خرق Pick n Pay يضع الأمن السيبراني لقطاع التجزئة في جنوب أفريقيا تحت المجهر

كشف هجوم إلكتروني على عملاق التجزئة الجنوب أفريقي Pick n Pay عن بيانات عملاء مرتبطة بنسخة قديمة من منصة التوصيل الفوري الخاصة به، مما أثار مخاوف متجددة حول كيفية إدارة الشركات للأنظمة القديمة بعد مدة طويلة من إيقافها.

يتعلق الاختراق، الذي أكدته Pick n Pay، بمعلومات عملاء من تطبيق التوصيل السابق للمتجر، الذي أُطلق في الأصل باسم Bottles ثم أُعيدت تسميته إلى Asap! وقد شملت البيانات المخترقة معلومات حساسة للعملاء وتفاصيل بطاقات الدفع.

بينما أقرّت Pick n Pay بالاختراق، نفت الادعاءات بأن معلومات البطاقة الكاملة قد تعرضت للكشف. يسلط الحادث الضوء على تحدٍّ متنامٍ يواجه الشركات في خضم التحول الرقمي: قد تظل الأنظمة المتقاعدة عُرضةً للاختراق بعد وقت طويل من اختفائها من الواجهة العامة. 

بدأت Pick n Pay في إخطار العملاء المتضررين في 30 مايو، محذّرةً من أن المستخدمين الذين سجّلوا في خدمة التوصيل عام 2022 أو قبله ربما تأثروا بالحادثة. 

وقال المتجر في إشعار وجّهه إلى العملاء: "البيانات المتضررة مصدرها نسخة سابقة من تطبيقنا للتوصيل الفوري، المعروف أولاً باسم Bottles ثم باسم Pick n Pay Asap!، الذي تم استبداله منذ ذلك الحين."

وفقاً لعملاق محلات السوبرماركت، تشمل المعلومات المكشوفة الأسماء وبيانات الاتصال وعناوين التوصيل ومعلومات محدودة عن بطاقات الدفع. وأكدت الشركة أن أرقام بطاقات الدفع الكاملة ورموز الأمان CVV لم تكن مخزنة على النظام المتضرر.  

وقال المتجر: "هذا يعني أن البيانات المسرّبة لا يمكن استخدامها لإجراء معاملات احتيالية على بطاقات العملاء." 

على الرغم من هذه التطمينات، لا يزال العملاء قلقين حيال كشف معلوماتهم الشخصية التي قد يُساء استغلالها في هجمات التصيد الاحتيالي ومخططات سرقة الهوية. 

وقال Dzungi Mudzunga، أحد متسوقي Pick n Pay: "الضحايا الأكبر لضعف الأمن السيبراني هم دائماً الناس العاديون. يعتذر المسؤولون التنفيذيون عبر البريد الإلكتروني بينما يتعامل المواطنون مع محاولات الاحتيال لسنوات."  

قال خبير الأمن السيبراني الدكتور Nishal Khusial إن الاختراق ربما نجم عن نقاط ضعف في البنية التحتية القديمة للمتجر. 

وأخبر Khusial موقع TechCabal: "ما حدث في هذه الحالة هو أن نظاماً قديماً كان متصلاً بتطبيق قديم لم يكن بالضرورة يمتلك آليات الحماية الحالية للدفاع ضد هجمات الاختراق الحديثة."

كما جدّد الاختراق التدقيق في كيفية تعامل المؤسسات مع بيانات العملاء بعد إيقاف المنصات. رأت Samantha Hanreck، المؤسسة والمديرة لمزود حلول تكنولوجيا المعلومات Data Sync Global، أن الحادثة تشير إلى مشكلة حوكمة أشمل بدلاً من كونها مجرد إخفاق تقني.

 وقالت: "حادثة Pick n Pay ليست قصة عن قراصنة في الحقيقة. إنها قصة عن بيانات لم تكن بحاجة للوجود بعد الآن. تم إيقاف المنصة عام 2022، لكن سجلات العملاء ظلت في متناول الجميع. هذا إخفاق في الحوكمة، لا إخفاق تقني." 

بالنسبة لبعض العملاء، لم يكن رد فعل المتجر كافياً.

وقال Trevor Dube، صاحب شركة أمن مقيم في جوهانسبرغ ومتسوق متكرر في Pick n Pay: "هذا انتهاك خطير للخصوصية. بوصفنا عملاء، نتوقع من هذه الشركات الكبرى أن تحافظ على أمان معلوماتنا الخاصة. يجب أن تكون هناك عواقب جدية عندما تفشل في حمايتنا." 

نصحت Phetho Ntaba، المتحدثة باسم لجنة حماية المستهلك الوطنية في جنوب أفريقيا، المستهلكين المتضررين بتقديم شكاوى إلى هيئة المعلومات، الجهة القانونية المسؤولة عن تطبيق قانون حماية المعلومات الشخصية (POPIA). وقالت: "هذه هي الجهة المخوّلة بالتعامل مع الوصول غير المشروع إلى المعلومات الشخصية للأفراد."

قالت Nomzamo Zondi، مديرة الاتصالات في هيئة المعلومات، إن الهيئة مستعدة لمساعدة المستهلكين المتضررين. وأضافت: "إذا كنت تشعر بأن معلوماتك الشخصية قد انتُهكت، يرجى زيارة صفحة خدمات الإدارة الإلكترونية لدينا أو القدوم إلى مكاتبنا لتسجيل شكواك." 

كما حثّت Zondi شركة Pick n Pay على ضمان الإبلاغ الرسمي عن الحادثة إلى الهيئة. وأفادت الشركة بأنها بدأت بالفعل هذه الإجراءات في حين تعمل على تحديد النطاق الكامل للاختراق.

وقال Enrico Ferigolli، المدير التنفيذي للقطاع الإلكتروني في Pick n Pay: "جميع الإجراءات المناسبة تتبع وتُتّبع، بما في ذلك إخطار هيئة المعلومات. نعمل بشكل وثيق مع متخصصي الأمن السيبراني ونجري مراجعة أشمل لممارسات إدارة البيانات التاريخية والاحتفاظ بها كجزء من استثمارنا المستمر في أمن بيانات العملاء."