Rekordowa kara 2,8 mln zł dla Morele.net za wyciek danych utrzymana przez sąd

Wykradziona baza klientów Morele.net była elementem szantażu, włamanie miało zostać nieujawnione pod warunkiem przelania jego autorom 15 BTC, później 20 BTC, ale w rezultacie Morele.net nie przystało na tę propozycję. W późniejszym okresie nasiliły się ataki typu phishing, którego ofiarami byli też między innymi klienci tego serwisu.

To z pewnością zwiększyło determinację UODO do ukarania serwisu podobnie miało wpływ na decyzję sądu. Sąd w swojej argumentacji uznał, że Morele.net nie zastosowało wystarczających środków bezpieczeństwa by ataku tego uniknąć.

Sędzia sprawozdawca Joanna Kube:

Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst powinno skutecznie oceniać związane z tym ryzyko i zagrożenia.

Co ciekawe, chyba po raz pierwszy pojawił się w tej sprawie wątek przebiegu ataku, nastąpił on na skutek uzyskania nieuprawnionego dostępu do panelu administracyjnego jednego z pracowników, który zabezpieczony był jedynie jednorazową autoryzacją loginem i hasłem bez dwuskładnikowego uwierzytelniania.

Obrona Morele.net też nie bardzo wiedziała, czego dotyczy tak naprawdę to postępowanie, dowiedziała się o tym dopiero z decyzji sądu.

Sławomir Kowalski, partner z kancelarii Maruta Wachta reprezentującej Grupę Morele.net:

Przez całe postępowanie postępowanie nie wiedzieliśmy do jakich zarzutów mamy się odnosić. Pierwsza ich konkretyzacja nastąpiła dopiero w uzasadnieniu decyzji i sprowadzała się do stwierdzenia, że powinniśmy zastosować dwuetapowe uwierzytelnianie. Dlaczego? Tego już nie wiadomo. Pozbawiono nas prawa do obrony.

Morele.net z pewnością będzie jeszcze składał apelację, ale prawdopodobnie nie uniknie kary za to naruszenie bezpieczeństwa, jak nie w tej kwocie prawie 3 mln to w niższej, jeśli oczywiście lepiej przygotują się do tej apelacji.

Źródło: Dziennik.pl.