Wojewódzki Sąd Administracyjny w Warszawie potwierdził dziś zasadność kary UODO dla spółki Morele.

W grudniu 2018 roku serwisy technologiczne i fora internetowe obiegła informacja dotycząca potężnego wycieku danych klientów sklepu Morele.net. Firma w końcu przyznała, że wszystkie te doniesienia są prawdziwe, opublikowała stosowne oświadczenie i uszczegółowiła, że wyciek dotyczy adresów email, numerów telefonów, imion i nazwisk oraz hashy haseł (zaszyfrowanej formy haseł) swoich klientów. Łącznie wyciek dotyczył prawie 2.5 miliona kont. Urząd Ochrony Danych Osobowych wszczął postępowanie, które zakończyło się niemal dokładnie rok temu dużą, jak na polskie warunki, karą finansową w wysokości 2,8 miliona złotych. To najwyższa tego typu kara nałożona przez UODO.

Dane, które wówczas wyciekły niemal od razu posłużyły przestępcom do kampanii phishingowych. Atakujący rozsyłali smsy informujące o brakującej wpłacie 1 zł, wskutek czego rzekome zamówienie nie może zostać zrealizowane, prosząc jednocześnie o uzupełnienie tej niewielkiej kwoty. Link w smsie prowadził oczywiście do fałszywej strony płatności, dzięki której oszuści uzyskiwali dostęp do kont bankowych i smsów autoryzujących transakcje swoich ofiar.

Przestępcy w posiadaniu których znalazła się baza pierwotnie oferowali operatorowi sklepu Morele jej wykup. Cena wynosiła rzekomo ok. 200 tysięcy złotych. Włodarze Grupy Morele na to się jednak nie zdecydowali.

Morele nie zgadzało się z taką pokutą w związku z czym sprawa trafiła do Wojewódzkiego Sądu Administracyjnego w Warszawie. Urząd Ochrony Danych Osobowych poinformował dziś, że WSA podtrzymał stanowisko prezesa UODO i potwierdził zasadność 2,8 milionowej kary dla firmy.