Pick n Pay rünnak paneb Lõuna-Aafrika jaemüügi küberturvalisuse tähelepanu alla

Aeglasest küberrikkumine Lõuna-Aafrika jaemüügi suurtehase Pick n Pay vastu on paljastanud klientide andmed, mis on seotud selle tellimuspõhise tarneplatvormi vanema versiooniga, tekitades uusi muresid selle üle, kuidas ettevõtted haldavad oma vananenud süsteeme ka pärast nende kasutusest välja võtmist.

Pick n Pay on rünnaku kinnitanud. Rünnak puudutas klientide andmeid endisest tarne rakendusest, mille algne nimi oli Bottles ja mis hiljem ümber nimetati Asap!-iks. Kompromitteeritud andmete hulka kuulusid tundlikud klientide andmed ja maksekaartide üksikasjad.

Olles rünnaku kinnitanud, ei nõustu Pick n Pay väitega, et täielikud kaartide andmed olid avalikult kättesaadavad. See juhtum rõhutab kasvavat väljakutset, millega ettevõtted digitaalse teisendumisega seoses kokku puutuvad: vananenud süsteemid võivad jääda haavatavaks ka pärast seda, kui nad on kadunud avalikust vaatest.

Pick n Pay alustas mõjutatud klientide teavitamist 30. mail ning hoiatas, et rünnakuga võisid olla puudutatud kasutajad, kes said tarne teenusele registreeruda 2022. aastal või varem.

„Mõjutatud andmed pärinevad meie tellimuspõhisest rakendusest varasemast versioonist, mille esialgne nimi oli Bottles ja mis hiljem sai nimeks Pick n Pay Asap!, ning mida on seejärel asendatud,“ ütles jaemüügi suurtehas oma klientidele saadetud teatises.

Süpermarketi suurtehase andmetel kuulusid paljastatud andmete hulka nimed, kontaktandmed, tarne aadressid ja piiratud maksekaartide andmed. Ettevõte rõhutas, et täielikke maksekaartide numbreid ja CVV turvakoode ei salvestatud mõjutatud süsteemi.

„See tähendab, et lekkivaid andmeid ei saa kasutada petturlike tehingute sooritamiseks klientide kaartidel,“ ütles jaemüügi suurtehas.

Siiski jätkuvad klientide mured isiklike andmete avalikustamise üle, mida saab kasutada näiteks phishing-rünnakutes ja identiteedipetuste korral.

„Kõige suuremad ohvrid halva küberturvalisuse pärast on alati tavalised töötavad inimesed,“ ütles Pick n Pay klient Dzungi Mudzunga. „Juhtkonna liikmed vabandavad e-kirjades, samas kui kodanikud peavad aastaid tegema koostööd pettuste vastu võitlemisel.“

Küberturvalisuse ekspert dr Nishal Khusial ütles, et rünnak võis olla tingitud jaemüügi suurtehase vananenud infrastruktuuri nõrkustest.

„Toimunud on see, et vanasüsteem oli ühendatud vanarakendusega, millel ei olnud vajalikke kaitsesüsteeme kaasaegsete läbimurdmisrünnakute vastu,“ ütles Khusial ajakirjale TechCabal.

Rünnak on ka taas pannud tähelepanu sellele, kuidas organisatsioonid käsitlevad klientide andmeid pärast platvormide kasutusest välja võtmist. IT-lahenduste pakkujate ettevõtte Data Sync Global asutaja ja juhatuse liige Samantha Hanreck väitis, et see juhtum viitab laiemale valitsemisprobleemile, mitte pelgalt tehnilisele veale.

„Pick n Pay juhtum ei ole tegelikult lugu hakeritest,“ ütles ta. „See on lugu andmetest, millel enam ei pidanud eksisteerima. Platvorm tühistati 2022. aastal, kuid klientide andmed jäid siiski ligipääsetavaks. See on valitsemisvigade, mitte tehnoloogia vigade tulemus.“

Mõnede klientide jaoks ei ole jaemüügi suurtehase reageering piisav.

„See on tõsine privaatsuse rikkumine,“ ütles Johannesburgis asuv julgeolekufirma omanik ja sageli Pick n Pay poes ostlev Trevor Dube. „Kui klientidena ootame, et suured ettevõtted hoiaksid meie privaatsed andmed turvaliselt. Kui nad ei suuda meid kaitsta, peaksid selle eest olema tõsised tagajärjed.“

Lõuna-Aafrika Rahvusliku Tarbijakomisjoni pressiesindaja Phetho Ntaba soovitas mõjutatud tarbijatel esitada kaebused Informatsiooni Regulaatorile – seaduslikule organile, kes vastutab Isikute Andmete Kaitse Seaduse (POPIA) rakendamise eest. „See on organ, kellel on volitus tegeleda seadusvastase ligipääsu inimeste isiklikele andmetele,“ ütles ta.

Informatsiooni Regulaatori kommunikatsioonijuht Nomzamo Zondi ütles, et regulaator on valmis abistama mõjutatud tarbijaid. „Kui te tunnete, et teie isiklikke andmeid on rikutud, külastage palun meie veebilehel olevat online haldusteenuste lehte või pöörduge meie kontorisse oma kaebuse esitamiseks,“ ütles ta.

Zondi soovitas ka Pick n Pay’l tagada, et sündmus raporteeritakse regulaatorile ametlikult. Ettevõte ütles, et see protsess on juba käimas, samas kui nad püüavad kindlaks teha rünnaku täieliku ulatuse.

„Kõik sobivad protseduurid olid ja on endiselt käigus, sealhulgas ka Informatsiooni Regulaatori teavitamine,“ ütles Pick n Pay’i juhtiv online-ettevõtja Enrico Ferigolli. „Meie koostöös küberturvalisuse spetsialistidega toimub laiem ülevaade ajalooliste andmete haldamis- ja säilitamispraktikate kohta kui osa meie pidevast investeeringust klientide andmete turvalisusse.“