Informacją dnia jest duża, żeby nie powiedzieć gigantyczna, kara dla Morele.net za wyciek danych z końca 2018 roku. Za co w ogóle taka kara i dlaczego taka wysoka?
Polski Internet obiegła dziś wiadomość, że Urząd Ochrony Danych Osobowych zakończył analizowanie wycieku danych, jaki nastąpił pod koniec 2018 roku ze sklepu Morele.net i nałożył na właściciela tego sklepu olbrzymią, jak na warunki naszego kraju, grzywnę w wysokości nieco ponad 2,8 miliona złotych. Rozgorzała dyskusja czy kara jest adekwatna, co się w ogóle i jak stało oraz co to oznacza dla wszystkich podmiotów przetwarzających dane klientów w przyszłości.
Tego, jak dokładnie wyciekły dane z Morele nie wiemy. Wiemy jedynie, że nastąpił atak w wyniku którego atakujący pozyskał/ li dane ok. 2,5 miliona klientów tego sklepu (decyzja UODO mówi jednak o 2,2 miliona danych). Tuż po tym dane te wykorzystywane miały być do ataków phishingowych przy pomocy SMS, ze znanym już schematem oszustwa na dopłatę. Dane jakie znalazły w rękach przestępców to imię i nazwisko klienta, adres email, numer telefonu oraz hasło w postaci hasha md5crypt. W niektórych przypadkach dostęp rozszerzony był o numer pesel i dane dotyczące dowodu osobistego (w przypadku klientów, którzy skorzystali lub chcieli skorzystać z zakupu w systemie ratalnym). Po skompromitowaniu systemu atakujący mieli kontaktować się z Morele i żądać okupu w kwocie około pół miliona złotych, ale negocjacje skończyły się fiaskiem, baza danych wylądowała w sieci, a przedstawiciele sklepu o całej sprawie poinformowali odpowiednie urzędy i instytucje oraz swoich klientów.
UODO przeanalizował sprawę i wydał decyzję o ukaraniu operatora Morele.net, spółkę Morele.net Sp. z o. o. z siedzibą w Krakowie przy ul. Fabrycznej 20A, grzywną w wysokości 2 milionów 830 tysięcy i 410 złotych za niewystarczające zabezpieczenia organizacyjne i techniczne.
Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał Prezes UODO. Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób.
W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości. W decyzji nakładającej karę Prezes UODO uznał, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Organ uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu.
W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary. Przy ustalaniu jej wysokości Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.
Najwyższa jak dotąd kara dla Morele budzi kontrowersje. Wypowiedział się w tej sprawie dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej w Warszawie, a w przeszłości dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji. Kawecki na swoim profilu w serwisie LinkedIn napisał:
Nie tylko jako członek kancelarii Maruta Wachta reprezentującej Morele.net w postępowaniu, ale jako Kawecki chciałbym wskazać, że jestem silnie poruszony okolicznościami nałożenia tak wysokiej kary. Sprzeciwiam się nazywaniu każdego incydentu nieuprawnionego dostępu do treści danych „wyciekiem”. Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie, zdarzają się pomimo najsilniejszych zabezpieczeń. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne. O incydencie poinformowana została policja, klienci i #UODO. Spółka współpracowała z organami ścigania w trakcie „negocjacji” z szantażystami. Działania zostały odkryte przez szantażystów, którzy w ramach „zemsty” podjęli szereg innych czynności. Oceniam też krytycznie organizowanie przez #UODO pierwszej od miesięcy konferencji, poświęconej… karze nałożonej na przedsiębiorcę.
Uzasadnienie decyzji UODO dość jasno wskazuje jednak, że urząd wziął pod uwagę pełną współpracę ze strony Morele w przekazaniu wszelkich posiadanych informacji na temat wycieku danych organom ścigania i innym podmiotom, a także fakt poinformowania klientów. W kilku elementach zawiodła jednak chyba czujność. Hasła użytkowników nie zostały zresetowane, nawet po otrzymaniu informacji, że atakującym udało się część z nich już złamać. Atakujący pozyskali także dane użytkowników, których Morele nie powinno już w ogóle mieć, czyli takich, którzy skasowali swoje konta w sklepie, a mimo wszystko nie zostały ostatecznie usunięte. Wreszcie wątpliwości może budzić także czas reakcji na incydent. Dopiero miesiąc po pierwszych doniesieniach, że baza danych klientów Morele mogła zostać wykradziona (pisał o tym Niebezpiecznik) przedstawiciele sklepu zaczęli informować swoich klientów o tym fakcie. Początkowo twierdząc jednak, że ataki phishingowe na ich klientów są dziełem przypadku, a baza danych nie pochodzi z serwerów sklepu. Spółka Morele zapowiedziała już odwołanie w tej sprawie.
Zobacz więcej