Bij de cyberaanval op de Britse winkelketen Marks & Spencer zijn persoonlijke gegevens van klanten buitgemaakt. Dat heeft het bedrijf zelf bekendgemaakt. Volgens de verklaring is vanwege de "geraffineerde aard" van de cyberaanval persoonlijke data van klanten gestolen. De BBC meldde eerder dat het om een ransomware-aanval gaat. De aanval, die de winkelketen op 22 april bekendmaakte, werd opgeëist door een ransomwaregroep genaamd DragonForce.

Van hoeveel klanten de data is buitgemaakt heeft Marks & Spencer niet laten weten. De gestolen informatie bestaat uit naam, e-mailadres, adresgegevens, telefoonnummer, geboortedatum, bestelgeschiedenis, gezinsinformatie en 'gemaskeerde' betaalkaartgegevens die voor online aankopen zijn gebruikt. Accountwachtwoorden zijn niet gestolen.

Het bedrijf stelt tevens in de verklaring dat er geen bewijs is dat de gestolen data is gedeeld. De winkelketen zegt dat klanten die de volgende keer op hun account willen inloggen worden verplicht hun wachtwoord te resetten. Het is voor klanten nog altijd niet mogelijk om via de webwinkel van Marks & Spencer bestellingen te plaatsen. Een situatie die al sinds vrijdag 25 april gaande is.