英國零售巨頭馬莎（Marks & Spencer，M&S）於2025年4月下旬遭受名為Scattered Spider的勒索軟件組織網絡攻擊，影響其全球運作，包括香港分部。攻擊導致顧客個人資料外洩、網上訂單暫停及商店貨架短缺，估計損失達2億英鎊（約208億港幣），市場價值蒸發11.1億英鎊（約1146億港幣）。事件突顯零售業面臨的網絡安全挑戰，香港顧客亦受波及，引發關注。

攻擊於4月21日開始，顧客報告無法使用非接觸式支付及「點擊取貨」服務。M&S於同日確認系統遭受「網絡事件」，並於4月25日暫停所有網上訂單。Scattered Spider利用DragonForce團體開發的惡意程式，入侵系統並加密伺服器，疑似以勒索贖金為目標。該組織以年輕英語母語黑客為主，慣用網絡釣魚及多因素認證轟炸等社交工程技巧，曾攻擊MGM Resorts等企業。M&S英國總部被視為主要目標，但香港分部亦因共享系統受影響。

5月13日，M&S香港通知顧客，部分個人資料可能已被竊取，包括姓名、電郵、地址、電話號碼、出生日期、網上訂單紀錄及經「隱藏」處理的付款卡資料。M&S強調，無證據顯示資料已被外傳，密碼及完整信用卡資料亦未被盜，顧客毋須採取行動，但下次登錄時需重設密碼以增強保障。香港個人資料私隱專員公署（PCPD）於4月30日展開調查，惟M&S香港運營商Al-Futtaim未有回應，顯示本地數據庫與英國系統分開，但仍無法完全隔離風險。

攻擊造成嚴重運作中斷。網上訂單暫停超過三週，每週損失約4300萬英鎊（約44.6億港幣）銷售額。部分商店貨架空置，東米德蘭物流中心約200名工人被要求在家待命。香港Kennedy Town分店職員需用紙筆處理訂單及忠誠卡詳情，M&S香港應用程式顯示「維修中」。金融影響深遠，分析師預計M&S可能面臨巨額罰款，投資者擔憂法律訴訟及長期銷售損失。

M&S已聘請CrowdStrike、Microsoft及Fenix24等網絡安全公司協助調查及恢復服務。截至2025年5月20日，網上訂單及聯繫付款系統仍未完全恢復。首席執行官Stuart Machin表示，公司正全力恢復運作，並對顧客不便致歉。英國政府官員稱此事件為「警醒」，促請企業加強網絡防護。

此次攻擊暴露零售業網絡安全漏洞，Scattered Spider的複雜手法令M&S措手不及。香港分部回應不足，引發本地顧客對資料安全的憂慮。專家建議顧客監察信用評分，警惕網絡釣魚風險。事件或推動零售業重新審視數據保護措施，以應對日益猖獗的網絡威脅。