Znajdź nas:

Zadzwoń teraz! + 48 799 220 330

Morele – kara niemal 3 mln zł (2,8 mln)

Dziś w sieci zaczęły pojawiać się informacje nt. gigantycznej kary dla Morele.net za wyciek danych z dnia 28.11.2018 roku. Do wycieku rzecz jasna doszło wcześniej, już przed tym dniem krążyły w sieci informacje nt. fałszywych wiadomości SMS do klientów Morele, jednakże wskazana powyżej data jest powiązana z wiadomością niejakiego Arm’a, zaadresowaną do administratorów IT Morele.net, która pojawiła się w serwisie Wykop kilka tygodni później (20.12.2018 roku).

 

Wysokość kary – bagatela 2 830 410 zł (ok. 660 tys. EURO).

 

kara morele

Czy wysokość kary jest słuszna oraz czy wyciek był faktycznie wyciekiem? W obronie spółki stanął m.in. dr Maciej Kawecki, były pracownik Ministerstwa Cyfryzacji, Koordynator reformy ochrony danych osobowych w Polsce, pracujący obecnie w Kancelarii Prawnej Maruta Wachta, reprezentującej Morele.net w postępowaniu. Dr Kawecki w poruszającym poście z dnia dzisiejszego wskazuje, iż incydent bezpieczeństwa, który dotknął omawiany sklep internetowy nie jest właściwie wyciekiem danych. Czy na pewno?

 

Czym jest wyciek danych?

Pomimo że polskie prawo nie definiuje bezpośrednio tego terminu, to w sieci jesteśmy w stanie odszukać pewne definicje z nim związane, zbieżne też z wewnętrznym odczuciem nie tylko specjalistów w branży IT, czym wyciek danych jest w rzeczywistości.

“Wyciek danych to nieautoryzowana transmisja danych z organizacji do zewnętrznego miejsca docelowego lub odbiorcy. Termin ten może być użyty do opisania danych przesyłanych elektronicznie lub fizycznie. Zagrożenia wyciekiem danych występują zwykle za pośrednictwem Internetu i poczty e-mail, ale mogą również wystąpić za pośrednictwem mobilnych urządzeń do przechowywania danych, takich jak nośniki optyczne, klucze USB i laptopy.”

Źródło: https://www.forcepoint.com/cyber-edu/data-leakage

 

Co wydarzyło się w Morele przed świętami w 2018 roku?

Haker o ksywce “Arm” ujawnił, że przez błędy konfiguracyjne takie jak: “otwarty phpmyadmin” oraz “niezabezpieczone żadne porty” pozyskał dane 2,2 mln użytkowników (!) zawierających takie dane jak imiona, nazwiska, adresy e-mail, numery telefonów, hasła  (hashe zostały złamane), a także numery PESEL (kilkadziesiąt tysięcy) i dwustronne skany dowodów osobistych (kilka tysięcy).

 

Czy ujawnienie tak ogromnej ilości danych osobowych nie jest wyciekiem?

Czy skutki tego ataku hakerskiego w postaci wielokrotnych już ataków phishingowych na użytkowników sklepu w ciągu ostatniego roku nie są rażącym “naruszeniem praw i wolności osób, których dane dotyczą”, w myśl RODO?

Czy nie informowanie klientów przez miesiąc od wystąpienia incydentu i nie zapłacenie 15 bitcoinów okupu (nagrody w wysokości 225 tys. zł za wykrycie luki) było dobrą decyzją ze strony sklepu?

Czy fakt, iż baza 2,2 mln osób, będąca dziś jedną z głównych pożywek dla cyberprzestępców, wciąż dostępna w sieci Darknet za kilkanaście złotych (screen poniżej), stale nie narusza praw i wolności osób?

 

 

Odpowiedzi na te pytania są różne i proponuję, by każdy odpowiedział na nie samodzielnie, po cichu i bez większego echa. W końcu mleko się już rozlało..

 

Informacja o wycieku jest dostępna na stronie Have I Been Pwned, na której dodatkowo sprawdzisz, czy Twój adres e-mail znajduje się w wykradzionej bazie danych. Jeżeli chcesz uniknąć tego typu sytuacji w swojej firmie, pamiętaj o cyklicznych audytach bezpieczeństwa oraz regularnym wykonywaniu testów penetracyjnych swojej sieci.

 

Top