Vụ vi phạm dữ liệu của Pick n Pay đặt an ninh mạng bán lẻ của Nam Phi dưới sự giám sát

Một cuộc tấn công mạng nhắm vào gã khổng lồ bán lẻ Nam Phi Pick n Pay đã làm lộ dữ liệu khách hàng liên quan đến phiên bản cũ hơn của nền tảng giao hàng theo yêu cầu, làm dấy lên lo ngại mới về cách các công ty quản lý các hệ thống cũ lâu sau khi chúng đã ngừng hoạt động.

Vụ vi phạm mà Pick n Pay đã xác nhận liên quan đến thông tin khách hàng từ ứng dụng giao hàng cũ của nhà bán lẻ, ban đầu ra mắt với tên Bottles và sau đó được đổi tên thành Asap! Dữ liệu bị xâm phạm bao gồm thông tin khách hàng nhạy cảm và chi tiết thẻ thanh toán.

Mặc dù Pick n Pay thừa nhận vụ vi phạm, công ty bác bỏ các tuyên bố rằng toàn bộ thông tin thẻ đã bị lộ. Sự cố này làm nổi bật thách thức ngày càng lớn mà các công ty đang trải qua quá trình chuyển đổi kỹ thuật số phải đối mặt: các hệ thống đã ngừng hoạt động vẫn có thể tiếp tục tồn tại lỗ hổng bảo mật lâu sau khi chúng biến mất khỏi tầm nhìn của công chúng. 

Pick n Pay bắt đầu thông báo cho các khách hàng bị ảnh hưởng vào ngày 30 tháng 5, cảnh báo rằng những người dùng đã đăng ký dịch vụ giao hàng vào hoặc trước năm 2022 có thể đã bị ảnh hưởng. 

"Dữ liệu bị ảnh hưởng đến từ phiên bản trước của ứng dụng theo yêu cầu của chúng tôi, ban đầu được biết đến với tên Bottles và sau đó là Pick n Pay Asap!, đã được thay thế kể từ đó," nhà bán lẻ cho biết trong thông báo gửi đến khách hàng.

Theo gã khổng lồ siêu thị, thông tin bị lộ bao gồm tên, thông tin liên lạc, địa chỉ giao hàng và thông tin thẻ thanh toán hạn chế. Công ty nhấn mạnh rằng số thẻ thanh toán đầy đủ và mã bảo mật CVV không được lưu trữ trên hệ thống bị ảnh hưởng.  

"Điều này có nghĩa là dữ liệu bị rò rỉ không thể được sử dụng để thực hiện các giao dịch gian lận trên thẻ của khách hàng," nhà bán lẻ cho biết. 

Bất chấp những đảm bảo đó, khách hàng vẫn lo lắng về việc lộ thông tin cá nhân có thể bị khai thác trong các cuộc tấn công lừa đảo và các kế hoạch gian lận danh tính. 

"Những nạn nhân lớn nhất của an ninh mạng kém luôn là những người lao động bình thường," Pick n Pay shopper Dzungi Mudzunga nói. "Các giám đốc điều hành xin lỗi qua Email trong khi người dân phải đối phó với các nỗ lực gian lận trong nhiều năm."  

Chuyên gia an ninh mạng Tiến sĩ Nishal Khusial cho biết vụ vi phạm có thể xuất phát từ những điểm yếu trong cơ sở hạ tầng cũ của nhà bán lẻ. 

"Điều đã xảy ra trong trường hợp này là có một hệ thống cũ kết nối với một ứng dụng cũ không nhất thiết có các cơ chế bảo vệ hiện tại để phòng thủ trước các cuộc tấn công xâm nhập hiện đại," Khusial nói với TechCabal.

Vụ vi phạm cũng đã làm mới sự giám sát về cách các tổ chức xử lý dữ liệu khách hàng khi các nền tảng ngừng hoạt động. Samantha Hanreck, người sáng lập và giám đốc của nhà cung cấp giải pháp CNTT Data Sync Global, lập luận rằng sự cố này chỉ ra một vấn đề quản trị rộng hơn thay vì chỉ là một lỗi kỹ thuật thuần túy.

 "Sự cố Pick n Pay thực ra không phải là câu chuyện về hacker," bà nói. "Đó là câu chuyện về dữ liệu không cần tồn tại nữa. Nền tảng đã ngừng hoạt động vào năm 2022, nhưng hồ sơ khách hàng vẫn có thể truy cập được. Đó là lỗi quản trị, không phải lỗi công nghệ." 

Đối với một số khách hàng, phản hồi của nhà bán lẻ vẫn chưa đủ.

"Đây là sự xâm phạm nghiêm trọng đến quyền riêng tư," Trevor Dube, chủ sở hữu công ty bảo mật có trụ sở tại Johannesburg và là khách hàng thường xuyên của Pick n Pay, cho biết. "Là khách hàng, chúng tôi kỳ vọng những công ty lớn này giữ an toàn thông tin cá nhân của chúng tôi. Phải có hậu quả nghiêm trọng khi họ không bảo vệ được chúng tôi." 

Phetho Ntaba, người phát ngôn của Ủy ban Người tiêu dùng Quốc gia Nam Phi, khuyên người tiêu dùng bị ảnh hưởng nên nộp khiếu nại lên Cơ quan Quản lý Thông tin, cơ quan pháp lý có trách nhiệm thực thi Đạo luật Bảo vệ Thông tin Cá nhân (POPIA). "Đó là cơ quan được trao quyền để xử lý việc truy cập trái phép vào thông tin cá nhân của mọi người," bà cho biết.

Nomzamo Zondi, giám đốc truyền thông tại Cơ quan Quản lý Thông tin, cho biết cơ quan quản lý sẵn sàng hỗ trợ người tiêu dùng bị ảnh hưởng. "Nếu bạn cảm thấy thông tin cá nhân của mình đã bị vi phạm, vui lòng truy cập trang dịch vụ quản lý trực tuyến của chúng tôi hoặc đến văn phòng của chúng tôi để đăng ký khiếu nại," bà nói. 

Zondi cũng kêu gọi Pick n Pay đảm bảo sự cố được báo cáo chính thức lên cơ quan quản lý. Công ty cho biết họ đã khởi động quy trình đó trong khi đang nỗ lực xác định toàn bộ phạm vi của vụ vi phạm.

"Tất cả các quy trình phù hợp đã và đang được tuân theo, bao gồm việc thông báo cho Cơ quan Quản lý Thông tin," Enrico Ferigolli, Giám đốc Trực tuyến của Pick n Pay, cho biết. "Chúng tôi đang làm việc chặt chẽ với các chuyên gia an ninh mạng và tiến hành xem xét toàn diện hơn về các thông lệ quản lý và lưu giữ dữ liệu lịch sử như một phần trong khoản đầu tư liên tục của chúng tôi vào bảo mật dữ liệu khách hàng."