Sklep Internetowy Morele.net został ponownie ukarany przez Urząd Ochrony Danych Osobowych za wyciek danych 2,2 milionów klientów w 2018 r. Tym razem kara wynosi 3,8 mln złotych, po tym jak Naczelny Sąd Administracyjny uchylił poprzednią decyzję Prezesa UODO.
Jak ogłosił w komunikacie Urząd Ochrony Danych Osobowych, ponowne postępowanie wykazało szereg zaniedbań spółki w zakresie zabezpieczeń i monitorowania ruchu w sieci. W szczególności, spółka nie szyfrowała części danych, nie dysponowała uwierzytelnieniem dwuskładnikowym oraz nie przeprowadziła analizy ryzyk związanych z używaniem przez klientów sieci publicznej.
Dodatkowo, brak odpowiedniego monitoringu uniemożliwił nie tylko wykrycie nieautoryzowanego dostępu, ale również sprawdzenie, które dane zostały wykradzione.
Niedawno opisywaliśmy, jak brak podwójnego uwierzytelniania konta na portalu X przez amerykańską Komisję Papierów Wartościowych i Giełd (SEC) doprowadził do włamania na jej konto i wysłania jeszcze wtedy nieprawdziwej wiadomości o zatwierdzeniu przez regulatora funduszy typu ETF, opartych na bitcoinie.
W toku postępowania Morele.net chciało odsunięcia od analizy zdarzenia urzędników UODO, twierdząc, iż są oni stronniczy. Urząd odrzucił te zarzuty.
Poprzednia kara od UODO dla Morele.net została uchylona przez Naczelny Sąd Administracyjny, który zakwestionował kompetencje UODO w zakresie oceny środków technicznych, zastosowanych przez spółkę. Sąd wskazał na brak powołania biegłych czy choćby dokumentu na temat standardu środków bezpieczeństwa stosowanych przez spółkę, do którego mogłaby się ona odnieść w toku postępowania.
Chcesz wiedzieć, czy Twoje dane wyciekły? Strona Have I been pwned zawiera sporą bazę danych z wycieków na całym świecie. W Polsce, podobną usługę udostępnia państwo to https://bezpiecznedane.gov.pl/. Niestety, wygląda na to, iż ta ostania strona zawiera dane tylko z ostatnich wycieków i to tylko w Polsce – na ile jestem w stanie to stwierdzić, nie zawiera danych z wycieku Morele.net. Have I been pwned jest pod tym względem istotnie bardziej uniwersalnym narzędziem.
O tym, jak zadbać o swoje bezpieczeństwo w sieci, pisaliśmy w tym poradniku. O tym, jakie zagrożenia czekają nas podczas korzystania z usług cyfrowych informuje również KNF w swojej najnowszej kampanii informacyjnej.
