10 września Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę finansową za nieprzestrzeganie przepisów o ochronie danych osobowych. Ukarana została spółka morele.net, która ma zapłacić ponad 2 8000 000 PLN za niewystarczające zabezpieczenia organizacyjne i techniczne.

Wyciek danych osobowych z morele.net

Niebezpiecznik.pl krok po kroku opisuje wydarzenia związane z wyciekiem danych z morele.net:

– 21 listopada 2018 roku – niebezpiecznik.pl jako pierwszy opublikował ostrzeżenie skierowane do klientów sklepu morele.net, które dotyczyło otrzymywania fałszywych wiadomości. Użytkownicy sklepu internetowego otrzymywali SMS’y od podszywającego się pod morele.net z informacją o konieczności dopłaty 1 PLN do złożonego zamówienia. Doprowadziło to do przekierowywania użytkowników na fałszywą stronę, która zaciągała login i hasło do konta bankowego użytkownika oraz kod autoryzacji, który bank wysyła SMS’em. W konsekwencji użytkownicy stawali się ofiarami ataku i tracili środki znajdujące się na ich rachunku bankowym.

– 18 grudnia 2018 roku (prawie miesiąc później) – spółka morele.net oficjalnie rozpoczęła informowanie swoich klientów o wycieku ich danych.

– Dwa dni później na portalu Wykop.pl pojawił się użytkownik, który twierdził, że stoi za wyciekiem danych w morele.net. Poinformował, że posiada ok 2,2 mln danych klientów (w tym również numery PESEL i skany dowodów tożsamości). Hacker powiadomił również, że tydzień po opublikowaniu pierwszego artykułu Niebezpiecznika, negocjował z morele.net okup, żądając od spółki 500 000 PLN.

– Koniec grudnia 2018 – włamywacz oświadcza, że udało mu się złamać ponad 350 000 haseł do kont. Okazuje się, że spółka morele.net po włamani nie zresetowała haseł użytkowników, a jedynie zaleciła to w komunikacie skierowanym do swoich klientów. Ponadto okazało się, że hacker wszedł w posiadanie danych osób (1849 klientów), którzy wcześniej usunęli swoje konta (zgodnie z przepisami dane te powinny zostać trwale usunięte).

– Początek lutego 2019 – włamywacz korzysta ze swojej bazy danych, np. poprzez wysyłanie wiadomości do swoich idoli. Ofiarami stają się przypadkowe osoby, które otrzymują wiadomości np. z pogróżkami, mylone ze znanymi postaciami w związku ze zbieżnością nazwisk.

Prawie 3 000 000 PLN za złą ochronę danych osobowych

Nowe przepisy o ochronie danych osobowych obowiązują od maja 2018 roku. Większość przedsiębiorców śpi spokojnie, ponieważ uważa, że dane, które przetwarza w swojej firmie są bezpieczne. Tak było również w przypadku spółki morele.net. Decyzja Prezesa Urzędu Ochrony Danych Osobowych budzi ogromne kontrowersje. Czy firma, która dochowała (lub tak jej się wydawało) należytej staranności powinna ponieść karę i to jeszcze tak wysoką? Na pierwszy rzut oka wydaje się, że to morele.net jest ofiarą: nie dosyć, że ktoś włamał się do baz danych spółki, to jeszcze Urząd nakłada karę finansową. Nowe przepisy ogólnego rozporządzenia unijnego RODO mówią wyraźnie, że to administrator danych (w tym przypadku spółka morele.net) odpowiada za dane osobowe, które przetwarza w swojej firmie. Wysokość kary finansowe przeraża, ale równie przerażająca jest ilość rekordów, które wyciekły z firmy (ponad 2,2 mln). Sami użytkownicy czują się poszkodowani, o czym świadczą liczne komentarze w Internecie. Na portalach internetowych możemy przeczytać komentarze poszkodowanych osób, które zgadzają się z decyzją UODO i sami oczekują jakiejś rekompensaty za poniesione straty. Użytkownicy krytykują również sposób, w jaki zostali poinformowani o wycieku ich danych (głównie za sprawą artykułu Nibezpiecznika). Przypomnijmy, że kara finansowa nałożona przez Prezesa UODO zasila budżet państwa. Osoby, które czują się poszkodowane mają prawo pozwać spółkę morele.net, co może doprowadzić do jeszcze większych strat finansowych ukaranej firmy.

Stanowisko Urzędu Ochrony Danych Osobowych w sprawie nałożonej kary

W materiale prasowym zamieszczonym na stronie UODO czytamy:

Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawienia się nietypowego ruchu w sieci – uznał Prezes UODO.

Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.

W większości były to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

W decyzji nakładającej karę Prezes UODO uznał, że spółka nie stosując wystarczających środków  technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Organ uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu.

W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących  monitorowania potencjalnych zagrożeń, związanych 

z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary. Przy ustalaniu jej wysokości Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.

Ze szczegółami sprawy można zapoznać się w treści decyzji, która dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019.

Oświadczenie morele.net w sprawie decyzji Urzędu Ochrony Danych Osobowych

Drodzy Klienci,

kiedy w 2018 roku padliśmy ofiarą cyberprzestępcy, który w nieuprawniony sposób uzyskał dostęp do bazy danych Klientów sklepu morele.net, niezwłocznie zaangażowaliśmy strategiczne zasoby firmy we współpracę z odpowiednimi służbami. Incydent został zgłoszony na Policję oraz zgodnie z wytycznymi ustawodawcy przekazany do Urzędu Ochrony Danych Osobowych. 

Jak zostało przedstawione w decyzji, w toku zaistniałych wydarzeń spółka morele.net reagowała bez zbędnej zwłoki, zarówno pod kątem informacyjnym, prawnym oraz w zakresie wprowadzanych środków technicznych. Od samego początku podjęta została współpraca z Policją oraz Urzędem Ochrony Danych Osobowych. W momencie potwierdzenia ryzyka, że nieuprawniony dostęp mógł dotyczyć nie tylko osób, do których został wysłany SMS ale także całej bazy – poinformowano o tym fakcie wszystkich Klientów. Obok informacji zamieszczonej na stronie internetowej morele.net, przygotowany został dedykowany mailing do całej bazy Klientów, a także uruchomiono dodatkowe kanały i zwiększono zasoby do Obsługi Klientów w wymiarze 24/7. W ramach wdrożonej komunikacji przygotowany został także szereg rekomendacji i sugerowanych działań dla Klientów, których implementacja pozwalałaby na zminimalizowanie ewentualnych, negatywnych skutków nieuprawnionego dostępu.

 Podjęliśmy szereg działań systemowych i procesowych pozwalających na  wzmocnienie i poprawę zabezpieczeń naszej infrastruktury. Bezpieczeństwo stało się nr 1 w każdym aspekcie funkcjonowania firmy – od rozwiązań technologicznych, poprzez obsługę Klienta aż po marketing. Dział Bezpieczeństwa w IT został wzmocniony osobowo i kompetencyjnie oraz otrzymał rozszerzone prerogatywy. Część zmian, które możemy wymienić, to: dwustopniowa weryfikacja przy zmianie adresu e-mail i numeru telefonu przypisanych do konta użytkownika, zmiana sposobu hashowania oraz hashowanie większego zbioru danych, rozbudowa monitoringu systemów wewnętrznych czy dodatkowa weryfikacja antybotowa a także umożliwienie zakupów bez rejestracji. We współpracy z zewnętrznymi specjalistami ds. bezpieczeństwa od dziewięciu miesięcy realizujemy szereg audytów, testów penetracyjnych oraz projektów zwiększających poziom zabezpieczeń. W listopadzie uruchomimy również program Bug Bounty, będący kolejnym elementem architektury bezpieczeństwa. O naszych działaniach, planach i postępach w pracach na bieżąco informujemy Klientów https://www.morele.net/wiadomosc/zakupy-bez-rejestracji-juz-mozliwe/15629/

W naszej opinii ocena Urzędu o jedynie częściowym zapewnieniu odpowiednich środków zabezpieczenia technicznego przetwarzania danych oraz naruszeniu zasad przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych powinna zostać zweryfikowana przez niezależnych biegłych. Środki stosowane przez spółkę, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały. Wskazanie na niedopełnienie obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych wskazuje na jedno konkretne rozwiązanie, pomijając inne środki bezpieczeństwa oraz procesy obowiązujące w spółce. Poziom bezpieczeństwa systemów informatycznych powinien być analizowany jako całość. Z tego też powodu będziemy korzystać z dostępnych nam dróg odwoławczych. Egzekucja kary jest wstrzymana do momentu rozstrzygnięcia przez Sąd Administracyjny a spółka była przygotowana na ewentualność otrzymania kary i ma zapewnione rezerwy na ten cel. Kara w żadnym stopniu nie wpłynie na działalność operacyjną naszej firmy.

Wierzymy, że ostatnie wydarzenia oraz ich medialność pozwolą na zwiększenie świadomości bezpieczeństwa w sieci, a wprowadzone przez nas działania i rozwiązania pozwolą innym minimalizować tego typu ataki oraz ich negatywne konsekwencje. Naszą intencją jest nadanie odpowiedniej wagi problemowi i wsparcie inicjatyw mających na celu poprawę bezpieczeństwa w internecie. 

Bezpieczeństwo danych osobowych w Twojej firmie

Wysokość kary budzi kontrowersje, ale też skłania do refleksji. Czy dane osobowe w firmie są odpowiednio zabezpieczone? Czy system ochrony danych działa na tyle dobrze, żeby zabezpieczyć się przed wyciekami, a jeśli już do nich dojdzie – skutecznie i szybko zadziałać? Przykład spółki morele.net pokazuje, że czasami inwestowanie milionów złotych w usługi związane z bezpieczeństwem IT oraz testy penetracyjne mogą być niewystarczające. Trzeba również pamiętać o skutecznych zabezpieczeniach organizacyjnych, np. procedurze, która pozwoli sprawnie reagować na zagrożenia. Poszkodowani klienci spółki morele.net na różnych forach internetowych zarzucają firmie, że o wycieku ich danych dowiedzieli się od osób trzecich (np. niebezpiecznik.pl, wykop) lub na tyle późno, że stali się ofiarami ataku hakerskiego. Każdy administrator powinien rozważyć, czy jego firma jest odpowiednio zabezpieczona, czy pracownicy zostali odpowiednio przeszkoleni. Warto zastanowić się, czy czasami przesadne oszczędzanie na ochronie danych osobowych nie doprowadzi do większych strat finansowych i wizerunkowych.

Zastanawiasz się, czy dane osobowe w Twojej firmie są bezpieczne? Skontaktuj się z nami! Pomożemy!