Prezes Urzędu Ochrony Danych Osobowych nałożył na Morele.net ponad 2,8 mln zł kary za naruszenie zasad ochrony danych osobowych. To efekt wycieku danych z serwisu. Jak podaje UODO, dane ok. 2,2 mln osób dostały się w niepowołane ręce.

Informacje o przejęciu danych klientów serwisu pojawiały się od końca ub.r. Według nieoficjalnych doniesień haker lub hakerzy zażądali od Morele.net pół miliona złotych za wyciszenie sprawy. Gdy nie dostali pieniędzy, nagłośnili atak i wywiesili w sieci skradzione dane. Morele w końcu ub.r. ostrzegło użytkowników przed próbami wyłudzeń w związku z wyciekiem i poinformowało o zmianach w zabezpieczeniach. Nie ujawniało jednak skali ataku.

UODO: nie chronili danych jak trzeba

Szef UODO uznał, że środki ochrony danych osobowych zastosowane przez spółkę nie były adekwatne do ryzyka związanego z ich przetwarzaniem. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – twierdzi prezes. Wyjaśnia, że o wymierzeniu kary zdecydował brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (monitorowanie potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) w celu ochrony danych.

Ponadto urząd uzasadnia, że naruszenie miało znaczną wagę i poważny charakter, a do tego dotyczyło dużej liczby osób, które zostały wystawione na poważne ryzyko, takie jak np. kradzież tożsamości.

Dane osobowe i finansowe klientów w rękach hakerów

W większości przypadków według UODO wyciekły takie informacje jak imię i nazwisko, numer telefonu, e-mail, adres doręczeń. W przypadku ok. 35 tys. osób łupem hakerów padły dane z ich wniosków ratalnych, na których widniał także PESEL, seria i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

W decyzji nakładającej karę prezes UODO uznał, że spółka nie stosując wystarczających środków  technicznych ochrony danych naruszyła m.in. zasadę poufności (art. 5 ust. 1 lit f RODO). W szczególności w ocenie urzędu uwierzytelnianie dostępu do danych nie było odpowiednio silne. Dodatkowe zabezpieczenia spółka wdrożyła już po wykryciu wycieku.

W ocenie UODO do wycieku doszło także z powodu nieskutecznego monitorowania potencjalnych zagrożeń. Urząd twierdzi, że postępowanie wykazało także inne uchybienia Morele.net. Wzięto jednak pod uwagę okoliczności łagodzące, które miały wpływy na wysokość kary, jak np. podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.

W 2017 r. Morele.net wypracowało 718,6 mln zł skonsolidowanych przychodów oraz 283 tys. zł zysku netto. W całej grupie (oprócz Morele.net obejmuje jeszcze 8 innych e-sklepów) według danych detalisty jest blisko 2 mln odwiedzających miesięcznie, realizowanych jest ponad 5 tys. zamówień dziennie.

 

Morele.net: odwołamy się

Spółka kwestionuje nałożoną karę. Zapowiada odwołanie do sądu administracyjnego. Wcześniej utworzyła rezerwy na poczet ewentualnej kary i zapewnia, że cała sprawa nie wpłynie na jej działalność.

Zdaniem Morele.net UODO wybiórczo ocenił poziom ochrony serwisu – wytykając niedociągnięcia wskazał na jedno rozwiązanie, pomijając inne zastosowane w spółce środki bezpieczeństwa.

"W naszej opinii ocena urzędu o jedynie częściowym zapewnieniu odpowiednich środków zabezpieczenia technicznego przetwarzania danych oraz naruszeniu zasad przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych powinna zostać zweryfikowana przez niezależnych biegłych." – oświadczyło Morele.net.

Utrzymuje, że środki ochrony stosowane przez spółkę nie odbiegały od standardów, a w wielu obszarach je przewyższały. "Poziom bezpieczeństwa systemów informatycznych powinien być analizowany jako całość." – argumentuje spółka.
 
Detalista zapewnia również, że zareagował na naruszenia bez zbędnej zwłoki – zgłosił wyciek do odpowiednich służb oraz do UODO zgodnie z obowiązującą procedurą, poprawił techniczne zabezpieczenia, poinformował całą bazę klientów o ryzyku, wydał rekomendacje dla klientów, jak ograniczyć skutki ataku.

"Bezpieczeństwo stało się nr 1"

Spółka zapewnia, że po wykryciu naruszeń wzmocniła ochronę infrastruktury. "Bezpieczeństwo stało się nr 1 w każdym aspekcie funkcjonowania firmy – od rozwiązań technologicznych, poprzez obsługę klienta aż po marketing." – informuje Morele.net.

Wymienia podjęte działania: wzmocniono kadry działu bezpieczeństwa w IT, poszerzono jego uprawnienia. Wprowadzono m.in. takie zabezpieczenia jak dwustopniowa weryfikacja przy zmianie adresu e-mail i numeru telefonu przypisanych do konta użytkownika, zmiana sposobu hashowania oraz hashowanie większego zbioru danych, rozbudowa monitoringu systemów wewnętrznych, dodatkowa weryfikacja antybotowa, umożliwienie zakupów bez rejestracji.

Morele.net podaje również, że od 9 miesięcy przeprowadza audyty bezpieczeństwa z udziałem zewnętrznych specjalistów.