Urząd Ochrony Danych Osobowych nałożył na spółkę Morele.net rekordową karę finansową w wysokości ponad 2 800 000 zł. Związane jest to z ubiegłorocznym wyciekiem danych osobowych klientów sklepu internetowego.
Ale o co chodzi?
W ubiegłym roku klienci Morele.net, po zakupach zrealizowanych na stronie otrzymywali SMS-y z informacją o konieczności dokonania dodatkowej opłaty w celu finalizacji ich zamówienia. Zawierały one link przekierowujący do strony, która posiadała fałszywe żądanie zapłaty 1 zł poprzez bramkę płatności elektronicznej DotPay. Takim sposobem odpowiedzialny za ten proceder miał dostęp do loginu i hasła konta bankowego klienta oraz do kodu autoryzacyjnego. Osoba odpowiedzialna za to oszustwo posiadała więc narzędzia do przejęcia wszystkich środków finansowych znajdujących się na kontach poszkodowanych.
Morele.net nie pozostało wobec tego obojętne i umieściło informacje na swojej stronie. Jednak w komunikacie mogliśmy przeczytać, że:
Informujemy, że nie jesteśmy nadawcą tych smsów i jest to prawdopodobnie próba oszustwa i wyłudzenia. (…) Nigdy nie wysyłamy smsów do Klientów z prośbą o dopłatę do zamówienia. Nie wysyłają ich również w naszym imieniu firmy kurierskie, ani żadne inne, związane z nami podmioty. Najprawdopodobniej jest to próba wyłudzenia pieniędzy. Bardzo prosimy o ignorowanie ich oraz w żadnym wypadku nie klikanie w link wysyłany smsem.
Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję.
Po jakimś czasie komunikat zastał zmieniony (usunięto podkreśloną część), a następnie informacja została całkowicie usunięta ze strony.
Morele.net, świadome narastającego problemu, rozesłało do swoich klientów wiadomość informującą, że:
Niespodziewanie w Internecie pojawiły się screenshoty rozmów Morele.net z osobą odpowiedzialną za wyciek danych. Możemy z nich wywnioskować, że Spółka próbowała negocjować z szantażystą, niestety nie podołała postawionym wymaganiom. Żądał on zapłaty 15 BTC albo 500 000 zł za informacje, w jaki sposób wszedł w posiadanie bazy danych, wskazanie błędów Spółki w zabezpieczeniach oraz zaprzestania nadużywania skradzionych informacji. Zagroził, że jeśli Spółka nie odpowie pozytywnie w określonym czasie, to „jedna informacja do mediów wiąże się z wyciekiem wszystkich danych publicznie oraz poinformowaniem odpowiednich organów ścigania”. Umowa nie doszła do skutku i Morele.net musiało zmierzyć się z konsekwencjami.
Jakie dane zostały skradzione?
Prezes UODO wskazuje dokładnie, jakie dane osobowe przetwarza Spółka.
Spółka w związku z prowadzoną działalnością przetwarza dane osobowe klientów, którzy dokonali rejestracji na stronie internetowej Morele.net. Liczba osób, których dane są przetwarzane przez Spółkę wynosi ok. 2 200 000 (ok dwa miliony dwieście tysięcy) . Zakres tych danych obejmuje: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu i adres do doręczeń. Do grudnia 2018 r. Spółka przetwarzała również dane z wniosków ratalnych. Zakres tych danych obejmował: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu, numer PESEL, seria i numer dokumentu tożsamości, data wydania dokumentu tożsamości, data ważności dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, miesięczny dochód netto, koszty utrzymania gospodarstwa domowego, liczba osób na utrzymaniu, stan cywilny, wysokość miesięcznych innych zobowiązań w instytucjach finansowych, informacja o wysokości zobowiązań alimentacyjnych i innych wynikających z wyroków sądowych (gromadzone od 2016 r.). Ich łączna liczba wynosiła ok 35 000 […].
Należy przyjąć, że wszystkie powyższe informacje zostały objęte atakiem hakerskim i wykorzystane niezgodnie z przeznaczeniem.
Oprócz wskazanych już problemów obejmujących bezpośrednio strefę finansową i poniesione w tym przypadku skutki materialne pojawił się problem ze spamem. Użytkownicy wskazywali, że z uwagi na przedmiotowy atak i brak ochrony ich danych przez spółkę są oni codziennie nękani zatrważającą liczbą spamu telefonicznego oraz mailowego.
Stanowisko Morele.net
Nikt dotychczas nie był w stanie ustalić, jak doszło do ataku. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie zdarzają się pomimo najsilniejszych zabezpieczeń, jakie tylko są dostępne. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne wiodącym firmom – komentuje dr. Kawecki, członek kancelarii reprezentującej Morele.net
Spółka wskazała, że podjęła wszelkie możliwe działania, aby zapobiec atakowi hakerskiemu, a bezpośrednio po tym naruszeniu poinformowała o nim swoich klientów, ostrzegając ich o nieuprawnionym dostępie do ich danych osobowych. Jednocześnie zostały zawiadomione organy ścigania, a po wewnętrznym postępowaniu wyjaśniającym, zgłoszono naruszenie do UODO.
Spółka nie zgadza się więc z przedmiotową decyzją, wskazując, że będzie się od niej odwoływać oraz dążyć do powołania niezależnych biegłych, których rzekomo w postępowaniu prowadzonym przez UODO zabrakło.
Morele.net zwraca uwagę, że nałożenie kary nie jest jedynym negatywnym skutkiem poniesionym z uwagi na atak hakerski. UODO poprzez liczne informacje w tej sprawie miało bowiem wywołać negatywne opinie społeczne, mogące wpłynąć na jej dalszy rozwój.
Wyciągamy wnioski z tego zdarzenia oraz analizujemy jego przyczyny, które pozwolą nam na stałe podnoszenie poziomów bezpieczeństwa. Na chwilę obecną zmieniliśmy m.in. sposoby zabezpieczeń haseł użytkowników oraz zabezpieczania dostępu do systemów, a także wymusiliśmy zmianę wszystkich haseł. To kontynuacja procesu, dzięki któremu będziemy mogli minimalizować ryzyka podobnych zdarzeń w przyszłości – wskazało Morele.net w wywiadzie udzielonym dla serwisu Niebezpiecznik.pl.
Stanowisko Urzędu Ochrony Danych Osobowych
Prezes UODO uzasadnił nałożenie kary brakiem działań prewencyjnych związanych z atakami hakerskimi oraz wadliwą ochroną danych osobowych klientów sklepu Morele.net.
Dnia 19 września 2019 r. o godzinie 11:00 rozpoczął się briefing prasowy z udziałem Mirosława Sanka, Zastępcy Prezesa UODO, poświęcony nałożeniu administracyjnej kary pieniężnej za naruszenie przepisów o ochronie danych osobowych.
Stwierdził on, że Morele.net nie wypełniło obowiązku wynikającego z art. 32 ust. 1 i 2 Rozporządzenia 2016/679, polegającego na doborze skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania. Organ wskazał błąd w ocenie Spółki co do możliwości zapewnienia nieprzerwanej ochrony danych osobowych i potencjalności otrzymania dostępu do nich przez osoby nieupoważnione, pomimo zewnętrznych audytorów bezpieczeństwa. Spółka zobowiązana była do dokonania wszelkich możliwych czynności technicznych i organizacyjnych, aby zapobiec takiemu incydentowi i rozpoznać potencjalne zagrożenie.
Organ wysokość kary uzasadnił ilością poszkodowanych oraz znaczącym ryzykiem niekorzystnych skutków, chociażby możliwość kradzieży tożsamości, z uwagi na dostęp do danych z wniosków ratalnych (około 35 tysięcy osób), takich jak PESEL, serię i numer dokumentu tożsamości, adres do korespondencji, wykształcenie, stan cywilny, adres zameldowania, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, wysokość zobowiązań kredytowych czy alimentacyjnych.
Prezes UODO zaznaczył, że kara nałożona na Morele.net jest złagodzona z uwagi na fakt, iż jest to pierwsze naruszenie w kwestii ochrony danych osobowych Spółki oraz podjęto działania mogące zredukować skutki ataku hakerskiego i nie wystąpiły braki w komunikacji w trakcie postępowania.
Biorąc pod uwagę, że kara wyniosła ponad 2 800 000 zł, pozostaje zatem pytanie, jaki byłby jej wymiar, w przypadku ukrywania naruszenia, na przykład poprzez brak jego zgłoszenia do UODO. Pytanie to powinno pozostać przestrogą przed realizacją postępowań ponaruszeniowych jedynie wewnątrz organizacji.
