\nZastosowane przez sp\u00f3\u0142k\u0119 \u015brodki organizacyjne i techniczne ochrony danych osobowych nie by\u0142y odpowiednie do istniej\u0105cego ryzyka zwi\u0105zanego z ich przetwarzaniem, przez co dane oko\u0142o 2 mln 200 tys. os\u00f3b dosta\u0142y si\u0119 w niepowo\u0142ane r\u0119ce. Zabrak\u0142o odpowiednich procedur reagowania na wypadek pojawiania si\u0119 nietypowego ruchu w sieci \u2013 uzna\u0142 Prezes UODO. Nak\u0142adaj\u0105c kar\u0119, organ nadzorczy stwierdzi\u0142, \u017ce naruszenie, do jakiego dosz\u0142o w tej sprawie, mia\u0142o znaczn\u0105 wag\u0119 i powa\u017cny charakter oraz dotyczy\u0142o du\u017cej skali os\u00f3b.<\/p>\n
W swojej decyzji organ nadzoru wskaza\u0142 r\u00f3wnie\u017c, \u017ce w wyniku naruszenia powsta\u0142o wysokie ryzyko negatywnych skutk\u00f3w dla os\u00f3b, kt\u00f3rych dane dosta\u0142y si\u0119 w niepowo\u0142ane r\u0119ce, jak np. tzw. kradzie\u017c to\u017csamo\u015bci. W decyzji nak\u0142adaj\u0105cej kar\u0119 Prezes UODO uzna\u0142, \u017ce sp\u00f3\u0142ka nie stosuj\u0105c wystarczaj\u0105cych \u015brodk\u00f3w technicznych ochrony danych naruszy\u0142a m.in. okre\u015blon\u0105 w art. 5 ust. 1 lit f RODO zasad\u0119 poufno\u015bci. W zwi\u0105zku z tym dosz\u0142o do nieuprawnionego dost\u0119pu do danych klient\u00f3w i do uzyskania tych danych. Organ uzna\u0142, \u017ce mia\u0142o miejsce zastosowanie nieskutecznego \u015brodka uwierzytelniania dost\u0119pu do danych. Dodatkowe \u015brodki zabezpieczenia technicznego sp\u00f3\u0142ka wdro\u017cy\u0142a ju\u017c po naruszeniu.<\/p>\n
W toku post\u0119powania ustalono, \u017ce do naruszenia dosz\u0142o tak\u017ce z uwagi na nieskutecznie monitorowanie potencjalnych zagro\u017ce\u0144. Post\u0119powanie wykaza\u0142o tak\u017ce inne uchybienia, jednak to brak odpowiednich \u015brodk\u00f3w technicznych (niewystarczaj\u0105ce zabezpieczenia) i organizacyjnych (dotycz\u0105cych monitorowania potencjalnych zagro\u017ce\u0144, zwi\u0105zanych z nietypowymi zachowaniami w sieci) przes\u0105dzi\u0142 o na\u0142o\u017ceniu kary. Przy ustalaniu jej wysoko\u015bci Prezes UODO wzi\u0105\u0142 jednak pod uwag\u0119 okoliczno\u015bci \u0142agodz\u0105ce, jak np.: podj\u0119cie przez sp\u00f3\u0142k\u0119 dzia\u0142a\u0144 zmierzaj\u0105cych do usuni\u0119cia naruszenia, dobr\u0105 wsp\u00f3\u0142prac\u0119 z administratorem oraz to, \u017ce wcze\u015bniej sp\u00f3\u0142ka nie dopu\u015bci\u0142a si\u0119 naruszenia przepis\u00f3w o ochronie danych osobowych.<\/p>\n<\/blockquote>\n
Najwy\u017csza jak dot\u0105d kara dla Morele budzi kontrowersje. Wypowiedzia\u0142 si\u0119 w tej sprawie dr Maciej Kawecki<\/strong>, dziekan Wy\u017cszej Szko\u0142y Bankowej w Warszawie, a w przesz\u0142o\u015bci dyrektor departamentu zarz\u0105dzania danymi w Ministerstwie Cyfryzacji. Kawecki na swoim profilu w serwisie LinkedIn napisa\u0142:<\/p>\nNie tylko jako cz\u0142onek kancelarii Maruta Wachta reprezentuj\u0105cej Morele.net w post\u0119powaniu, ale jako Kawecki chcia\u0142bym wskaza\u0107, \u017ce jestem silnie poruszony okoliczno\u015bciami na\u0142o\u017cenia tak wysokiej kary. Sprzeciwiam si\u0119 nazywaniu ka\u017cdego incydentu nieuprawnionego dost\u0119pu do tre\u015bci danych \u201ewyciekiem\u201d. Morele.net pad\u0142a ofiar\u0105 ataku hakerskiego. Nikt dotychczas nie by\u0142 w stanie ustali\u0107, jak do niego dosz\u0142o. Ani Morele, ani zewn\u0119trzni specjali\u015bci najwy\u017cszej klasy, ani nawet policja. Ataki hackerskie, zdarzaj\u0105 si\u0119 pomimo najsilniejszych zabezpiecze\u0144. Sp\u00f3\u0142ka inwestowa\u0142a rocznie dziesi\u0105tki milion\u00f3w z\u0142otych w systemy IT i bezpiecze\u0144stwo, zlecaj\u0105c audyty bezpiecze\u0144stwa i testy penetracyjne. O incydencie poinformowana zosta\u0142a policja, klienci i #UODO. Sp\u00f3\u0142ka wsp\u00f3\u0142pracowa\u0142a z organami \u015bcigania w trakcie \u201enegocjacji\u201d z szanta\u017cystami. Dzia\u0142ania zosta\u0142y odkryte przez szanta\u017cyst\u00f3w, kt\u00f3rzy w ramach \u201ezemsty\u201d podj\u0119li szereg innych czynno\u015bci. Oceniam te\u017c krytycznie organizowanie przez #UODO pierwszej od miesi\u0119cy konferencji, po\u015bwi\u0119conej… karze na\u0142o\u017conej na przedsi\u0119biorc\u0119.<\/p><\/blockquote>\n
Uzasadnienie decyzji UODO do\u015b\u0107 jasno wskazuje jednak, \u017ce urz\u0105d wzi\u0105\u0142 pod uwag\u0119 pe\u0142n\u0105 wsp\u00f3\u0142prac\u0119 ze strony Morele w przekazaniu wszelkich posiadanych informacji na temat wycieku danych organom \u015bcigania i innym podmiotom, a tak\u017ce fakt poinformowania klient\u00f3w. W kilku elementach zawiod\u0142a jednak chyba czujno\u015b\u0107. Has\u0142a u\u017cytkownik\u00f3w nie zosta\u0142y zresetowane, nawet po otrzymaniu informacji, \u017ce atakuj\u0105cym uda\u0142o si\u0119 cz\u0119\u015b\u0107 z nich ju\u017c z\u0142ama\u0107. Atakuj\u0105cy pozyskali tak\u017ce dane u\u017cytkownik\u00f3w, kt\u00f3rych Morele nie powinno ju\u017c w og\u00f3le mie\u0107, czyli takich, kt\u00f3rzy skasowali swoje konta w sklepie, a mimo wszystko nie zosta\u0142y ostatecznie usuni\u0119te. Wreszcie w\u0105tpliwo\u015bci mo\u017ce budzi\u0107 tak\u017ce czas reakcji na incydent. Dopiero miesi\u0105c po pierwszych doniesieniach, \u017ce baza danych klient\u00f3w Morele mog\u0142a zosta\u0107 wykradziona (pisa\u0142 o tym Niebezpiecznik<\/em>) przedstawiciele sklepu zacz\u0119li informowa\u0107 swoich klient\u00f3w o tym fakcie. Pocz\u0105tkowo twierdz\u0105c jednak, \u017ce ataki phishingowe<\/strong> na ich klient\u00f3w s\u0105 dzie\u0142em przypadku, a baza danych nie pochodzi z serwer\u00f3w sklepu. Sp\u00f3\u0142ka Morele zapowiedzia\u0142a ju\u017c odwo\u0142anie w tej sprawie.<\/p>\n","protected":false},"excerpt":{"rendered":"Informacj\u0105 dnia jest du\u017ca, \u017ceby nie powiedzie\u0107 gigantyczna, kara dla Morele.net za wyciek danych z ko\u0144ca 2018 roku. Za co w og\u00f3le taka kara i…<\/p>\n","protected":false},"author":1,"featured_media":1168,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,14],"tags":[54,1130,1120,722,1318,787],"class_list":["post-1170","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-internet","category-news","tag-cyberbezpieczenstwo","tag-kara","tag-morele","tag-nie-daj-sie-okrasc","tag-uodo","tag-wyciek"],"_links":{"self":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts\/1170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/comments?post=1170"}],"version-history":[{"count":0,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/posts\/1170\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/media\/1168"}],"wp:attachment":[{"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/media?parent=1170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/categories?post=1170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/geekweb.pl\/index.php\/wp-json\/wp\/v2\/tags?post=1170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"To](\"http:\/\/newgeekweb.fightcar.webd.pl\/wp-content\/uploads\/2019\/09\/94f6f996ec3a866ce6d587d28bd5b809.jpg\" "\\"Za")
\n![\"\"](\"http:\/\/newgeekweb.fightcar.webd.pl\/wp-content\/uploads\/2019\/09\/Screenshot_2019-09-19_Have_I_Been_Pwned_Pwned_websites.png\")
<\/figure>\n![\"\"](\"http:\/\/newgeekweb.fightcar.webd.pl\/wp-content\/uploads\/2019\/04\/morele-osw.jpg\")
<\/figure>\n