Morele.net – Prawie 3 miliony kary za dane użytkowników

? Nie zawsze zaczynamy artykuł od emoji, ale ta informacja to szokująco-pasjonująco-interesująco-zaskakująca nowina. Jak informuje Maciej Kawecki, 10 września UODO nałożył na Morele.net karę w wysokości 2 830 410 PLN (660 tys. EUR). Uzasadnienie decyzji nie jest jeszcze dostępne (o 11:00 rozpocznie się konferencja prasowa w tej sprawie), ale niezależnie od niego na myśl nasuwają się następujące rzeczy.

Za co ta kara?

Przypomnijmy chronologię wydarzeń. 21 listopada 2018, jako pierwsi opublikowaliśmy ostrzeżenie skierowane w stronę klientów sklepu Morele.net w związku z informacjami jakie pozyskaliśmy od naszych Czytelników. Robiący zakupy w Morele (i innych markach grupy, np. Digitalo), mieli zaraz po zakupach otrzymywać podszywające się pod Morele SMS-y informujące o konieczności dopłaty 1PLN do zamówienia. SMS-y zawierały link, który przekierowywał ofiarę do fałszywej strony pośrednika w płatnościach, a następnie wyłudzał od ofiary login i hasło do konta w banku oraz kod autoryzacji przelewu wysyłany ofierze przez bank SMS-em. W konsekwencji ofiara traciła pieniądze jakie miała na swoim rachunku. Z naszych szacunków wynika, że zyski przestępcy z takiego procederu to nawet kilkaset tysięcy złotych dziennie. Osoba, która okradła klientów Morele musiała sporo zarobić na tym procederze, bo lekką ręką przekazała ponad 50 000 PLN streamerom w napiwkach.

Morele.net bardzo szybko poinformowało na swojej stronie ataku wymierzonym w ich klientów, ale w początkowej wersji oświadczenia znalazło się sformułowanie

“Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu”

Potem (6 grudnia 2018), oświadczenie to zostało zaktualizowane i ten fragment został z niego usunięty:

Następnie oświadczenie zostało całkiem usunięte ze strony Morele.net.

18 grudnia 2018, a więc prawie miesiąc po publikacji naszego artykułu, Morele rozpoczęło oficjalne informowanie klientów o tym, że ich dane teleadresowe i “zakodowane” hasła zostały wykradzione. Podkreślaliśmy wtedy, że Morele zdaje się nie mieć pewności, jak duża jest skala ataku, bo w komunikacie użyto zwrotu “istnieje ryzyko, że dotyczy to również Twoich danych“.

20 grudnia 2018 na Wykopie ujawniła się osoba, która włamała się do Morele.net i wykradła bazę danych klientów. Osoba używająca nicka Arm (xArm) ujawniła, że 28 listopada (a wiec tydzień po publikacji przez nas pierwszego artykułu w tej sprawie) rozpoczęła negocjacje z Morele.net w sprawie okupu. Z informacji od włamywacza można było dowiedzieć się, że wykradziona baza zawiera rekordy ponad 2,2 mln klientów a włamywacz dysponuje dostępem do tabeli “users“.

Na podstawie ujawnionych screenshotów widać, że Morele hashowało hasła użytkowników funkcją md5crypt (czyli nienajlepszą dostępną funkcją, ale jednak zdecydowanie silniejszym wariantem funkcji hashującej niż gołe “md5” czy “sha*”).

Z ujawnionych e-maili wynikało, że za “skasowanie” bazy, włamywacz domagał kwoty 500 000 PLN. Wspominał też, że ma również dostęp do PESEL-i i skanów dowodów. Morele.net przyznało, że te PESEL-e też mogły zostać wykradzione, ale tylko w przypadku osób, które “zgodziły się na zapisanie w serwisie danych z formularza ratalnego na poczet przyszłych wniosków kredytowych“. Firma zaprzeczyła, żeby kiedykolwiek zbierała “skany dokumentów takich jak dowody osobiste“, ale w ponownym komunikacie do klientów poinformowała ich o tym, że zapisywać mogła także “dane dot. dowodu tożsamości“. Negocjacje kończą się fiaskiem, kiedy przestępca odkrywa, że jest namierzany.

27 grudnia 2018 włamywacz informuje, że złamał już ponad 350 000 haseł do kont użytkowników Morele.net. Wtedy na jaw wychodzi, że kiedy Morele wysłało komunikat do klientów o kradzieży ich danych, firma nie zresetowała haseł użytkownikom — jedynie zachęcała ich do samodzielnej zmiany. To oznacza, że włamywacz był w stanie logować się na konta osób, których hasło złamał i pozyskiwać z tych kont kolejne dane (adresy fizyczne, historie zamówień, itp.).

Na jaw wychodzi też, że w wykradzionej bazie były rekordy na temat 1849 klientów, którzy skasowali swoje konta (i ich dane powinny być usunięte, a nie były — w bazie modyfikowano tylko login na “nieprzewidywalny” dla klienta, aby uniemożliwić mu zalogowanie się na jego stare konto — co dało się to obejść, jeśli ktoś korzystał z mechanizmu catch-all na swojej domenie).

6 lutego 2019 włamywacz dalej korzysta z wykradzionej bazy jako …książki telefonicznej. Znajduje w niej swoich idoli, streamerów z youtube i wysyła do nich SMS-y. W wyniku naszego śledztwa korelujemy działania włamywacza na YouTube i informacje jakie w tym samym czasie dostajemy od różnych ludzi, którzy skarżą nam się na dziwne SMS-y. Okazuje się, że włamywacz nie bierze pod uwagę, że takie samo nazwisko jak jego ulubieni streamerzy mogą mieć też inni ludzie i przypadkowo “nęka” osoby niezwiązane ze światkiem YouTuba.

Aby zapoznać się z kompletem informacji w tej sprawie, poradami dla osób kupujących w sklepach internetowych, i pełną dokumentacją ujawnionych przez włamywacza materiałów zalecamy lekturę następujących artykułów w poniższej kolejności:

Czy prawie 3 000 000 kary to (za) dużo?

Czy zasadne jest ukaranie Morele.net za to, że ktoś się do nich włamał i wykradł dane? Przecież do każdego można się włamać. Nawet Google padło ofiarą włamywaczy (co prawda rządowych hackerów, a nie randoma z internetu, ale…). W tej sytuacji nie jest też tak, że firma sama te dane ujawniła, wysyłając je przypadkiem do klientów, co zdarza się innym (por. wyciek danych klientów Media Expert). Ale może Morele mogło lepiej zabezpieczyć serwer, z którego dane wyciekły? Wciąż nie ma oficjalnych i wiarygodnych informacji co do tego, jak dokładnie przebiegał atak, jakie podatności wykorzystano i czy rzeczywiście było tak, jak wspominał (złapany zreszta na kłamstwie) włamywacz, że dane znalazł na niezabezpieczonej instancji phpMyAdmina.

Czy prawie 3 miliony kary to za dużo czy za mało? Wychodzi lekko ponad 1 PLN za klienta, którego dane wykradziono. Dane, takie jak:

  • imię i nazwisko,
  • adres e-mail
  • zahashowane hasło,
  • numer telefonu

i w niektórych przypadkach także PESEL i dane dot. dowodu tożsamości. Przypomnijmy, że jeśli chodzi o kary, UDODO może je nakładać w pewnych granicach (por. Art. 83. RODO). Za niektóre przewinienia, kara może wynieść do 20 000 000 EUR lub 4 procent całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 lit. b RODO).

fot. Aleo.com

Jak widzicie powyżej, ze sprawozdania finansowego Morele za rok 2016 (które można pobrać ze świetnego serwisu banku ING, Aleo.com) wyczytać można, że przychód firmy to ponad 700 milionów PLN (ale zysk to juz tylko 741 000):

Tych 3 milionów nie dostaną klienci Morele.net

Zauważmy też, że z tych prawie 3 milionów złotych niczego nie dostaną klienci, których dane wyciekły. To nie są pieniądze, które UODO magicznie podzieli na każdego poszkodowanego. To oznacza, że straty po stronie Morele.net mogą być jeszcze wyższe, jeśli któryś z klientów poczuje się na tyle poszkodowany, aby firmę pozwać.

Wiele o wysokości kar, ich zasadności i pozwach poszkodowanych klientów mowiliśmy w 26 i 27 odcinku naszego podcastu “Na Podsłuchu”, gdzie rozmawialiśmy z prawnikiem Michałem Kluską, ekspertem od ochrony danych osobowych, który niejedną kontrolę UODO przeszedł. Warto posłuchać tego odcinka.

Za co ta kara konkretnie?

Nie wiemy jeszcze za co dokładnie UODO postanowiło ukarać Morele.net, bo uzasadnienie decyzji będzie ujawnione dopiero o 11:00 dzisiaj. Oczywiście zaktualizujemy ten artykuł o nowe informacje.

Czy Morele mogło zrobić coś, aby kara była mniejsza?

Co jeszcze, poza współpracą z policją i informowaniem klientów lepiej mogło zrobić Morele.net? Czy w ocenie UODO firma poinformowała Urząd lub klientów zbyt późno? Nie w pełni? A może brak wymuszonego resetu haseł dołożył PLN-ów do kary?

Te pytania będzie w najbliższych dniach zadawał sobie każdy komentujący tę sprawę. Ale niezależnie od nich, już teraz można się zastanowić, czy tak wysoka kara (niezależnie od wysokości obrotu firmy), to nie jest przypadkiem zachęta by w podobnych sytuacjach (okradli nas i szantażują) rozważać zawsze patologiczny wybór — opłacić szantażystę.

Przypomnijmy, że włamywacz domagał się 500 000 PLN czyli prawie 6 razy mniej niż wynosi kara. Nie ma oczywiście pewności, że za tydzień nie przyszedł by po więcej — bo firma nigdy nie ma gwarancji, że dane przez złodzieja zostaną faktycznie skasowane i nie wypłyną za jakiś czas. Ale czy opłata okupu powstrzymała by karę — przecież kiedy rozpoczęły się negocjacje było już po pierwszych atakach, dość mocno wskazujących na to, że dane jednak z Morele.net wyciekły. UODO pewnie i tak zastukałoby z kontrolą…

Może w końcu niektórzy poważnie podejdą do bezpieczeństwa i zapobiegania atakom

Czy taka kara zachęci “rynek” do przyjrzenia się swojemu bezpieczeństwu? Mamy nadzieję! Z kolei wedle oświadczenia Macieja Kaweckiego, z kancelarii prawniczej, która obsługuje Morele, firma już “wydała miliony” na “usługi bezpieczeństwa i testy penetracyjne“. Nie wiemy jednak czy przed, czy po incydencie.

O bezpieczeństwo zawsze warto dbać. Może teraz działy IT będą miały argument dla zarządu, że czasem lepiej jednak wydać te kilkadziesiąt tysięcy PLN na testy penetracyjne, niż potem płacić miliony kary

Aby przejść na stronę główną <<kliknij tutaj>>

Umów wizytę online

Tutaj możesz się z nami skontaktować


0 komentarzy

Leave a Reply