Naruszenie danych Pick n Pay stawia pod lupą cyberbezpieczeństwo południowoafrykańskiego handlu detalicznego

Cyberatak na południowoafrykańskiego giganta handlu detalicznego Pick n Pay ujawnił dane klientów powiązane ze starszą wersją jego platformy dostaw na żądanie, wzbudzając nowe obawy dotyczące tego, jak firmy zarządzają starszymi systemami długo po ich wycofaniu.

Naruszenie, które Pick n Pay potwierdziło, dotyczy informacji o klientach z poprzedniej aplikacji dostawczej sprzedawcy, pierwotnie uruchomionej jako Bottles, a później przemianowanej na Asap! Skompromitowane dane obejmowały wrażliwe informacje o klientach oraz dane kart płatniczych.

Choć Pick n Pay przyznało się do naruszenia, zakwestionowało twierdzenia, że ujawnione zostały pełne dane kart. Incydent uwypukla rosnące wyzwanie stojące przed firmami przechodzącymi transformację cyfrową: wycofane systemy mogą pozostawać podatne na ataki długo po tym, jak znikną z pola widzenia publicznego. 

Pick n Pay rozpoczęło powiadamianie dotkniętych klientów 30 maja, ostrzegając, że użytkownicy, którzy zarejestrowali się w usłudze dostawczej w 2022 roku lub wcześniej, mogli zostać poszkodowani. 

„Dotknięte dane pochodzą ze starszej wersji naszej aplikacji na żądanie, pierwotnie znanej jako Bottles, a później jako Pick n Pay Asap!, która od tamtej pory została zastąpiona" – poinformował sprzedawca w powiadomieniu dla klientów.

Według giganta supermarketów ujawnione informacje obejmują imiona i nazwiska, dane kontaktowe, adresy dostawy oraz ograniczone informacje o kartach płatniczych. Firma podkreśliła, że pełne numery kart płatniczych i kody bezpieczeństwa CVV nie były przechowywane w systemie, którego dotyczyło naruszenie.  

„Oznacza to, że wyciekłe dane nie mogą zostać wykorzystane do dokonywania nieuczciwych transakcji na kartach klientów" – stwierdził sprzedawca. 

Pomimo tych zapewnień klienci pozostają niespokojni w związku z ujawnieniem danych osobowych, które mogą zostać wykorzystane w atakach phishingowych i schematach kradzieży tożsamości. 

„Największymi ofiarami słabego cyberbezpieczeństwa są zawsze zwykli pracujący ludzie" – powiedział klient Pick n Pay, Dzungi Mudzunga. „Dyrektorzy przepraszają w e-mailach, podczas gdy obywatele przez lata zmagają się z próbami oszustwa."  

Ekspert ds. cyberbezpieczeństwa dr Nishal Khusial stwierdził, że naruszenie mogło wynikać ze słabości w przestarzałej infrastrukturze sprzedawcy. 

„W tym przypadku doszło do sytuacji, w której stary system był połączony ze starą aplikacją, która niekoniecznie posiadała aktualne mechanizmy ochrony przed nowoczesnymi atakami penetracyjnymi" – powiedział Khusial serwisowi TechCabal.

Naruszenie odnowiło również kontrolę nad tym, jak organizacje zarządzają danymi klientów po wycofaniu platform. Samantha Hanreck, założycielka i dyrektor dostawcy rozwiązań IT Data Sync Global, argumentowała, że incydent wskazuje na szerszy problem z zarządzaniem, a nie wyłącznie na awarię techniczną.

 „Incydent Pick n Pay to tak naprawdę nie jest historia o hakerach" – powiedziała. „To historia o danych, które nie musiały już istnieć. Platforma została wycofana w 2022 roku, ale rekordy klientów pozostały dostępne. To jest błąd w zarządzaniu, nie błąd technologiczny." 

Dla niektórych klientów reakcja sprzedawcy nie była wystarczająca.

„To poważne naruszenie prywatności" – powiedział Trevor Dube, właściciel firmy ochroniarskiej z siedzibą w Johannesburgu i stały klient Pick n Pay. „Jako klienci oczekujemy, że te duże firmy będą chronić nasze prywatne informacje. Powinny być poważne konsekwencje, gdy nie potrafią nas chronić." 

Phetho Ntaba, rzecznik południowoafrykańskiej Krajowej Komisji ds. Konsumentów, poradziła poszkodowanym konsumentom, aby składali skargi do Regulatora Informacji, organu ustawowego odpowiedzialnego za egzekwowanie Ustawy o ochronie danych osobowych (POPIA). „To jest organ uprawniony do zajmowania się nielegalnym dostępem do danych osobowych ludzi" – powiedziała.

Nomzamo Zondi, kierownik ds. komunikacji w Regulatorze Informacji, powiedział, że regulator jest gotowy pomóc poszkodowanym konsumentom. „Jeśli uważa Pan/Pani, że Pana/Pani dane osobowe zostały naruszone, prosimy odwiedzić naszą stronę usług zarządzania online lub przyjść do naszego biura, aby zarejestrować skargę" – powiedział. 

Zondi wezwała również Pick n Pay do dopilnowania, aby incydent został formalnie zgłoszony regulatorowi. Firma poinformowała, że już zainicjowała ten proces, jednocześnie pracując nad ustaleniem pełnego zakresu naruszenia.

„Wszystkie odpowiednie procesy były i są przestrzegane, w tym powiadamianie Regulatora Informacji" – powiedział Enrico Ferigolli, dyrektor online Pick n Pay. „Ściśle współpracujemy ze specjalistami ds. cyberbezpieczeństwa i przeprowadzamy szerszy przegląd historycznych praktyk zarządzania danymi i ich przechowywania w ramach naszych ciągłych inwestycji w bezpieczeństwo danych klientów."