aktualności

UODO nałożył na Morele.net rekordową karę finansową za wyciek danych klientów

33
19 września 2019, 12:43 Adrian Kotowski

Urząd Ochrony Danych Osobowych nie miał litości dla spółki Morele.net i nałożył na nią najwyższą w historii karę w związku z przejęciem przez hakerów danych osobowych klientów sklepu. Według urzędników, firma nie była przygotowana na tego typu wypadek i nie posiadała odpowiednich zabezpieczeń oraz środków uwierzytelniania dostępu, które miały zostać wdrożone dopiero po ataku.

O sprawie wycieku danych klientów grupy Morele.net informowaliśmy w grudniu 2018 roku, kiedy jeszcze firma zapewniała, że wszystko jest pod jej kontrolą. Niestety w kwietniu tego roku okazało się, że było to jedynie naginanie rzeczywistości, bo do sieci trafiła baza z 2,5 mln rekordów dotyczących danych osobowych klientów sklepu. Sprawa została zgłoszona do UODO, a sam urząd przez kilka miesięcy zastanawiał się, czy i jak ukarać spółkę. Dzisiaj poznaliśmy decyzję w tej sprawie.

W związku z niezapewnieniem wystarczających środków technicznych ochrony danych grupa Morele.net naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności, przez co doszło do nieuprawnionego dostępu do danych klientów i samego ich uzyskania. Organ uznał, ze sklep stosował nieskuteczne środki uwierzytelniania dostępu, a dodatkowo nieskutecznie monitorował potencjalne zagrożenia. O karze miały przesądzić też inne uchybienia, jak brak odpowiednich rozwiązań technicznych i organizacyjnych, mogących uchronić lub złagodzić skutki wycieku danych.

Znając te problemy, UODO zdecydowało się nałożyć na Morele.net karę w wysokości 2,8 mln zł, która jest rekordem w historii polskiego systemu prawnego. Co ważne, kwota mogłaby być jeszcze wyższa, bo urząd miał brać pod uwagę przy ustaleniu wysokości kary okoliczności łagodzące, takie jak choćby dobrą współpracę ze spółką i podjęcie przez nią środków zmierzających do usunięcia naruszenia. Decyzja UODO nie została oczywiście zbyt ciepło przyjęta przez grupę Morele.net, która wydała w tej sprawie cytowane przez nas poniżej oświadczenie:

Drodzy Klienci,

kiedy w 2018 roku padliśmy ofiarą cyberprzestępcy, który w nieuprawniony sposób uzyskał dostęp do bazy danych Klientów sklepu morele.net, niezwłocznie zaangażowaliśmy strategiczne zasoby firmy we współpracę z odpowiednimi służbami. Incydent został zgłoszony na Policję oraz zgodnie z wytycznymi ustawodawcy przekazany do Urzędu Ochrony Danych Osobowych. 

Jak zostało przedstawione w decyzji, w toku zaistniałych wydarzeń spółka morele.net reagowała bez zbędnej zwłoki, zarówno pod kątem informacyjnym, prawnym oraz w zakresie wprowadzanych środków technicznych. Od samego początku podjęta została współpraca z Policją oraz Urzędem Ochrony Danych Osobowych. W momencie potwierdzenia ryzyka, że nieuprawniony dostęp mógł dotyczyć nie tylko osób, do których został wysłany SMS ale także całej bazy - poinformowano o tym fakcie wszystkich Klientów. Obok informacji zamieszczonej na stronie internetowej morele.net, przygotowany został dedykowany mailing do całej bazy Klientów, a także uruchomiono dodatkowe kanały i zwiększono zasoby do Obsługi Klientów w wymiarze 24/7. W ramach wdrożonej komunikacji przygotowany został także szereg rekomendacji i sugerowanych działań dla Klientów, których implementacja pozwalałaby na zminimalizowanie ewentualnych, negatywnych skutków nieuprawnionego dostępu.

 Podjęliśmy szereg działań systemowych i procesowych pozwalających na  wzmocnienie i poprawę zabezpieczeń naszej infrastruktury. Bezpieczeństwo stało się nr 1 w każdym aspekcie funkcjonowania firmy – od rozwiązań technologicznych, poprzez obsługę Klienta aż po marketing. Dział Bezpieczeństwa w IT został wzmocniony osobowo i kompetencyjnie oraz otrzymał rozszerzone prerogatywy. Część zmian, które możemy wymienić, to: dwustopniowa weryfikacja przy zmianie adresu e-mail i numeru telefonu przypisanych do konta użytkownika, zmiana sposobu hashowania oraz hashowanie większego zbioru danych, rozbudowa monitoringu systemów wewnętrznych czy dodatkowa weryfikacja antybotowa a także umożliwienie zakupów bez rejestracji. We współpracy z zewnętrznymi specjalistami ds. bezpieczeństwa od dziewięciu miesięcy realizujemy szereg audytów, testów penetracyjnych oraz projektów zwiększających poziom zabezpieczeń. W listopadzie uruchomimy również program Bug Bounty, będący kolejnym elementem architektury bezpieczeństwa. O naszych działaniach, planach i postępach w pracach na bieżąco informujemy Klientów //www.morele.net/wiadomosc/zakupy-bez-rejestracji-juz-mozliwe/15629/

W naszej opinii ocena Urzędu o jedynie częściowym zapewnieniu odpowiednich środków zabezpieczenia technicznego przetwarzania danych oraz naruszeniu zasad przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych powinna zostać zweryfikowana przez niezależnych biegłych. Środki stosowane przez spółkę, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały. Wskazanie na niedopełnienie obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych wskazuje na jedno konkretne rozwiązanie, pomijając inne środki bezpieczeństwa oraz procesy obowiązujące w spółce. Poziom bezpieczeństwa systemów informatycznych powinien być analizowany jako całość. Z tego też powodu będziemy korzystać z dostępnych nam dróg odwoławczych. Egzekucja kary jest wstrzymana do momentu rozstrzygnięcia przez Sąd Administracyjny a spółka była przygotowana na ewentualność otrzymania kary i ma zapewnione rezerwy na ten cel. Kara w żadnym stopniu nie wpłynie na działalność operacyjną naszej firmy. 

Wierzymy, że ostatnie wydarzenia oraz ich medialność pozwolą na zwiększenie świadomości bezpieczeństwa w sieci, a wprowadzone przez nas działania i rozwiązania pozwolą innym minimalizować tego typu ataki oraz ich negatywne konsekwencje. Naszą intencją jest nadanie odpowiedniej wagi problemowi i wsparcie inicjatyw mających na celu poprawę bezpieczeństwa w internecie. 

Co ważne, zastrzeżenia wobec decyzja ma też m.in. dr Maciej Kawecki, dziekan WSB w Warszawie, należący do kancelarii Maruta Wachta, reprezentującej Morele.net w tym postępowaniu. Poniżej jego krótkie oświadczenie wideo, załączone dzisiaj na Facebooku.

Orzel94Zobacz profil
Poziom ostrzeżenia: 0%
Orzel942019.09.19, 12:47
21#1
I bardzo dobrze, to i tak jest raptem złotówka z groszami za dane pojedynczego z nas
buggeerZobacz profil
Poziom ostrzeżenia: 0%
buggeer2019.09.19, 12:56
15#2
Szkoda, ze nie ma możliwości uzyskania odszkodowania za spam mailowy i telefoniczny po wycieku danych przetwarzanych przez jakąś firmę. Gmail pozwala łatwo zidentyfikować źródło wycieku.
CentronixZobacz profil
Poziom ostrzeżenia: 0%
Centronix2019.09.19, 12:56
Też się cieszę, musi iść przykład, prawo musi być egzekwowane względem korporacji. Nie może tak być, że firmy obniżają lub zaniechują wydatków na bezpieczeństwo swoich informatycznych rozwiązań, bo taniej jest przeprowadzić łatanie po incydencie. Wysokość tej karty na pewno wystarczyłaby na przeprowadzenie szczegółowych pentestów i na podstawie ich wyników załatanie dziur w Magento czy innej platformie, na której stoi sklep morele.net.
KońkoZobacz profil
Poziom ostrzeżenia: 0%
Końko2019.09.19, 13:03
11#4
Orzel94 @ 2019.09.19 12:47  Post: 1217640
I bardzo dobrze, to i tak jest raptem złotówka z groszami za dane pojedynczego z nas

I właśnie dlatego to zdecydowanie za mało.
Edytowane przez autora (2019.09.19, 13:03)
StaryPierdzielZobacz profil
Poziom ostrzeżenia: 0%
StaryPierdziel2019.09.19, 13:29
Za mało, powinni przyprdlć najwyższą dozwoloną prawem karę, przy której jeszcze sklep nie upadnie.
Filip454Zobacz profil
Poziom ostrzeżenia: 33%
Filip4542019.09.19, 13:35
-6#6
Och jaki piękny ten doktor WSB :E Piękny jest, piękny...

Morele miało po prostu niezłego pecha. Szkoda, bo w sumie dobry sklep.
Edytowane przez autora (2019.09.19, 13:39)
Mateusz31Zobacz profil
Poziom ostrzeżenia: 0%
Mateusz312019.09.19, 14:00
buggeer @ 2019.09.19 12:56  Post: 1217642
Szkoda, ze nie ma możliwości uzyskania odszkodowania za spam mailowy i telefoniczny po wycieku danych przetwarzanych przez jakąś firmę. Gmail pozwala łatwo zidentyfikować źródło wycieku.

Dokładnie, na email powiązany z morele dostaję ogromne ilości spamu. Dobrze, że przynajmniej żadne boty nie dzwonią/sms'ują ale to tylko kwestia czasu.
Edytowane przez autora (2019.09.19, 14:01)
mcrobert666Zobacz profil
Poziom ostrzeżenia: 0%
mcrobert6662019.09.19, 14:21
-2#8
jako że w IT siedzę dłużej niż nie jeden gimnazjalista, to módlcie się by morele się nie zawinęło, obecnie na placu boju został tylko xkom i morele, no i proline, a potem daleko daleko nic, swegro czasu było Agito, ale po przejęciu przez emag to śmiech na sali.
iwanmeZobacz profil
Poziom ostrzeżenia: 0%
iwanme2019.09.19, 14:28
Filip454 @ 2019.09.19 13:35  Post: 1217658
Och jaki piękny ten doktor WSB :E Piękny jest, piękny...
Morele miało po prostu niezłego pecha. Szkoda, bo w sumie dobry sklep.

Pecha jak pecha. Przy wycieku wyszło, że przechowują sobie praktycznie luzem dane wrażliwe PESELE i nr DO osób które kupowały rzeczy na raty. Do tego nie usuwają użytkowników i ich haseł którzy swoje konto na Morele usunęli. Oszczędności na zabezpieczeniach to nie do końca pech.

A sklep jest średni. Ma niskie ceny i przeciętną obsługę klienta. Tragedii nie ma, ale jakiejś szczególnej jakości też nie.

@mcrobert666
Jest jeszcze Amazon ;)
Edytowane przez autora (2019.09.19, 14:28)
ext2019.09.19, 14:29
10#10
Kpina. Musi jeszcze trochę ścieków Wisłą przepłynąć żeby firmy w PL odpowiadały też za szkody jakie wyrządziły swoim działaniem bądź zaniechaniem. Szkoda, że nikomu z tzw. dziennikarzy nie chciało się zgłębić tematu jakie konsekwencje dla klientów miał wspomniany wyciek i jaka to była rzeczywiście skala szkód. Poza tym pieniądze powinny trafić do klientów a nie dziwnej instytucji. Instytucja UODO też powinna zapłacić karę wielokrotnie większą bo została powoła do kontrolowania i zapobiegania a nie wyciągania konsekwencji jak mleko się rozleje. Inaczej pisząc UODO dała d..y bo wyciek nastąpił.
Edytowane przez autora (2019.09.19, 14:30)
Zaloguj się, by móc komentować
1