Jesteś już użytkownikiem programów LEX?

Co wydarzyło się w Morele.net?

30 września 2019

Jesienią 2018 r. media obiegła informacja o incydencie związanym z nieuprawnionym dostępem do danych klientów sklepu internetowego Morele.net. Otrzymywali oni smsy z komunikatem o konieczności dokonania dopłaty z odesłaniem do fałszywych witryn z płatnościami. Hackerzy uzyskali dostęp do danych ponad 2 milionów osób. 10 września 2019 r. Prezes UODO nałożył na sklep karę finansową w wysokości ponad 2,8 mln zł za naruszenie przepisów RODO. Co właściwie wydarzyło się w Morele.net?

Co wydarzyło się w Morele.net?

Wyciek danych czy atak hackerski?

W kontekście Morele.net mówiło się na początku o wycieku danych, jednak takowy nie miał wtedy miejsca. Dostęp do danych klientów uzyskali hackerzy. Wykorzystali dane do generowania wiadomości sms z linkami, po kliknięciu których użytkownik był kierowany do fałszywej strony płatności, która miała służyć przejęciu danych dostępowych do konta bankowego klienta, a następnie kradzieży pieniędzy z rachunku. Firma dokonała zgłoszenia o naruszeniu jeszcze w listopadzie 2018 r. na skutek zgłaszanych przez klientów informacji o próbie wyłudzenia.

Reakcja z opóźnieniem

Dopiero po ponad miesiącu Morele.net wydało oświadczenie dotyczące tego zdarzenia. Spółka wskazała jaki zakres danych wpadł w ręce nieuprawnionych osób, zapewniła także, że dostęp został wykryty i zablokowany. Firma rozpoczęła także zawiadamianie osób, których dane dotyczą o naruszeniu, co można uznać za realizowanie obowiązku wynikającego z art. 34 RODO. Pierwsze oficjalne stanowisko potwierdzające kradzież danych zbiegło się z upublicznieniem wykradzionej bazy danych w Internecie.

Przetwarzanie danych bez podstawy

Część klientów Morele.net korzystało z możliwości ratalnych spłat zakupów. Wiązało się to jednak z udostępnieniem spółce większej ilości danych (w tym m.in. nr PESEL) a także zapamiętaniem wprowadzonych danych, w celu umożliwienia szybszego wypełniania wniosku w przyszłości. W przypadku zakupów ratalnych sklep był jedynie pośrednikiem przekazującym dane osobowe do współpracującego banku. Prezes UODO po analizie stwierdził, że pozyskiwanie tych danych wymagało uprzedniej świadomej i dobrowolnej zgody klienta. Spółka nie dostarczyła jednak organowi nadzorczemu wystarczającego dowodu, że skutecznie pozyskała zgody, więc wg UODO przetwarzanie tych danych odbywało się z naruszeniem zasad legalności przetwarzania danych.

Niewystarczające zabezpieczenia

W toku kontroli Prezes UODO stwierdził także, że środki organizacyjne i techniczne stosowane w firmie nie były adekwatne do ryzyk i zagrożeń dla ochrony danych. I choć w decyzji brakuje szczegółowych danych w tym zakresie, w doniesieniach medialnych mówiono, że stosowana przez Morele.net metoda „hashowania” haseł użytkowników, była jedną ze słabszych i oszuści mniej więcej miesiąc po kradzieży danych informowali, że udało im się to zabezpieczenie złamać.

Co dokładnie wydarzyło się w Morele.net i jaką argumentację przyjął Prezes UODO przy wymierzaniu kary finansowej? Jakie wnioski z tej decyzji wypływają dla administratorów danych? Dowiesz się tego z najnowszego komentarza praktycznego w LEX Ochrona Danych Osobowych.

Autorką tekstu jest Sylwia Czub-Kiełczewska - ekspert do spraw ochrony danych osobowych, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych. Jest to nie tylko jej praca, ale także pasja: prowadzi popularnego bloga Sylwia Czub bloguje o danych osobowych (sylwiaczub.pl). Przez ponad 6 lat była związana zawodowo z Instytutem Książki, w którym koordynowała procesy bezpieczeństwa danych. Przeprowadziła kilkaset szkoleń ze stosowania przepisów o ochronie danych osobowych. Od 2014 roku prowadzi stałą kolumnę o ochronie danych osobowych w branżowym czasopiśmie "Bibliotekarz". Obecnie wspiera swoją wiedzą i doświadczeniem procesy ochrony informacji w spółkach kapitałowych, agencjach reklamowych, jednostkach samorządowych. Świadczy także usługi zewnętrznego Inspektora Ochrony Danych.

Zainteresował Cię ten tekst, a nie masz dostępu do LEX Ochrona Danych Osobowych? Sprawdź naszą ofertę »

Zobacz także

Decyzje PUODO – co można w nich znaleźć?

Polecam,
Alicja Plichta
redaktor naczelna działu Biznes
product manager Ochrona Danych Osobowych

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.