JD Sports detalha violação de dados que afeta 10 milhões de clientes

A JD Sports, uma varejista britânica de moda esportiva com lojas em todo o mundo, diz que os hackers roubaram dados pertencentes a “aproximadamente 10 milhões de clientes únicos”.

A empresa diz que a violação decorre de um sistema que contém dados do cliente “relacionados a alguns pedidos online feitos entre novembro de 2018 e outubro de 2020” e que os clientes correm o risco de golpistas.

A empresa, que negocia na Bolsa de Valores de Londres e é de propriedade majoritária do Pentland Group, com sede em Londres, opera milhares de lojas físicas em vários países.

Em uma notificação de violação de dados na segunda-feira, a empresa diz que o incidente de segurança afeta clientes online de seis de suas marcas de lojas de roupas esportivas e outdoor: JD, Size?, Millets, Blacks, Scotts e MilletSport.

As informações expostas incluem o nome do cliente, endereço de cobrança, endereço de entrega, endereço de e-mail, número de telefone e detalhes do pedido. Também inclui os quatro últimos dígitos do cartão de pagamento do cliente. A empresa diz que não armazena os dados completos do cartão de pagamento.

A empresa “não tem motivos para acreditar que as senhas das contas foram acessadas”.

Notificação recebida por cliente em 30 de janeiro de 2023 (Imagem: ISMG; clique para ampliar)

A JD Sports está alertando os clientes para estarem “atentos a qualquer comunicação suspeita ou incomum que pretenda ser da JD Sports ou de qualquer uma das marcas do nosso grupo”.

Com base nas notificações recebidas pelos clientes, a violação parece afetar indivíduos no Reino Unido e em vários outros países.

“Continuamos com uma revisão completa de nossa segurança cibernética em parceria com especialistas externos após este incidente”, disse o diretor financeiro da empresa, Neil Greenhalgh.

Em todas as suas diferentes marcas, a JD Sports opera 3.402 lojas em 32 territórios, de acordo com seu relatório anual de 2022. As lojas da empresa estão predominantemente localizadas no Reino Unido e também na Irlanda e em outras partes da UE. A JD Sports também opera lojas na Ásia-Pacífico, Estados Unidos e Canadá.

A empresa se recusou a comentar quando a violação começou, quando foi detectada e como, e onde residem todos os clientes afetados.

A JD Sports em sua notificação de violação diz que notificou o Gabinete do Comissário de Informação da Grã-Bretanha, que aplica o Regulamento Geral de Proteção de Dados do Reino Unido. De acordo com o GDPR, uma vez que uma organização acredita que pode ter sofrido uma violação de dados pessoais, ela deve alertar uma autoridade relevante dentro de 72 horas.

Uma questão regulatória a ser respondida sobre a violação da JD Sports será se a empresa estava cumprindo as regras de minimização de dados do GDPR, visto que alguns dos dados expostos agora têm mais de quatro anos. De acordo com o GDPR, qualquer organização que coleta ou processa dados pessoais deve coletar apenas o necessário – e é permitido – e excluir os dados em tempo hábil.