43

UODO nakłada karę prawie 3 mln zł na Morele.net za ubiegłoroczny wyciek danych

W grudniu 2018 roku w czasie przedświątecznej gorączki zakupowej, serwis Morele.net poinformował klientów o naruszeniu ich bazy danych. Dziś po kilku miesiącach postępowania wyjaśniającego, jak donosi nieoficjalnie Puls Biznesu, UODO nałożyło na Morele.net 2,8 mln zł kary.

Pierwszy raz o tym zdarzeniu informowaliśmy Was 18 grudnia 2018 roku, a serwis Morele.net tak tłumaczył je w publicznym oświadczeniu:

Drogi Kliencie, doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych. Dostęp został wykryty i zablokowany. Nieuprawniony dostęp nie dotyczył informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych. Grupa Morele nie gromadzi tych danych (dane podawane na naszej stronie są gromadzone w bazach operatora płatności i banku).

Kilka dni później okazało się, że baza jest w rękach cyberprzestępców i jest przedmiotem szantażu, autor włamania za milczenie zażyczył sobie 15 BTC, później cena podskoczyła do 20 BTC. W rezultacie nie doszło do dobicia targu, a z czasem nasilone zostały ataki typu phishing, wśród zgłoszeń było wielu klientów tego serwisu. Warto zaznaczyć, że takie doniesienia miały już miejsce wcześniej, jeszcze przed oficjalnym komunikatem Morele.net o naruszeniu bazy.

Dziś Puls Biznesu donosi, że w wyniku postępowania UODO, urząd ten nałożył karę na Morele.net w wysokości 2,8 mln zł za brak odpowiednich zabezpieczeń, które pozwoliłyby zapobiec temu atakowi.

Co na to Morele.net? Nie zgadzają się z oceną urzędu i informują o odwołaniu się od tego wyroku.

Radosław Stasiak, wiceprezes ds. IT w Morele.net:

Nie zgadzamy się z oceną zebranego materiału dowodowego, dlatego chcemy, aby sprawa została ponownie rozpatrzona z udziałem niezależnych biegłych. Nie ma nakazu natychmiastowej zapłaty kary wskazanej przez urząd, stąd też ta sytuacja nie ma wpływu na bieżące działanie grupy.

Źródło: Money.pl via Puls Biznesu.