SzukajSzukaj
dołącz do nas Facebook Google Linkedin Twitter

Grupa Morele ma zapłacić 2,8 mln zł kary za wyciek danych klientów wskutek ataku hakerskiego

Urząd Ochrony Danych Osobowych nałożył na Grupę Morele karę w wysokości 2,83 mln zł za wyciek danych klientów jej sklepów internetowych, do którego doszło pod koniec ub.r. wskutek ataku hakerskiego. To najwyższa grzywna wymierzona przez UODO. Firma zapowiada, że odwoła się od decyzji do sądu.

Article

O karze poinformował w czwartek rano na Twitterze dr Maciej Kawecki, związany z kancelarią prawną reprezentującą w tej sprawie Grupę Morele.

Na konferencji prasowej Mirosław Sanek, zastępca prezesa UODO, poinformował, że wskutek ataku uzyskano dostęp do danych 2,2 mln klientów e-sklepów Grupy Morele. Argumentował, że firma nie zastosowała systemu podwójnego uwierzytelniania dostępu do danych, a w ramach postępowania prowadzonego przez regulatora nie wykazała, skąd pochodzą zgody przy składaniu wniosków o płatność w ratach za zakupy.

- To jedno z największych i najpoważniejszych jak dotąd, naruszeń w Polsce. Klienci, których dane dotyczą w dalszym ciągu mogą być narażeni na dalsze wykorzystywanie ich danych - dodał.

Włamanie do bazy klientów Morele jesienią ub.r.

Pod koniec grudnia ub.r. Grupa Morele informowała, że doszło do włamania do bazy z danymi zarejestrowanych użytkowników jej sklepów internetowych. Zapewniła, że wykryto i zablokowano już ten atak.

Początkowo firma przekazała klientom, że hakerzy mogli przejąć ich nazwiska i hasła (w postaci zaszyfrowanych ciągów znaków), parę dni później okazało się, że wskutek włamania pozyskane mogło zostać więcej danych.

- Dane mogą obejmować dane kontaktowe, dane dot. dowodu tożsamości, nr PESEL oraz dane dotyczące sytuacji finansowej - wyliczono w mailu do klientów. - Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych i loginów do banków. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku) - zaznaczono.

Firma ostrzegła klientów, że ich dane mogą być wykorzystywane do prób wyłudzeń, np. oszukańczych maili wzywających do zapłaty za niezamówione produkty czy usługi. Zachęcała do szybkiej zmiany haseł w jej serwisach. Już w listopadzie i grudniu niektórzy użytkownicy dostawali maile, w których próbowano wyłudzić od nich płatności.

Urząd Ochrony Danych Osobowych w połowie stycznia poinformował, że zaczął postępowanie w tej sprawie. - W związku z naruszeniem ochrony danych osobowych klientów sklepów internetowych należących do Morele.net Spółka z o.o., prowadzone są czynności zmierzające do oceny, czy działalność podmiotu odbywa się zgodnie z przepisami o ochronie danych osobowych - stwierdzono w komunikacie.

Dodano, że działania będą realizowane w ramach uprawnień przewidzianych w RODO oraz ustawie o ochronie danych osobowych.

Rekordowa kara dla Morele, firma się odwoła

Grupa Morele zapowiedziała, że odwoła się od decyzji UODO do sądu. - Nie zgadzamy się z oceną zebranego materiału dowodowego, dlatego chcemy, aby sprawa została ponownie rozpatrzona z udziałem niezależnych biegłych - powiedział „Pulsowi Biznesu” Radosław Stasiak, wiceprezes Morele.net ds. IT.

- Nie ma nakazu natychmiastowej zapłaty kary wskazanej przez urząd, stąd też ta sytuacja nie ma wpływu na bieżące działanie grupy - zaznaczył.

2,83 mln zł to jak dotąd rekordowa kara nałożona na firmę przez Urząd Ochrony Danych Osobowych. Dr Maciej Kawecki we wpisie na LinkedIn skrytykował taką decyzję regulatora, podkreślając, że Grupa Morele nie zawiniła w tej sytuacji, za to sprawnie współpracowała przy badaniu ataku i usuwaniu jego skutków.

- Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie, zdarzają się pomimo najsilniejszych zabezpieczeń - zwrócił uwagę Kawecki. - Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne. O incydencie poinformowana została policja, klienci i #UODO. Spółka współpracowała z organami ścigania w trakcie „negocjacji” z szantażystami. Działania zostały odkryte przez szantażystów, którzy w ramach „zemsty” podjęli szereg innych czynności - wyliczył.

Skrytykował też, że UODO organizuje konferencję prasową dotyczącą kary dla Grupy Morele. - Chciałbym wskazać, że jestem silnie poruszony okolicznościami nałożenia tak wysokiej kary. Sprzeciwiam się nazywaniu każdego incydentu nieuprawnionego dostępu do treści danych „wyciekiem” - zaznaczył.

- Zgadzam się. Karanie firmy w przypadku braku zawinienia lub co najmniej przyczynienia się do naruszenia, jest błędem regulacyjnym - skomentowała Anna Streżyńska, od jesieni 2015 do początku ub.r. minister cyfryzacji, a wcześniej prezes Urzędu Komunikacji Elektronicznej.

Grzywna dla Grupy Morele to druga znacząca kara wymierzona przez Urząd Ochrony Danych Osobowych od wejścia w życie w maju ub.r. unijnej dyrektywy o ochronie danych osobowych (RODO). W marcu br. regulator nakazał zapłacić 943 tys. zł firmie, która zbierała dane osób prowadzących działalność gospodarczą, nie informując ich o tym.

Grupa Morele ma 10 e-sklepów

Grupa Morele działa od 2000 roku, zaczynała jako sklep internetowy z elektroniką Morele.net. Obecne oprócz tego serwisu należy do niej 9 innych e-sklepów z różnych kategorii tematycznych. Są to Presto.pl, Hulahop.pl, Amfora.pl, Pupilo.pl, Budujesz.pl, Meblujesz.pl, Ubieramy.pl, Digitalo.pl i Motoria.pl

Według badania Gemius/PBI w listopadzie 2017 roku serwis Morele.net zanotował 1,96 mln użytkowników i 16,75 mln odsłon.

Newsletter WirtualneMedia.pl w Twojej skrzynce mailowej

Dołącz do dyskusji: Grupa Morele ma zapłacić 2,8 mln zł kary za wyciek danych klientów wskutek ataku hakerskiego

6 komentarze
Publikowane komentarze są prywatnymi opiniami użytkowników portalu. Wirtualnemedia.pl nie ponosi odpowiedzialności za treść opinii. Jeżeli którykolwiek z postów na forum łamie dobre obyczaje, zawiadom nas o tym redakcja@wirtualnemedia.pl
User
Jack
A czy tak samo potraktowano tamtą kancelarię komorniczą, która się podłączyła i ssała z bazy wszystko jak leci? Bo jakoś tak temat ucichł.
21 0
odpowiedź
User
trlcke3
Kiedy mogę liczyć na kasę, jako klient sklepu ?
13 0
odpowiedź
User
xxx
Fajnie, choć to mała kara i powinny być też pieniądze dla prawdziwie poszkodowanych - klientów, których dane wyciekły.
8 3
odpowiedź
User
z
takie postępowanie, pomimo niezakończonego śledztwa, da jasny sygnał -> lepiej zapłacić 0,5 mln "okupu", niż zawiadomić organy ścigania i walczyć. miód na serca przestępców cyfrowych
12 0
odpowiedź
User
były klient
Przestępca sam się ujawnił w internecie, wystarczyło że policjanci weszli na Wykop. Jako klient Moreli uważam, że mogli zrobić więcej i szybciej w tym temacie.
5 0
odpowiedź