Morele.net z najwyższą karą. UODO zasądził 3 miliony złotych
UODO zasądził właśnie najwyższą karę w historii. 3 miliony złotych będzie musiała zapłacić firma Morele.net. Pod koniec listopada 2018 roku pojawiły się pierwsze poważne przesłanki sugerujące, że w firmie mogło dojść do poważnego wycieku. Przypuszczenia potwierdzono, a klienci sklepu stracili duże sumy pieniędzy.
Spis treści
Pierwsze przesłanki
Kara nałożona na sklep ma związek ze sprawą z końca zeszłego roku. Pod koniec listopada serwis Niebezpiecznik.net opublikował ostrzeżenie skierowane do klientów Morele.net w związku z informacjami, jakie przekazali redaktorom czytelnicy. Okazało się, że klienci dokonujący zakupów w sklepie Morele oraz innych markach grupy (np. Digitalo) zaraz po zakupach otrzymywali SMS-y informujące o konieczności dopłaty symbolicznej złotówki w związku z właśnie dokonanym zakupem. Wiadomości zawierały link przekierowujący do fałszywej strony pośredniczącej w płatnościach. Następnie wyłudzano od ofiary login i hasło do konta w banku, a nawet kod autoryzacji przelewu wysyłany ofierze przez bank. Konsekwencją była strata pieniędzy zgromadzonych na rachunku.
Jak szacują redaktorzy serwisu Niebezpiecznik, każdodniowe zyski przestępcy mogły wynieść nawet kilkaset tysięcy złotych. Oszust musiał czuć się na tyle swobodnie finansowo, że pozwolił sobie nawet na rozdanie ponad 50 tysięcy złotych patostreamerom.
Niepełne informacje
Co prawda sklep Morele szybko poinformował klientów o zagrożeniu w specjalnym oświadczeniu, jednak wprowadzało ono poszkodowanych w błąd. “Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu”, brzmi kluczowy fragment komunikatu. Niedługo później doszło do aktualizacji oświadczenia polegającej na usunięciu wspomnianego fragmentu, a następnie całkowicie usunięto komunikat.
Niestety dopiero niemal miesiąc po pierwszej publikacji dotyczącej problemu sklep Morele rozpoczął proces oficjalnego informowania klientów o dokonanej kradzieży danych. W wystosowanym komunikacie użyto zwrotu “istnieje ryzyko, że dotyczy to również Twoich danych”, który był dość niepokojący, gdyż mógł wskazywać na to, że włodarze sklepu nie są pewni co do skali ataku.
Włamywacz się ujawnia
Pod koniec grudnia osoba odpowiedzialna za atak ujawniła się na Wykopie jako Arm (xArm). Wówczas to dowiedzieliśmy się, że jej negocjacje z serwisem Morele.net trwają od 28 listopada, czyli zaczęły się już w tydzień po opublikowaniu pierwszego tekstu o sprawie, a także iż w jego posiadaniu znajduje się 2,2 milionów rekordów klientów pochodzących z tabeli “users” w bazie MySQL. Na podstawie udostępnionych screenów można było również wywnioskować, że Morele hashowało hasła użytkowników funkcją, która nie należała do najlepszych rozwiązań.
Internetowy włamywacz żądał 500 tysięcy złotych za “skasowanie” bazy. Ujawnił również, że ma dostęp do numerów PESEL, a nawet skanów dowodów. Firma Morele zaprzeczała, by kiedykolwiek zbierała skany dokumentów, ale w kolejnym komunikacie przyznano, że mogła zapisywać “dane dot. dowodu tożsamości”. Wymiana wiadomości zakończyła się, gdy cyberprzestępca odkrył, że jest namierzany. Wraz z rozwojem sprawy dowiadywaliśmy się jeszcze m.in., że włamywacz złamał ponad 350 tysięcy haseł, firma nie zresetowała haseł użytkownikom po ataku, a w wykradzionej bazie z jakichś powodów nadal istniały rekordy 1849 klientów, którzy skasowali swoje konta.
Sprawiedliwa kara?
Zasadność i wysokość kary zasądzonej dla sklepu Morele może budzić kontrowersje. Włamania do baz danych, i to nawet największych graczy na rynku, stają się przykrą codziennością. W opisywanej sytuacji firma jako taka nie ujawniła nikomu żadnych danych, jak bywało to w innych przypadkach. Istnieje jednak podejrzenie, że serwer, na którym przechowywano dane, mógł zostać dużo lepiej zabezpieczony. Niestety wciąż dokładnie nie wiadomo, jak przebiegał atak, które podatności i jak wykorzystano, a także w czym należy ufać włamywaczowi, a w czym nie, gdyż wcześniej udało mu się udowodnić kłamstwo. 3 miliony złotych kary to trochę ponad złotówkę na klienta, który padł ofiarą kradzieży danych. Niestety żadna część powyższej kwoty nie trafi do poszkodowanych. Pozostaje im jedynie powództwo cywilne.
Źródło: niebezpiecznik.pl, dobreprogramy.pl. Zdjęcie główne artykułu pochodzi z unsplash.com.