Нарушение безопасности Pick n Pay ставит под scrutiny кибербезопасность розничной торговли Южной Африки

Кибератака на южноафриканского розничного гиганта Pick n Pay раскрыла данные клиентов, связанные со старой версией платформы доставки по требованию, что вызвало новые опасения относительно того, как компании управляют устаревшими системами спустя долгое время после их вывода из эксплуатации.

Утечка, которую Pick n Pay подтвердила, затрагивает данные клиентов из бывшего приложения доставки ритейлера, первоначально запущенного под названием Bottles, а позднее переименованного в Asap! Скомпрометированные данные включали конфиденциальную информацию о клиентах и реквизиты платёжных карт.

Хотя Pick n Pay признала факт утечки, компания оспорила заявления о том, что полные данные карт были раскрыты. Инцидент подчёркивает растущую проблему, с которой сталкиваются компании, проходящие цифровую трансформацию: выведенные из эксплуатации системы могут оставаться уязвимыми ещё долго после того, как исчезают из поля зрения общественности. 

Pick n Pay начала уведомлять пострадавших клиентов 30 мая, предупредив, что пользователи, зарегистрировавшиеся в сервисе доставки до 2022 года включительно, могли пострадать. 

«Затронутые данные получены из более ранней версии нашего приложения доставки по требованию, известного сначала как Bottles, а затем как Pick n Pay Asap!, которое с тех пор было заменено», — сообщил ритейлер в уведомлении для клиентов.

По данным супермаркета-гиганта, раскрытая информация включает имена, контактные данные, адреса доставки и ограниченные сведения о платёжных картах. Компания подчеркнула, что полные номера платёжных карт и CVV-коды безопасности не хранились в затронутой системе.  

«Это означает, что утечённые данные не могут быть использованы для совершения мошеннических транзакций по картам клиентов», — заявил ритейлер. 

Несмотря на эти заверения, клиенты остаются обеспокоены раскрытием персональных данных, которые могут быть использованы в фишинговых атаках и схемах мошенничества с персональными данными. 

«Главными жертвами слабой кибербезопасности всегда оказываются обычные работающие люди», — сказал покупатель Pick n Pay Дзунги Мудзунга. «Руководители приносят извинения по электронной почте, пока граждане годами сталкиваются с попытками мошенничества».  

Эксперт по кибербезопасности доктор Нишал Хусиал заявил, что утечка могла быть вызвана уязвимостями в устаревшей инфраструктуре ритейлера. 

«В данном случае произошло следующее: существовала старая система, подключённая к старому приложению, которая не обязательно имела современные механизмы защиты от актуальных атак на проникновение», — рассказал Хусиал изданию TechCabal.

Утечка также вновь привлекла внимание к тому, как организации обращаются с данными клиентов после вывода платформ из эксплуатации. Саманта Хэнрек, основатель и директор поставщика IT-решений Data Sync Global, утверждает, что инцидент указывает на более широкую проблему управления, а не на чисто техническую ошибку.

 «Инцидент с Pick n Pay — это не история о хакерах», — сказала она. «Это история о данных, которые больше не должны были существовать. Платформа была выведена из эксплуатации в 2022 году, но записи о клиентах оставались доступными. Это провал управления, а не технологический сбой». 

Для некоторых клиентов реакция ритейлера оказалась недостаточной.

«Это серьёзное нарушение конфиденциальности», — сказал Тревор Дубе, владелец охранной компании из Йоханнесбурга и постоянный покупатель Pick n Pay. «Как клиенты, мы ожидаем, что эти крупные компании будут хранить нашу личную информацию в безопасности. Должны быть серьёзные последствия, когда они не могут нас защитить». 

Фето Нтаба, представитель Национальной комиссии по защите прав потребителей Южной Африки, посоветовала пострадавшим потребителям подать жалобы в Регулятор информации — законодательный орган, ответственный за соблюдение Закона о защите персональных данных (POPIA). «Именно этот орган уполномочен заниматься незаконным доступом к персональным данным людей», — сказала она.

Номзамо Зонди, менеджер по коммуникациям Регулятора информации, сообщила, что регулятор готов помочь пострадавшим потребителям. «Если вы считаете, что ваши персональные данные были нарушены, пожалуйста, посетите страницу нашего онлайн-сервиса управления или приходите в наши офисы для регистрации жалобы», — сказала она. 

Зонди также призвала Pick n Pay обеспечить официальное уведомление регулятора об инциденте. Компания сообщила, что уже инициировала этот процесс, одновременно работая над установлением полного масштаба утечки.

«Все надлежащие процедуры были и соблюдаются, включая уведомление Регулятора информации», — заявил Энрико Фериголли, директор по онлайн-направлению Pick n Pay. «Мы тесно сотрудничаем со специалистами по кибербезопасности и проводим более широкий анализ исторических практик управления данными и их хранения в рамках наших постоянных инвестиций в безопасность данных клиентов».