Morele.net – Prawie 3 miliony kary za dane u偶ytkownik贸w

馃槼 Nie zawsze zaczynamy artyku艂 od emoji, ale ta informacja to szokuj膮co-pasjonuj膮co-interesuj膮co-zaskakuj膮ca nowina. Jak informuje Maciej Kawecki, 10 wrze艣nia UODO na艂o偶y艂 na Morele.net kar臋聽w wysoko艣ci 2 830 410 PLN (660 tys. EUR). Uzasadnienie decyzji nie jest jeszcze dost臋pne (o 11:00 rozpocznie si臋 konferencja prasowa w tej sprawie), ale niezale偶nie od niego na my艣l nasuwaj膮 si臋 nast臋puj膮ce rzeczy.

Za co ta kara?

Przypomnijmy chronologi臋 wydarze艅. 21 listopada 2018, jako pierwsi opublikowali艣my ostrze偶enie skierowane w stron臋 klient贸w sklepu Morele.net w zwi膮zku z informacjami jakie pozyskali艣my od naszych Czytelnik贸w. Robi膮cy zakupy w Morele (i innych markach grupy, np. Digitalo), mieli zaraz po zakupach otrzymywa膰 podszywaj膮ce si臋聽pod Morele SMS-y informuj膮ce o konieczno艣ci dop艂aty 1PLN do zam贸wienia. SMS-y zawiera艂y link, kt贸ry przekierowywa艂 ofiar臋 do fa艂szywej strony po艣rednika w p艂atno艣ciach, a nast臋pnie wy艂udza艂 od ofiary login i has艂o do konta w banku oraz kod autoryzacji przelewu wysy艂any ofierze przez bank SMS-em. W konsekwencji ofiara traci艂a pieni膮dze jakie mia艂a na swoim rachunku. Z naszych szacunk贸w wynika, 偶e zyski przest臋pcy z takiego procederu to nawet kilkaset tysi臋cy z艂otych dziennie. Osoba, kt贸ra okrad艂a klient贸w Morele musia艂a sporo zarobi膰 na tym procederze, bo lekk膮 r臋k膮 przekaza艂a ponad 50 000 PLN streamerom w napiwkach.

Morele.net bardzo szybko poinformowa艂o na swojej stronie ataku wymierzonym w ich klient贸w, ale w pocz膮tkowej wersji o艣wiadczenia znalaz艂o si臋 sformu艂owanie

鈥淣ie jeste艣my 藕r贸d艂em danych, nasza baza danych jest 艣ci艣le chroniona. Wiadomo艣ci najprawdopodobniej wysy艂ane s膮 losowo, a ich zbie偶no艣膰 z Pa艅stwa zam贸wieniami to wynik masowo艣ci ca艂ego procederu鈥

Potem (6 grudnia 2018), o艣wiadczenie to zosta艂o zaktualizowane i ten fragment zosta艂 z niego usuni臋ty:

Nast臋pnie o艣wiadczenie zosta艂o ca艂kiem usuni臋te ze strony Morele.net.

18 grudnia 2018, a wi臋c prawie miesi膮c po publikacji naszego artyku艂u, Morele rozpocz臋艂o oficjalne informowanie klient贸w o tym, 偶e ich dane teleadresowe i 鈥渮akodowane鈥 has艂a zosta艂y wykradzione. Podkre艣lali艣my wtedy, 偶e Morele zdaje si臋 nie mie膰 pewno艣ci, jak du偶a jest skala ataku, bo w komunikacie u偶yto zwrotu 鈥istnieje ryzyko, 偶e dotyczy to r贸wnie偶 Twoich danych鈥.

20 grudnia 2018 na Wykopie ujawni艂a si臋 osoba, kt贸ra w艂ama艂a si臋聽do Morele.net i wykrad艂a baz臋 danych klient贸w. Osoba u偶ywaj膮ca nicka Arm (xArm) ujawni艂a, 偶e 28 listopada (a wiec tydzie艅 po publikacji przez nas pierwszego artyku艂u w tej sprawie) rozpocz臋艂a negocjacje z Morele.net w sprawie okupu. Z informacji od w艂amywacza mo偶na by艂o dowiedzie膰聽si臋, 偶e wykradziona baza zawiera rekordy ponad 2,2 mln klient贸w a w艂amywacz dysponuje dost臋pem do tabeli 鈥users鈥.

Na podstawie ujawnionych screenshot贸w wida膰, 偶e Morele hashowa艂o has艂a u偶ytkownik贸w funkcj膮 md5crypt (czyli nienajlepsz膮 dost臋pn膮 funkcj膮, ale jednak zdecydowanie silniejszym wariantem funkcji hashuj膮cej ni偶聽go艂e 鈥渕d5鈥 czy 鈥渟ha*鈥).

Z ujawnionych e-maili wynika艂o, 偶e za 鈥渟kasowanie鈥 bazy, w艂amywacz domaga艂 kwoty 500 000 PLN. Wspomina艂 te偶, 偶e ma r贸wnie偶聽dost臋p do PESEL-i i skan贸w dowod贸w. Morele.net przyzna艂o, 偶e te PESEL-e te偶 mog艂y zosta膰 wykradzione, ale tylko w przypadku os贸b, kt贸re 鈥zgodzi艂y si臋 na zapisanie w serwisie danych z formularza ratalnego na poczet przysz艂ych wniosk贸w kredytowych鈥. Firma zaprzeczy艂a, 偶eby kiedykolwiek zbiera艂a 鈥skany dokument贸w takich jak dowody osobiste鈥, ale w ponownym komunikacie do klient贸w poinformowa艂a ich o tym, 偶e zapisywa膰 mog艂a tak偶e 鈥dane dot. dowodu to偶samo艣ci鈥. Negocjacje ko艅cz膮 si臋 fiaskiem, kiedy przest臋pca odkrywa, 偶e jest namierzany.

27 grudnia 2018 w艂amywacz informuje, 偶e z艂ama艂 ju偶 ponad 350 000 hase艂 do kont u偶ytkownik贸w Morele.net. Wtedy na jaw wychodzi, 偶e kiedy Morele wys艂a艂o komunikat do klient贸w o kradzie偶y ich danych, firma nie zresetowa艂a hase艂 u偶ytkownikom 鈥 jedynie zach臋ca艂a ich do samodzielnej zmiany. To oznacza, 偶e w艂amywacz by艂 w stanie logowa膰聽si臋 na konta os贸b, kt贸rych has艂o z艂ama艂 i pozyskiwa膰 z tych kont kolejne dane (adresy fizyczne, historie zam贸wie艅, itp.).

Na jaw wychodzi te偶, 偶e w wykradzionej bazie by艂y rekordy na temat 1849 klient贸w, kt贸rzy skasowali swoje konta (i ich dane powinny by膰 usuni臋te, a nie by艂y 鈥 w bazie modyfikowano tylko login na 鈥渘ieprzewidywalny鈥 dla klienta, aby uniemo偶liwi膰 mu zalogowanie si臋 na jego stare konto 鈥 co da艂o si臋 to obej艣膰, je艣li kto艣 korzysta艂 z mechanizmu catch-all na swojej domenie).

6 lutego 2019 w艂amywacz dalej korzysta z wykradzionej bazy jako 鈥si膮偶ki telefonicznej. Znajduje w niej swoich idoli, streamer贸w z youtube i wysy艂a do nich SMS-y. W wyniku naszego 艣ledztwa korelujemy dzia艂ania w艂amywacza na YouTube i informacje jakie w tym samym czasie dostajemy od r贸偶nych ludzi, kt贸rzy skar偶膮 nam si臋聽na dziwne SMS-y. Okazuje si臋, 偶e w艂amywacz nie bierze pod uwag臋, 偶e takie samo nazwisko jak jego ulubieni streamerzy mog膮 mie膰 te偶 inni ludzie i przypadkowo 鈥渘臋ka鈥 osoby niezwi膮zane ze 艣wiatkiem YouTuba.

Aby zapozna膰 si臋 z kompletem informacji w tej sprawie, poradami dla os贸b kupuj膮cych w sklepach internetowych, i pe艂n膮 dokumentacj膮 ujawnionych przez w艂amywacza materia艂贸w zalecamy lektur臋 nast臋puj膮cych artyku艂贸w w poni偶szej kolejno艣ci:

Czy prawie 3 000 000 kary to (za) du偶o?

Czy zasadne jest ukaranie Morele.net za to, 偶e kto艣 si臋聽do nich w艂ama艂 i wykrad艂 dane? Przecie偶 do ka偶dego mo偶na si臋 w艂ama膰. Nawet Google pad艂o ofiar膮 w艂amywaczy (co prawda rz膮dowych hacker贸w, a nie randoma z internetu, ale鈥).聽W tej sytuacji nie jest te偶 tak, 偶e firma sama te dane ujawni艂a, wysy艂aj膮c je przypadkiem do klient贸w, co zdarza si臋 innym (por. wyciek danych klient贸w Media Expert). Ale mo偶e Morele mog艂o lepiej zabezpieczy膰 serwer, z kt贸rego dane wyciek艂y? Wci膮偶聽nie ma oficjalnych i wiarygodnych informacji co do tego, jak dok艂adnie przebiega艂 atak, jakie podatno艣ci wykorzystano i czy rzeczywi艣cie by艂o tak, jak wspomina艂 (z艂apany zreszta聽na k艂amstwie) w艂amywacz, 偶e dane znalaz艂 na niezabezpieczonej instancji phpMyAdmina.

Czy prawie 3 miliony kary to za du偶o czy za ma艂o? Wychodzi lekko ponad 1 PLN za klienta, kt贸rego dane wykradziono. Dane, takie jak:

  • imi臋 i nazwisko,
  • adres e-mail
  • zahashowane has艂o,
  • numer telefonu

i w niekt贸rych przypadkach tak偶e PESEL i dane dot. dowodu to偶samo艣ci. Przypomnijmy, 偶e je艣li chodzi o kary, UDODO mo偶e je nak艂ada膰 w pewnych granicach (por. Art. 83. RODO). Za niekt贸re przewinienia, kara mo偶e wynie艣膰 do 20 000 000 EUR lub 4 procent ca艂kowitego rocznego 艣wiatowego obrotu, w zale偶no艣ci od tego, kt贸ra kwota jest wy偶sza (art. 83 ust. 5 lit. b RODO).

fot. Aleo.com

Jak widzicie powy偶ej, ze sprawozdania finansowego Morele za rok 2016 (kt贸re mo偶na pobra膰 ze 艣wietnego serwisu banku ING, Aleo.com) wyczyta膰 mo偶na, 偶e przych贸d firmy to ponad 700 milion贸w PLN (ale zysk to juz tylko 741 000):

Tych 3 milion贸w nie dostan膮 klienci Morele.net

Zauwa偶my te偶, 偶e z tych prawie 3 milion贸w z艂otych niczego nie dostan膮 klienci, kt贸rych dane wyciek艂y. To nie s膮 pieni膮dze, kt贸re UODO magicznie podzieli na ka偶dego poszkodowanego. To oznacza, 偶e straty po stronie Morele.net mog膮 by膰 jeszcze wy偶sze, je艣li kt贸ry艣 z klient贸w poczuje si臋 na tyle poszkodowany, aby firm臋 pozwa膰.

Wiele o wysoko艣ci kar, ich zasadno艣ci i pozwach poszkodowanych klient贸w mowili艣my w 26 i 27 odcinku naszego podcastu 鈥淣a Pods艂uchu鈥, gdzie rozmawiali艣my z prawnikiem Micha艂em Klusk膮, ekspertem od ochrony danych osobowych, kt贸ry niejedn膮 kontrol臋 UODO przeszed艂. Warto pos艂ucha膰 tego odcinka.

Za co ta kara konkretnie?

Nie wiemy jeszcze za co dok艂adnie UODO postanowi艂o ukara膰 Morele.net, bo uzasadnienie decyzji b臋dzie ujawnione dopiero o 11:00 dzisiaj. Oczywi艣cie zaktualizujemy ten artyku艂 o nowe informacje.

Czy Morele mog艂o zrobi膰 co艣, aby kara by艂a mniejsza?

Co jeszcze, poza wsp贸艂prac膮 z policj膮 i informowaniem klient贸w lepiej mog艂o zrobi膰 Morele.net? Czy w ocenie UODO firma poinformowa艂a Urz膮d lub klient贸w zbyt p贸藕no? Nie w pe艂ni? A mo偶e brak wymuszonego resetu hase艂 do艂o偶y艂 PLN-贸w do kary?

Te pytania b臋dzie w najbli偶szych dniach zadawa艂 sobie ka偶dy komentuj膮cy t臋 spraw臋. Ale niezale偶nie od nich, ju偶 teraz mo偶na si臋 zastanowi膰, czy tak wysoka kara (niezale偶nie od wysoko艣ci obrotu firmy), to nie jest przypadkiem zach臋ta by w podobnych sytuacjach (okradli nas i szanta偶uj膮) rozwa偶a膰 zawsze patologiczny wyb贸r 鈥 op艂aci膰 szanta偶yst臋.

Przypomnijmy, 偶e w艂amywacz domaga艂 si臋 500 000 PLN czyli prawie 6 razy mniej ni偶 wynosi kara. Nie ma oczywi艣cie pewno艣ci, 偶e za tydzie艅 nie przyszed艂 by po wi臋cej 鈥 bo firma nigdy nie ma gwarancji, 偶e dane przez z艂odzieja zostan膮 faktycznie skasowane i nie wyp艂yn膮聽za jaki艣 czas. Ale czy op艂ata okupu powstrzyma艂a by kar臋 鈥 przecie偶 kiedy rozpocz臋艂y si臋 negocjacje by艂o ju偶 po pierwszych atakach, do艣膰 mocno wskazuj膮cych na to, 偶e dane jednak z Morele.net wyciek艂y. UODO pewnie i tak zastuka艂oby z kontrol膮鈥

Mo偶e w ko艅cu niekt贸rzy powa偶nie podejd膮 do bezpiecze艅stwa i zapobiegania atakom

Czy taka kara zach臋ci 鈥渞ynek鈥 do przyjrzenia si臋聽swojemu bezpiecze艅stwu? Mamy nadziej臋! Z kolei wedle o艣wiadczenia Macieja Kaweckiego, z kancelarii prawniczej, kt贸ra obs艂uguje Morele, firma ju偶 鈥wyda艂a miliony鈥 na 鈥us艂ugi bezpiecze艅stwa i testy penetracyjne鈥. Nie wiemy jednak czy przed, czy po incydencie.

O bezpiecze艅stwo zawsze warto dba膰. Mo偶e teraz dzia艂y IT b臋d膮 mia艂y argument dla zarz膮du, 偶e czasem lepiej jednak wyda膰 te kilkadziesi膮t tysi臋cy PLN na testy penetracyjne, ni偶 potem p艂aci膰 miliony kary

Aby przej艣膰 na stron臋 g艂贸wn膮 <<kliknij tutaj>>

Um贸w wizyt臋 online

Tutaj mo偶esz si臋 z nami skontaktowa膰


0 Komentarzy

Dodaj komentarz