Pick n Pay数据泄露事件令南非零售业网络安全受到审视

针对南非零售巨头Pick n Pay的一次网络攻击，导致与其按需配送平台旧版本相关的客户数据遭到泄露，再度引发各界对企业如何管理已停用遗留系统的担忧。

Pick n Pay已确认此次数据泄露事件，涉及该零售商前配送应用程序的客户信息，该应用最初以Bottles为名推出，后更名为Asap！泄露数据包括敏感客户信息及支付卡详情。

尽管Pick n Pay承认了此次泄露事件，但对完整银行卡信息遭曝光的说法提出异议。此次事件凸显了正在进行数字化转型的企业所面临的日益严峻的挑战：已停用的系统在从公众视野消失后，仍可能长期存在安全漏洞。 

Pick n Pay于5月30日开始通知受影响客户，提醒于2022年或之前注册配送服务的用户可能受到波及。 

"受影响的数据来自我们按需应用程序的早期版本，该版本最初称为Bottles，后更名为Pick n Pay Asap！，目前已被替换，"该零售商在客户通知中表示。

据这家超市巨头透露，泄露信息包括姓名、联系方式、配送地址及有限的支付卡信息。该公司强调，受影响系统中未存储完整的支付卡号及CVV安全码。  

"这意味着泄露的数据无法用于对客户银行卡进行欺诈交易，"该零售商表示。 

尽管如此，客户对个人信息遭曝光仍感到不安，这些信息可能被用于网络钓鱼攻击及身份欺诈活动。 

"网络安全薄弱的最大受害者永远是普通劳动者，"Pick n Pay顾客Dzungi Mudzunga表示。"高管们在电子邮件中道歉，而普通民众却要年复一年地应对欺诈企图。"  

网络安全专家Nishal Khusial博士表示，此次泄露事件可能源于该零售商遗留基础设施的安全弱点。 

"在这个案例中，发生的情况是，一个旧系统连接着一个旧应用程序，而该系统不一定具备抵御现代渗透攻击的当前防护机制，"Khusial告诉TechCabal。

此次泄露事件也再度引发外界对企业在平台停用后如何处理客户数据的审视。IT解决方案提供商Data Sync Global的创始人兼总监Samantha Hanreck认为，此次事件所指向的是更深层次的治理问题，而非单纯的技术故障。

 "Pick n Pay事件其实并不是一个关于黑客的故事，"她说。"这是一个关于不再需要存在的数据的故事。该平台于2022年退役，但客户记录依然可以被访问。这是治理失败，而非技术失败。" 

对部分客户而言，该零售商的回应力度尚显不足。

"这是对隐私权的严重侵犯，"约翰内斯堡安保公司老板、Pick n Pay常客Trevor Dube表示。"作为消费者，我们期望这些大公司妥善保管我们的私人信息。当他们未能保护我们时，应承担严重后果。" 

南非全国消费者委员会发言人Phetho Ntaba建议受影响消费者向信息监管机构提出投诉，该机构是负责执行《个人信息保护法》（POPIA）的法定机构。"该机构有权处理非法获取个人信息的事件，"她说。

信息监管机构传播经理Nomzamo Zondi表示，监管机构随时准备协助受影响消费者。"如果您认为您的个人信息遭到侵犯，请访问我们的在线管理服务页面，或亲临我们的办公室登记投诉，"她说。 

Zondi还敦促Pick n Pay确保将此次事件正式上报监管机构。该公司表示已启动相关程序，同时正努力确定此次泄露的完整范围。

"所有适当程序均已遵循并正在持续执行，包括通知信息监管机构，"Pick n Pay网络业务执行官Enrico Ferigolli表示。"我们正与网络安全专家密切合作，并对历史数据管理及保留做法进行更全面的审查，作为我们持续投资客户数据安全工作的一部分。"