Pick-n-Pay-Datenpanne stellt Südafrikas Einzelhandels-Cybersicherheit auf den Prüfstand

Ein Cyberangriff auf den südafrikanischen Einzelhandelsriesen Pick n Pay hat Kundendaten offengelegt, die mit einer älteren Version seiner On-Demand-Lieferplattform verknüpft sind, und wirft neue Bedenken darüber auf, wie Unternehmen Legacy-Systeme verwalten, lange nachdem diese außer Betrieb genommen wurden.

Der Datenschutzverstoß, den Pick n Pay bestätigt hat, betrifft Kundendaten aus der ehemaligen Liefer-App des Einzelhändlers, die ursprünglich als Bottles gestartet und später in Asap! umbenannt wurde. Die kompromittierten Daten umfassten sensible Kundendaten und Zahlungskartendaten.

Während Pick n Pay den Vorfall einräumte, bestritt das Unternehmen die Behauptungen, dass vollständige Karteninformationen offengelegt wurden. Der Vorfall verdeutlicht eine wachsende Herausforderung für Unternehmen im digitalen Wandel: Außer Betrieb genommene Systeme können noch lange verwundbar bleiben, nachdem sie aus dem öffentlichen Blickfeld verschwunden sind. 

Pick n Pay begann am 30.05.2025, betroffene Kunden zu benachrichtigen, und warnte, dass Nutzer, die sich bis einschließlich 2022 für den Lieferservice registriert haben, möglicherweise betroffen sein könnten. 

„Die betroffenen Daten stammen aus einer früheren Version unserer On-Demand-App, die zunächst als Bottles und später als Pick n Pay Asap! bekannt war und inzwischen ersetzt wurde", teilte der Einzelhändler in einer Kundenbenachrichtigung mit.

Nach Angaben des Supermarktriesen umfassen die offengelegten Informationen Namen, Kontaktdaten, Lieferadressen und eingeschränkte Zahlungskarteninformationen. Das Unternehmen betonte, dass vollständige Zahlungskartennummern und CVV-Sicherheitscodes nicht auf dem betroffenen System gespeichert waren.  

„Das bedeutet, dass die geleakten Daten nicht für betrügerische Transaktionen auf Kundenkarten verwendet werden können", so der Einzelhändler. 

Trotz dieser Zusicherungen sind die Kunden nach wie vor beunruhigt über die Offenlegung persönlicher Daten, die für Phishing-Angriffe und Identitätsbetrug ausgenutzt werden könnten. 

„Die größten Opfer mangelhafter Cybersicherheit sind immer die einfachen Arbeitnehmer", sagte Pick n Pay-Kundin Dzungi Mudzunga. „Führungskräfte entschuldigen sich per E-Mail, während die Bürger jahrelang mit Betrugsversuchen zu kämpfen haben."  

Cybersicherheitsexperte Dr. Nishal Khusial sagte, der Verstoß könnte auf Schwachstellen in der Legacy-Infrastruktur des Einzelhändlers zurückzuführen sein. 

„Was in diesem Fall passiert ist: Es gab ein altes System, das mit einer alten App verbunden war und nicht unbedingt über die aktuellen Schutzmechanismen verfügte, um sich gegen moderne Penetrationsangriffe zu verteidigen", sagte Khusial gegenüber TechCabal.

Der Vorfall hat auch die Kontrolle darüber erneuert, wie Organisationen mit Kundendaten umgehen, sobald Plattformen außer Betrieb genommen werden. Samantha Hanreck, Gründerin und Direktorin des IT-Lösungsanbieters Data Sync Global, argumentierte, dass der Vorfall auf ein umfassenderes Governance-Problem hinweist und nicht auf ein rein technisches Versagen.

 „Der Pick n Pay-Vorfall ist eigentlich keine Geschichte über Hacker", sagte sie. „Es ist eine Geschichte über Daten, die nicht mehr existieren mussten. Die Plattform wurde 2022 außer Betrieb genommen, aber die Kundendaten blieben erreichbar. Das ist ein Governance-Versagen, kein technologisches Versagen." 

Für einige Kunden ist die Reaktion des Einzelhändlers nicht weit genug gegangen.

„Das ist ein schwerwiegender Eingriff in die Privatsphäre", sagte Trevor Dube, ein in Johannesburg ansässiger Inhaber eines Sicherheitsunternehmens und regelmäßiger Pick n Pay-Kunde. „Als Kunden erwarten wir, dass diese großen Unternehmen unsere persönlichen Daten schützen. Es sollte ernsthafte Konsequenzen geben, wenn sie uns nicht schützen." 

Phetho Ntaba, Sprecher der südafrikanischen National Consumer Commission, riet betroffenen Verbrauchern, Beschwerden beim Information Regulator einzureichen, der gesetzlich zuständigen Behörde für die Durchsetzung des Protection of Personal Information Act (POPIA). „Das ist die Behörde, die befugt ist, mit illegalem Zugriff auf persönliche Daten von Menschen umzugehen", sagte sie.

Nomzamo Zondi, Kommunikationsmanagerin beim Information Regulator, sagte, die Behörde sei bereit, betroffene Verbraucher zu unterstützen. „Sollten Sie das Gefühl haben, dass Ihre persönlichen Daten verletzt wurden, besuchen Sie bitte unsere Online-Verwaltungsdienstleistungsseite oder kommen Sie in unsere Büros, um Ihre Beschwerde zu registrieren", sagte sie. 

Zondi forderte Pick n Pay auch auf, sicherzustellen, dass der Vorfall dem Regulator offiziell gemeldet wird. Das Unternehmen erklärte, es habe diesen Prozess bereits eingeleitet und arbeite daran, das vollständige Ausmaß des Vorfalls zu ermitteln.

„Alle geeigneten Prozesse wurden und werden befolgt, einschließlich der Benachrichtigung des Information Regulator", sagte Enrico Ferigolli, Pick n Pays Executive Online. „Wir arbeiten eng mit Cybersicherheitsspezialisten zusammen und führen eine umfassendere Überprüfung der historischen Datenverwaltungs- und Aufbewahrungspraktiken durch, als Teil unserer fortlaufenden Investition in die Sicherheit von Kundendaten."