Breșa de securitate Pick n Pay pune sub semnul întrebării securitatea cibernetică a retailului din Africa de Sud

Un atac cibernetic asupra gigantului sud-african din retail Pick n Pay a expus datele clienților legate de o versiune mai veche a platformei sale de livrare la cerere, ridicând noi îngrijorări cu privire la modul în care companiile gestionează sistemele moștenite mult timp după ce acestea au fost retrase.

Breșa, confirmată de Pick n Pay, implică informații ale clienților din aplicația de livrare anterioară a retailerului, lansată inițial sub numele Bottles și redenumită ulterior Asap! Datele compromise au inclus informații sensibile ale clienților și detalii ale cardurilor de plată.

Deși Pick n Pay a recunoscut breșa, a contestat afirmațiile că informațiile complete ale cardurilor au fost expuse. Incidentul evidențiază o provocare tot mai mare cu care se confruntă companiile aflate în transformare digitală: sistemele retrase pot rămâne vulnerabile mult timp după ce dispar din vizorul publicului. 

Pick n Pay a început să notifice clienții afectați pe 30 mai, avertizând că utilizatorii care s-au înregistrat pentru serviciul de livrare în sau înainte de 2022 ar putea fi afectați. 

„Datele afectate provin dintr-o versiune anterioară a aplicației noastre la cerere, cunoscută inițial ca Bottles și ulterior ca Pick n Pay Asap!, care între timp a fost înlocuită", a declarat retailerul într-o notificare adresată clienților.

Potrivit gigantului din domeniul supermarketurilor, informațiile expuse includ nume, date de contact, adrese de livrare și informații limitate despre cardurile de plată. Compania a subliniat că numerele complete ale cardurilor de plată și codurile de securitate CVV nu au fost stocate în sistemul afectat.  

„Aceasta înseamnă că datele scurse nu pot fi utilizate pentru a efectua tranzacții frauduloase pe cardurile clienților", a declarat retailerul. 

În ciuda acestor asigurări, clienții rămân îngrijorați cu privire la expunerea informațiilor personale care ar putea fi exploatate în atacuri de phishing și scheme de fraudă de identitate. 

„Cei mai mari victime ale securității cibernetice precare sunt întotdeauna oamenii obișnuiți care muncesc", a declarat cumpărătorul Pick n Pay Dzungi Mudzunga. „Directorii își cer scuze prin e-mailuri, în timp ce cetățenii se confruntă cu tentative de fraudă ani de zile."  

Expertul în securitate cibernetică Dr. Nishal Khusial a declarat că breșa ar putea fi rezultatul unor vulnerabilități în infrastructura moștenită a retailerului. 

„Ceea ce s-a întâmplat în acest caz este că exista un sistem vechi conectat la o aplicație veche care nu dispunea neapărat de mecanismele actuale de protecție pentru a se apăra împotriva atacurilor de penetrare moderne", a declarat Khusial pentru TechCabal.

Breșa a reînnoit și scrutinul asupra modului în care organizațiile gestionează datele clienților după ce platformele sunt retrase. Samantha Hanreck, fondatoare și directoare a furnizorului de soluții IT Data Sync Global, a argumentat că incidentul indică o problemă mai largă de guvernanță, mai degrabă decât un eșec pur tehnic.

 „Incidentul Pick n Pay nu este cu adevărat o poveste despre hackeri", a spus ea. „Este o poveste despre date care nu mai aveau nevoie să existe. Platforma a fost retrasă în 2022, dar înregistrările clienților au rămas accesibile. Acesta este un eșec de guvernanță, nu un eșec tehnologic." 

Pentru unii clienți, răspunsul retailerului nu a fost suficient de amplu.

„Aceasta este o gravă invazie a vieții private", a declarat Trevor Dube, proprietarul unei companii de securitate din Johannesburg și client frecvent al Pick n Pay. „Ca și clienți, ne așteptăm ca aceste mari companii să ne păstreze informațiile private în siguranță. Ar trebui să existe consecințe grave atunci când nu reușesc să ne protejeze." 

Phetho Ntaba, purtătoarea de cuvânt a Comisiei Naționale pentru Consumatori din Africa de Sud, a sfătuit consumatorii afectați să depună plângeri la Autoritatea de Reglementare a Informațiilor, organismul statutory responsabil de aplicarea Legii privind Protecția Informațiilor Personale (POPIA). „Acesta este organismul împuternicit să se ocupe de accesul ilegal la informațiile personale ale oamenilor", a spus ea.

Nomzamo Zondi, managerul de comunicații al Autorității de Reglementare a Informațiilor, a declarat că autoritatea de reglementare este pregătită să asiste consumatorii afectați. „Dacă simțiți că informațiile dvs. personale au fost încălcate, vă rugăm să vizitați pagina noastră de servicii de management online sau să veniți la birourile noastre pentru a vă înregistra reclamația", a spus ea. 

Zondi a îndemnat, de asemenea, Pick n Pay să se asigure că incidentul este raportat oficial autorității de reglementare. Compania a declarat că a inițiat deja acest proces, lucrând în același timp pentru a determina amploarea completă a breșei.

„Toate procesele adecvate au fost și sunt urmate, inclusiv notificarea Autorității de Reglementare a Informațiilor", a declarat Enrico Ferigolli, Directorul Online al Pick n Pay. „Lucrăm îndeaproape cu specialiști în securitate cibernetică și efectuăm o revizuire mai amplă a practicilor istorice de gestionare și retenție a datelor, ca parte a investiției noastre continue în securitatea datelor clienților."