Pelanggaran Pick n Pay menempatkan keamanan siber ritel Afrika Selatan di bawah pengawasan

Serangan siber terhadap raksasa ritel Afrika Selatan, Pick n Pay, telah membocorkan data pelanggan yang terkait dengan versi lama platform pengiriman sesuai permintaannya, memunculkan kekhawatiran baru tentang cara perusahaan mengelola sistem lama yang sudah lama tidak digunakan.

Pelanggaran data yang telah dikonfirmasi oleh Pick n Pay ini melibatkan informasi pelanggan dari aplikasi pengiriman lama pengecer tersebut, yang awalnya diluncurkan dengan nama Bottles dan kemudian diganti nama menjadi Asap! Data yang dikompromikan mencakup informasi pelanggan yang sensitif dan detail kartu pembayaran.

Meskipun Pick n Pay mengakui pelanggaran tersebut, pihaknya membantah klaim bahwa informasi kartu secara lengkap telah terekspos. Insiden ini menyoroti tantangan yang semakin besar yang dihadapi perusahaan yang menjalani transformasi digital: sistem yang sudah tidak digunakan dapat tetap rentan lama setelah menghilang dari pandangan publik. 

Pick n Pay mulai memberi tahu pelanggan yang terdampak pada 30 Mei, dengan memperingatkan bahwa pengguna yang mendaftar layanan pengiriman pada atau sebelum tahun 2022 mungkin telah terpengaruh. 

"Data yang terdampak berasal dari versi sebelumnya dari aplikasi sesuai permintaan kami, yang pertama kali dikenal sebagai Bottles dan kemudian sebagai Pick n Pay Asap!, yang sejak itu telah digantikan," kata pengecer tersebut dalam notifikasi kepada pelanggan.

Menurut raksasa supermarket ini, informasi yang terekspos mencakup nama, detail kontak, alamat pengiriman, dan informasi kartu pembayaran terbatas. Perusahaan menegaskan bahwa nomor kartu pembayaran lengkap dan kode keamanan CVV tidak tersimpan di sistem yang terdampak.  

"Ini berarti data yang bocor tidak dapat digunakan untuk melakukan transaksi penipuan pada kartu pelanggan," kata pengecer tersebut. 

Meskipun ada jaminan tersebut, pelanggan tetap merasa tidak nyaman dengan paparan informasi pribadi yang dapat dieksploitasi dalam serangan phishing dan skema penipuan identitas. 

"Korban terbesar dari keamanan siber yang buruk selalu adalah orang-orang biasa yang bekerja keras," kata pembeli Pick n Pay, Dzungi Mudzunga. "Para eksekutif meminta maaf melalui email sementara warga negara harus menghadapi upaya penipuan selama bertahun-tahun."  

Pakar keamanan siber, Dr. Nishal Khusial, mengatakan pelanggaran tersebut mungkin bersumber dari kelemahan dalam infrastruktur lama pengecer tersebut. 

"Apa yang terjadi dalam kasus ini adalah terdapat sistem lama yang terhubung ke aplikasi lama yang tidak memiliki mekanisme perlindungan saat ini untuk bertahan dari serangan penetrasi modern," kata Khusial kepada TechCabal.

Pelanggaran ini juga memperbarui pengawasan tentang cara organisasi menangani data pelanggan setelah platform dihentikan. Samantha Hanreck, pendiri dan direktur penyedia solusi IT Data Sync Global, berpendapat bahwa insiden ini menunjuk pada masalah tata kelola yang lebih luas daripada sekadar kegagalan teknis.

 "Insiden Pick n Pay sebenarnya bukan cerita tentang peretas," katanya. "Ini adalah cerita tentang data yang tidak perlu ada lagi. Platform tersebut dihentikan pada tahun 2022, tetapi catatan pelanggan tetap dapat diakses. Itu adalah kegagalan tata kelola, bukan kegagalan teknologi." 

Bagi sebagian pelanggan, respons pengecer tersebut belum cukup jauh.

"Ini adalah pelanggaran privasi yang serius," kata Trevor Dube, pemilik perusahaan keamanan yang berbasis di Johannesburg dan pelanggan setia Pick n Pay. "Sebagai pelanggan, kami mengharapkan perusahaan-perusahaan besar ini menjaga keamanan informasi pribadi kami. Harus ada konsekuensi serius ketika mereka gagal melindungi kami." 

Phetho Ntaba, juru bicara Komisi Konsumen Nasional Afrika Selatan, menyarankan konsumen yang terdampak untuk mengajukan pengaduan kepada Information Regulator, badan hukum yang bertanggung jawab untuk menegakkan Undang-Undang Perlindungan Informasi Pribadi (POPIA). "Itulah badan yang berwenang untuk menangani akses ilegal terhadap informasi pribadi masyarakat," katanya.

Nomzamo Zondi, manajer komunikasi di Information Regulator, mengatakan regulator siap membantu konsumen yang terdampak. "Jika Anda merasa bahwa informasi pribadi Anda telah dilanggar, silakan kunjungi halaman layanan manajemen online kami atau datang ke kantor kami untuk mendaftarkan keluhan Anda," katanya. 

Zondi juga mendesak Pick n Pay untuk memastikan insiden tersebut secara resmi dilaporkan kepada regulator. Perusahaan mengatakan telah memulai proses tersebut sambil bekerja untuk menentukan sejauh mana pelanggaran yang terjadi.

"Semua proses yang tepat telah dan sedang diikuti, termasuk memberitahu Information Regulator," kata Enrico Ferigolli, Eksekutif Online Pick n Pay. "Kami bekerja sama erat dengan spesialis keamanan siber dan melakukan tinjauan yang lebih luas terhadap praktik manajemen dan retensi data historis sebagai bagian dari investasi berkelanjutan kami dalam keamanan data pelanggan."