מדובר באירוע אבטחת סייבר שעלה לכותרות ברחבי קנדה בסוף השנה שעברה, למרות ש- Sobeys חיכתה עד עכשיו כדי לאשר זאת. The Maritime Based Empire Co – חברת האם של Sobeys, דיווחה כי לקוחות ועובדים בעבר ובהווה החלו לקבל מכתבים בהם נאמר כי ייתכן שהמידע האישי שלהם נפגע. מכתבים נשלחו בסוף השבוע שעבר מ- Medical Health Care Services Inc. (MHCSI). זוהי חברה המספקת תוכניות הטבות קבוצתיות ועובדת עם בתי מרקחת, כולל Sobeys ו- Lawtons. המכתבים מודיעים לנמענים שצד שלישי השיג גישה לשרתי Sobeys ב- 1 בנובמבר 2022. חלק מהאנשים שקיבלו את המכתב כלל לא הבינו שמדובר בדלף מידע שלהם והתקשו לקשר בין התוכן לבין Sobeys. "זוהי חברת משנה מסוימת בתוך קבוצת החברות הכוללת של Empire Co שעשויה להיות מושפעת ולכן אנו עשויים לראות סוגים שונים של מכתבים כאלו", אמר מומחה אבטחת הסייבר, דייוויד שיפלי. החברה זכתה לביקורת חריפה על שתיקתה הממושכת בנושא במשך שבועות. פרופסור לעסקים אד מקיו אמר כי המכתבים אינם מפתיעים: "דלף מידע זה הינו אירוע חמור וכאשר הוא התרחש לא ניתן היה לקבל כרטיסי מתנה ב- Sobeys במשך זמן מה, אז ידענו שהאירוע משמעותי ו- Sobeys היו שקטים מאוד בעניין הזה".
באימייל ל- CTV News, כתבו Sobeys: "בעזרת מומחים חיצוניים, חקרנו כיצד צד שלישי בלתי מורשה השיג גישה לחלק מהשרתים והמערכות שלנו. התהליך לזהות אילו נתונים הושפעו היה מורכב ביותר וכעת הגענו לנקודה שבה אנו יכולים להודיע לאלו שהושפעו מדלף המידע". ענקית הקמעונאות אמרה גם: "לא ראינו שום הוכחה לכך שההאקרים ניגשו לנתונים אישיים או הסירו נתונים אישיים מהשרתים שלנו; עם זאת, מתוך זהירות, שלחנו הודעות לאלו שעלולים להיות מושפעים ובהתאם למחויבויות הרגולטוריות שלנו" וכן הוסיפו, כי אבטחת IT הינה בראש סדר העדיפויות של Sobeys. אמון ושקיפות חשובים להם מאד והם מצטערים שהאירוע הזה התרחש.
בעוד שהמכתב מספק מידע מסוים כיצד דלף המידע עלול לשמש את האקרים, טוען דייוויד שיפלי כי היה צריך לספק תקשורת ברורה יותר הרבה יותר מוקדם: "הם היו צריכים להוציא הודעה לתקשורת במסיבת עיתונאים אמיתית ולהגיד שהחלו בתהליך יידוע אנשים, כך שאנשים היו יכולים להבין מי יקבל איזו הודעה שבאמת ניתן לסמוך עליה".
Sobeys אינה לבד בהתמודדות עם בעיות אבטחת סייבר. בשנים האחרונות מכוונים האקרים לעסקים וארגונים שונים. אד מקיו קורא לעסקים ולארגונים להיות עירניים מאד בשיחות טלפון ובמיילים ואם משהו נשמע טוב מכדי להיות אמיתי, כנראה שהוא לא אמיתי.
נכון לעכשיו, לא ברור כמה מכתבים נשלחו, עם זאת, לעובדים הוצע מנוי לשנה לשירות ניטור אשראי. המכתבים גם קוראים לנמענים לפקוח עין על ניסיונות דיוג אפשריים ולהימנע מלחיצה על קישורים או הורדת קבצים מצורפים מהודעות דוא"ל חשודות.
