A violação da Pick n Pay coloca a cibersegurança do retalho sul-africano sob escrutínio

Um ciberataque ao gigante retalhista sul-africano Pick n Pay expôs dados de clientes ligados a uma versão mais antiga da sua plataforma de entrega a pedido, levantando novas preocupações sobre a forma como as empresas gerem sistemas legados muito depois de serem desativados.

A violação, confirmada pela Pick n Pay, envolve informações de clientes da antiga aplicação de entrega do retalhista, originalmente lançada como Bottles e posteriormente renomeada como Asap! Os dados comprometidos incluíam informações sensíveis de clientes e detalhes de cartões de pagamento.

Embora a Pick n Pay tenha reconhecido a violação, contestou as alegações de que informações completas de cartões foram expostas. O incidente evidencia um desafio crescente para as empresas em processo de transformação digital: os sistemas desativados podem permanecer vulneráveis muito depois de desaparecerem da vista do público. 

A Pick n Pay começou a notificar os clientes afetados a 30 de maio, alertando que os utilizadores que se registaram no serviço de entrega até 2022 poderão ter sido afetados. 

"Os dados afetados provêm de uma versão anterior da nossa aplicação a pedido, conhecida inicialmente como Bottles e posteriormente como Pick n Pay Asap!, que entretanto foi substituída", afirmou o retalhista numa notificação enviada aos clientes.

Segundo o gigante da distribuição alimentar, as informações expostas incluem nomes, dados de contacto, moradas de entrega e informações limitadas de cartões de pagamento. A empresa sublinhou que os números completos dos cartões de pagamento e os códigos de segurança CVV não estavam armazenados no sistema afetado.  

"Isto significa que os dados divulgados não podem ser utilizados para realizar transações fraudulentas nos cartões dos clientes", afirmou o retalhista. 

Apesar dessas garantias, os clientes continuam apreensivos com a exposição de informações pessoais que poderiam ser exploradas em ataques de phishing e esquemas de fraude de identidade. 

"As maiores vítimas de uma fraca cibersegurança são sempre as pessoas comuns que trabalham", disse a cliente da Pick n Pay Dzungi Mudzunga. "Os executivos pedem desculpa por e-mail enquanto os cidadãos lidam com tentativas de fraude durante anos."  

O especialista em cibersegurança Dr. Nishal Khusial afirmou que a violação pode ter resultado de fragilidades na infraestrutura legada do retalhista. 

"O que aconteceu neste caso foi que existia um sistema antigo ligado a uma aplicação antiga que não tinha necessariamente os mecanismos de proteção atuais para se defender contra ataques de penetração modernos", disse Khusial ao TechCabal.

A violação renovou também o escrutínio sobre a forma como as organizações gerem os dados dos clientes após a desativação das plataformas. Samantha Hanreck, fundadora e diretora da fornecedora de soluções de TI Data Sync Global, argumentou que o incidente aponta para um problema de governação mais amplo, em vez de uma falha puramente técnica.

 "O incidente da Pick n Pay não é bem uma história sobre hackers", disse ela. "É uma história sobre dados que já não precisavam de existir. A plataforma foi desativada em 2022, mas os registos dos clientes continuaram acessíveis. Isso é uma falha de governação, não uma falha tecnológica." 

Para alguns clientes, a resposta do retalhista não foi suficientemente longe.

"Esta é uma grave invasão da privacidade", disse Trevor Dube, proprietário de uma empresa de segurança em Joanesburgo e cliente frequente da Pick n Pay. "Como clientes, esperamos que estas grandes empresas mantenham as nossas informações privadas em segurança. Deve haver consequências sérias quando falham na nossa proteção." 

Phetho Ntaba, porta-voz da Comissão Nacional de Consumidores da África do Sul, aconselhou os consumidores afetados a apresentarem queixas junto do Regulador de Informação, o organismo estatutário responsável pela aplicação da Lei de Proteção de Informações Pessoais (POPIA). "Esse é o organismo com poderes para lidar com o acesso ilegal às informações pessoais das pessoas", afirmou.

Nomzamo Zondi, responsável de comunicação do Regulador de Informação, disse que o regulador está pronto para ajudar os consumidores afetados. "Caso considere que as suas informações pessoais foram violadas, visite a nossa página de serviços de gestão online ou dirija-se às nossas instalações para registar a sua queixa", disse. 

Zondi instou também a Pick n Pay a garantir que o incidente fosse formalmente comunicado ao regulador. A empresa afirmou que já deu início a esse processo, enquanto trabalha para determinar a extensão total da violação.

"Todos os processos adequados foram e estão a ser seguidos, incluindo a notificação ao Regulador de Informação", disse Enrico Ferigolli, Executive Online da Pick n Pay. "Estamos a trabalhar em estreita colaboração com especialistas em cibersegurança e a levar a cabo uma revisão mais abrangente das práticas históricas de gestão e retenção de dados, no âmbito do nosso investimento contínuo na segurança dos dados dos clientes."