Злом Pick n Pay ставить під сумнів кібербезпеку роздрібної торгівлі Південної Африки

Кібератака на південноафриканського роздрібного гіганта Pick n Pay розкрила дані клієнтів, пов'язані зі старою версією його платформи доставки на вимогу, що породило нові занепокоєння щодо того, як компанії керують застарілими системами після їх виведення з експлуатації.

Витік, який Pick n Pay підтвердила, стосується інформації клієнтів із колишнього додатка доставки ритейлера, спочатку запущеного під назвою Bottles, а пізніше перейменованого на Asap! Скомпрометовані дані включали конфіденційну інформацію клієнтів та реквізити платіжних карток.

Хоча Pick n Pay визнала факт витоку, компанія заперечила твердження про те, що повна інформація про картки була розкрита. Інцидент підкреслює зростаючу проблему, з якою стикаються компанії в процесі цифрової трансформації: виведені з експлуатації системи можуть залишатися вразливими ще довго після того, як зникають із публічного поля зору. 

Pick n Pay почала сповіщати постраждалих клієнтів 30 травня, попередивши, що користувачі, які зареєструвалися в службі доставки до 2022 року включно, могли постраждати. 

«Уражені дані походять із більш ранньої версії нашого додатка на вимогу, спочатку відомого як Bottles, а пізніше — як Pick n Pay Asap!, який з того часу було замінено», — йдеться у повідомленні ритейлера для клієнтів.

За словами супермаркет-гіганта, розкрита інформація включає імена, контактні дані, адреси доставки та обмежену інформацію про платіжні картки. Компанія наголосила, що повні номери платіжних карток і CVV-коди безпеки не зберігалися в ураженій системі.  

«Це означає, що витоклі дані не можуть бути використані для здійснення шахрайських транзакцій із картками клієнтів», — заявив ритейлер. 

Незважаючи на ці запевнення, клієнти залишаються стурбованими розкриттям персональних даних, які можуть бути використані у фішингових атаках та схемах крадіжки особистих даних. 

«Найбільшими жертвами поганої кібербезпеки завжди є звичайні працюючі люди», — сказав покупець Pick n Pay Дзунгі Мудзунга. «Керівники вибачаються електронною поштою, тоді як громадяни роками стикаються зі спробами шахрайства».  

Експерт із кібербезпеки доктор Нішал Хусіал заявив, що витік міг бути спричинений слабкими місцями в застарілій інфраструктурі ритейлера. 

«У цьому випадку сталося те, що стара система була підключена до старого додатка, який не обов'язково мав сучасні механізми захисту для протидії сучасним атакам на проникнення», — розповів Хусіал виданню TechCabal.

Витік також поновив увагу до того, як організації обробляють дані клієнтів після виведення платформ з експлуатації. Саманта Генрек, засновниця та директорка постачальника IT-рішень Data Sync Global, стверджує, що інцидент вказує на більш широку проблему управління, а не суто технічний збій.

 «Інцидент із Pick n Pay — це насправді не історія про хакерів», — сказала вона. «Це історія про дані, які більше не мали існувати. Платформу було виведено з експлуатації у 2022 році, але записи клієнтів залишилися доступними. Це збій управління, а не технологічний збій». 

Для деяких клієнтів реакція ритейлера виявилася недостатньою.

«Це серйозне порушення конфіденційності», — сказав Тревор Дубе, власник охоронної компанії з Йоганнесбурга та постійний покупець Pick n Pay. «Як клієнти, ми очікуємо, що ці великі компанії зберігатимуть нашу особисту інформацію в безпеці. Повинні бути серйозні наслідки, коли вони не захищають нас». 

Фето Нтаба, речниця Національної комісії із захисту прав споживачів Південної Африки, порадила постраждалим споживачам подати скарги до Регулятора інформації — статутного органу, відповідального за виконання Закону про захист персональних даних (POPIA). «Це орган, уповноважений розглядати незаконний доступ до персональних даних людей», — сказала вона.

Номзамо Зонді, менеджер із комунікацій Регулятора інформації, заявила, що регулятор готовий допомогти постраждалим споживачам. «Якщо ви вважаєте, що ваші персональні дані були порушені, відвідайте нашу сторінку онлайн-управління послугами або завітайте до нашого офісу, щоб зареєструвати свою скаргу», — сказала вона. 

Зонді також закликала Pick n Pay забезпечити офіційне повідомлення про інцидент регулятору. Компанія заявила, що вже ініціювала цей процес, водночас працюючи над визначенням повного масштабу витоку.

«Усі відповідні процеси дотримувалися та дотримуються, включно з повідомленням Регулятора інформації», — сказав Енріко Феріголлі, виконавчий директор онлайн-напряму Pick n Pay. «Ми тісно співпрацюємо з фахівцями з кібербезпеки та проводимо більш широкий огляд практик управління та зберігання історичних даних у рамках наших постійних інвестицій у безпеку даних клієнтів».