Prawie 3 mln zł kary dla sklepu Morele.net za wyciek danych klientów. UODO był bezlitosny

Urząd Ochorny Danych Osobowych nałożył na sklep Morele.net karę w wysokośći 2 830 410 zł. To skutek wycieku danych klientów sklepu, do którego doszlo pod koniec ubiegłego roku. To największa kara nałożona dotychczas przez UODO.

O rekordowej karze nałożonej na Morele.net za "niewystarczające zabezpieczenia danych osobowych" poinformował w czwartek wiceprezes UODO Mirosław Sanek. W uzasadnieniu stwierdził on, że naruszenie miało "znaczącą wagę i poważny charakter" oraz, że "dotyczyło dużej liczby osób".

W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości

- czytamy w uzasadnieniu decyzji.

Mimo - jak stwierdził Sanek - zatosowania okoliczności łagodzących, wynikających z faktu, że sklep podjął działania zmierzające do usunięcia naruszenia, na spólkę nałożono karę w wysokości 2 830 410 zł. To dotychczas najwyższa kara, jaką Prezes UODO nałożył na jakikolwiek podmiot.

Do decyzji UODO odniósł się dr Maciej Kawecki, prawnik z kancelarii Maruta Wachta, która reprezentuje Morele.net w postępowaniu przed Urzędem Ochrony Danych Osbowych.

Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hakerskie, zdarzają się pomimo najsilniejszych zabezpieczeń. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne

- tłumaczył Kawecki. Zwrócił też uwagę na fakt, że spółka współpracowała z organami ścigania w trakcie "negocjacji" z szantażystami. Jednocześnie krytycznie ocenił organizowanie przez UODO "pierwszej od miesięcy konferencji, poświęconej karze nałożonej na przedsiębiorcę".

2,8 mln złotych kary dla Morele.net. Rekordowa kara nałożona przez UODO

Sklep Morele.net pod koniec ubiegłego roku padł ofiarą ataku, w którym wykradziona została baza danych klientów. Przestępcy uzyskali dostęp do podstawowych danych kontaktowych oraz adresów e-mail oraz tzw. hashy haseł (są to hasła w postaci zaszyfrowanego ciągu znaków).

Te ostatnie hakerzy próbowali rozszyfrować i powiązać z konkretnymi osobami. Już po dwóch tygodniach mieli bazę 350 tys. haseł. Co więcej, udało im się odzyskać dane nie tylko aktualnych klientów morele.net, ale i części osób, które jeszcze przed wyciekiem skasowały konta w serwisie. W przypadku użytkowników kupujących na raty wyciec mogły też dane dotyczące dowodów tożsamości oraz numery PESEL.

Później przestępcy próbowali szantażować sklep morele.net, grożąc publikacją danych. Gdy "negocjacje" zakończyły się fiaskiem, baza danych klientów została opublikowana w sieci. Przez kilkanaście minut plik był dostepny w serwisie do dzielenia się dużymi plikami GoFile. Potem zostału usunięty.