Η παραβίαση της Pick n Pay θέτει υπό αμφισβήτηση την κυβερνοασφάλεια του λιανικού εμπορίου της Νότιας Αφρικής

Μια κυβερνοεπίθεση στον νοτιοαφρικανικό λιανεμπορικό κολοσσό Pick n Pay αποκάλυψε δεδομένα πελατών που συνδέονται με μια παλαιότερη έκδοση της πλατφόρμας παράδοσης κατ' απαίτηση, εγείροντας νέες ανησυχίες σχετικά με τον τρόπο που οι εταιρείες διαχειρίζονται τα κληροδοτημένα συστήματα πολύ μετά την απόσυρσή τους.

Η παραβίαση, την οποία η Pick n Pay έχει επιβεβαιώσει, αφορά πληροφορίες πελατών από την πρώην εφαρμογή παράδοσης του λιανοπωλητή, που κυκλοφόρησε αρχικά ως Bottles και αργότερα μετονομάστηκε σε Asap! Τα παραβιασμένα δεδομένα περιελάμβαναν ευαίσθητες πληροφορίες πελατών και στοιχεία καρτών πληρωμής.

Ενώ η Pick n Pay αναγνώρισε την παραβίαση, αμφισβήτησε τους ισχυρισμούς ότι αποκαλύφθηκαν πλήρη στοιχεία καρτών. Το περιστατικό αναδεικνύει μια αυξανόμενη πρόκληση που αντιμετωπίζουν οι εταιρείες που υφίστανται ψηφιακό μετασχηματισμό: τα αποσυρμένα συστήματα μπορούν να παραμένουν ευάλωτα πολύ μετά την εξαφάνισή τους από τη δημόσια θέαση. 

Η Pick n Pay άρχισε να ειδοποιεί τους επηρεαζόμενους πελάτες στις 30 Μαΐου, προειδοποιώντας ότι χρήστες που εγγράφηκαν στην υπηρεσία παράδοσης έως και το 2022 ενδέχεται να έχουν επηρεαστεί. 

«Τα επηρεαζόμενα δεδομένα προέρχονται από μια παλαιότερη έκδοση της εφαρμογής μας κατ' απαίτηση, γνωστής αρχικά ως Bottles και αργότερα ως Pick n Pay Asap!, η οποία έχει εκτοτε αντικατασταθεί», ανέφερε ο λιανοπωλητής σε ειδοποίηση προς πελάτες.

Σύμφωνα με τον κολοσσό των σούπερ μάρκετ, οι αποκαλυφθείσες πληροφορίες περιλαμβάνουν ονόματα, στοιχεία επικοινωνίας, διευθύνσεις παράδοσης και περιορισμένες πληροφορίες καρτών πληρωμής. Η εταιρεία τόνισε ότι πλήρεις αριθμοί καρτών πληρωμής και κωδικοί ασφαλείας CVV δεν αποθηκεύτηκαν στο επηρεαζόμενο σύστημα.  

«Αυτό σημαίνει ότι τα διαρρευσμένα δεδομένα δεν μπορούν να χρησιμοποιηθούν για δόλιες συναλλαγές στις κάρτες των πελατών», δήλωσε ο λιανοπωλητής. 

Παρά τις διαβεβαιώσεις αυτές, οι πελάτες παραμένουν ανήσυχοι για την αποκάλυψη προσωπικών πληροφοριών που θα μπορούσαν να αξιοποιηθούν σε επιθέσεις phishing και σχέδια απάτης ταυτότητας. 

«Τα μεγαλύτερα θύματα της κακής κυβερνοασφάλειας είναι πάντα οι απλοί εργαζόμενοι άνθρωποι», δήλωσε ο αγοραστής της Pick n Pay Dzungi Mudzunga. «Τα στελέχη απολογούνται μέσω email ενώ οι πολίτες αντιμετωπίζουν απόπειρες απάτης για χρόνια.»  

Ο ειδικός κυβερνοασφάλειας Δρ. Nishal Khusial δήλωσε ότι η παραβίαση μπορεί να προήλθε από αδυναμίες στην κληροδοτημένη υποδομή του λιανοπωλητή. 

«Αυτό που συνέβη σε αυτή την περίπτωση είναι ότι υπήρχε ένα παλιό σύστημα συνδεδεμένο με μια παλιά εφαρμογή που δεν είχε απαραίτητα τους σημερινούς μηχανισμούς προστασίας για να αμυνθεί έναντι σύγχρονων επιθέσεων διείσδυσης», είπε ο Khusial στο TechCabal.

Η παραβίαση ανανέωσε επίσης τον έλεγχο του τρόπου με τον οποίο οι οργανισμοί διαχειρίζονται τα δεδομένα πελατών μόλις οι πλατφόρμες αποσύρονται. Η Samantha Hanreck, ιδρύτρια και διευθύντρια της εταιρείας λύσεων πληροφορικής Data Sync Global, υποστήριξε ότι το περιστατικό επισημαίνει ένα ευρύτερο πρόβλημα διακυβέρνησης παρά μια καθαρά τεχνική αποτυχία.

 «Το περιστατικό της Pick n Pay δεν είναι πραγματικά μια ιστορία για χάκερ», είπε. «Είναι μια ιστορία για δεδομένα που δεν έχρειαζε πλέον να υπάρχουν. Η πλατφόρμα αποσύρθηκε το 2022, αλλά τα αρχεία πελατών παρέμειναν προσβάσιμα. Αυτή είναι μια αποτυχία διακυβέρνησης, όχι τεχνολογική αποτυχία.» 

Για ορισμένους πελάτες, η ανταπόκριση του λιανοπωλητή δεν έφτασε αρκετά μακριά.

«Αυτή είναι μια σοβαρή παραβίαση της ιδιωτικότητας», δήλωσε ο Trevor Dube, ιδιοκτήτης εταιρείας ασφαλείας με έδρα το Γιοχάνεσμπουργκ και τακτικός αγοραστής της Pick n Pay. «Ως πελάτες, περιμένουμε από αυτές τις μεγάλες εταιρείες να διατηρούν ασφαλείς τις ιδιωτικές μας πληροφορίες. Θα πρέπει να υπάρχουν σοβαρές συνέπειες όταν αποτυγχάνουν να μας προστατεύσουν.» 

Η Phetho Ntaba, εκπρόσωπος τύπου της Εθνικής Επιτροπής Καταναλωτών της Νότιας Αφρικής, συμβούλεψε τους επηρεαζόμενους καταναλωτές να υποβάλουν καταγγελίες στον Ρυθμιστή Πληροφοριών, το νομοθετικό όργανο που είναι υπεύθυνο για την εφαρμογή του Νόμου Προστασίας Προσωπικών Πληροφοριών (POPIA). «Αυτό είναι το όργανο που έχει την εξουσία να αντιμετωπίζει την παράνομη πρόσβαση στις προσωπικές πληροφορίες των ανθρώπων», δήλωσε.

Η Nomzamo Zondi, διευθύντρια επικοινωνίας στον Ρυθμιστή Πληροφοριών, δήλωσε ότι ο ρυθμιστής είναι έτοιμος να βοηθήσει τους επηρεαζόμενους καταναλωτές. «Εάν αισθάνεστε ότι οι προσωπικές σας πληροφορίες έχουν παραβιαστεί, επισκεφθείτε τη σελίδα διαδικτυακών υπηρεσιών διαχείρισης ή ελάτε στα γραφεία μας για να καταχωρίσετε το παράπονό σας», δήλωσε. 

Η Zondi κάλεσε επίσης την Pick n Pay να διασφαλίσει ότι το περιστατικό αναφέρθηκε επίσημα στον ρυθμιστή. Η εταιρεία δήλωσε ότι έχει ήδη κινήσει αυτή τη διαδικασία ενώ εργάζεται για τον προσδιορισμό της πλήρους έκτασης της παραβίασης.

«Όλες οι κατάλληλες διαδικασίες ακολουθήθηκαν και ακολουθούνται, συμπεριλαμβανομένης της ειδοποίησης του Ρυθμιστή Πληροφοριών», δήλωσε ο Enrico Ferigolli, Διευθυντής Online της Pick n Pay. «Συνεργαζόμαστε στενά με ειδικούς κυβερνοασφάλειας και προβαίνουμε σε μια ευρύτερη αναθεώρηση των ιστορικών πρακτικών διαχείρισης και διατήρησης δεδομένων στο πλαίσιο της συνεχούς επένδυσής μας στην ασφάλεια των δεδομένων πελατών.»