Drodzy Klienci, kiedy w 2018 roku padliśmy ofiarą cyberprzestępcy, który w nieuprawniony sposób uzyskał dostęp do bazy danych Klientów sklepu morele.net, niezwłocznie zaangażowaliśmy strategiczne zasoby firmy we współpracę z odpowiednimi służbami. Incydent został zgłoszony na Policję oraz zgodnie z wytycznymi ustawodawcy przekazany do Urzędu Ochrony Danych Osobowych. – informuje spółka w specjalnym oświadczeniu, którego pełną treść znajdziecie na tej stronie.
Przedstawiciele sklepu informują, że podjęto szereg działań systemowych i procesowych pozwalających na wzmocnienie i poprawę zabezpieczeń infrastruktury. Część zmian, które wprowadzono, to: dwustopniowa weryfikacja przy zmianie adresu e-mail i numeru telefonu przypisanych do konta użytkownika, zmiana sposobu hashowania oraz hashowanie większego zbioru danych, rozbudowa monitoringu systemów wewnętrznych czy dodatkowa weryfikacja antybotowa, a także umożliwienie zakupów bez rejestracji.
Kradzież danych i szantaż
Przypomnijmy, oszuści weszli w posiadanie danych klientów Morele w listopadzie ubiegłego roku. Wykorzystali je do wysłania fałszywych SMS’ów i wyłudzeń pieniędzy.
Sprawa nabrała rozgłosu gdy osoba posiadająca wykradzioną bazę danych, zawierającą dane nawet 2,2 mln klientów, postanowiła zażądać okupu. W sieci pojawiły się nawet screeny rozmów szantażysty z przedstawicielami sklepu. To nie koniec – w kwietniu 2019 roku baza danych klientów Morele.net w postaci 2,5 miliona rekordów została wrzucona do sieci.
Ponad 2,8 mln zł kary
Prezes UODO uznał, że zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.
Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.
W większości były to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.
Pełną treść decyzji UODO znajdziecie na tej stronie.
Grupa Morele.net zapowiedziała już, że będzie korzystać z dostępnych dróg odwoławczych.
Źródło: UODO, Morele