan etkilenmiş olabilecek müşterilerden özür dilemek istiyoruz” dedi. “Potansiyel dolandırıcılık e-postaları, aramaları ve metinleri konusunda dikkatli olmalarını tavsiye ediyor ve bunları nasıl bildireceklerine dair ayrıntılar veriyoruz.
“Bu olayın ardından harici uzmanlarla ortaklaşa siber güvenliğimizi tam olarak gözden geçirmeye devam ediyoruz. Müşterilerimizin verilerini korumak, JD için mutlak bir önceliktir.”
Satıcı, olayı araştırdığını ve olaya yanıt verdiğini ve halihazırda üçüncü taraf siber adli tıp uzmanlarını işe aldığını ve yasal yükümlülüklerine uygun olarak Bilgi Komiserliği Ofisi ile temas kurduğunu söyledi.
Perakendeci, etkilendiğini bildiği müşterilere proaktif bir şekilde ulaşıyor ve dolandırıcılık girişimleri veya hedefli kimlik avı saldırıları gibi kendi güvenliklerine yönelik potansiyel riskler konusunda ekstra dikkatli olmaları konusunda onları uyarıyor. Ayrıca insanları, JD Sports’tan veya etkilenen diğer markalardan gelmiş gibi görünen şüpheli veya olağandışı görünen iletişimlere karşı dikkatli olmaları konusunda uyarıyor.
Perakendeci, bir kopyası Computer Weekly ile paylaşılan müşterilere yazdığı mektupta ayrıca, güvenlik ekiplerinin olayı fark etmesi üzerine “hızlı” yanıt verdiğini ve daha sonra güvenliği ihlal edilmiş sunucuya erişim olmadığını söyledi.
JD Sports, olayın kesin doğası hakkında daha fazla bilgi sağlamadı ve bu yazının yazıldığı tarihte, JD Sports’taki olayın fidye yazılımı içerdiğine dair hiçbir gösterge yoktu.
Olay, Birleşik Krallık’ta tüketicilerle yüz yüze olan büyük kuruluşlara yönelik olarak ancak bir ay içinde ortaya çıkan bir dizi siber saldırının en sonuncusu.
En önemlisi, Royal Mail’e şüpheli bir LockBit fidye yazılımı saldırısı, ilk olaydan yaklaşık üç hafta sonra hizmetler hala tam olarak çalışır durumda olmadığı için müşteriler için sonuçlar doğurmaya devam ediyor.
Diğer önde gelen kurbanlar arasında ABD merkezli gündelik yemek devi Yum! KFC ve Pizza Hut zincirlerini yöneten markalar.
Bu arada, 2022 Noel’inden hemen önce, Gardiyan gazete ve araba satıcısı Arnold Clark, fidye yazılımı saldırılarının kurbanı oldu. Arnold Clark’ın durumunda, saldırı daha sonra Play siber şantaj operasyonu tarafından üstlenildi.