Sąd Administracyjny w Warszawie utrzymał gigantyczną karę nałożoną na Morele.net
Kolejny podmiot przegrywa sprawę w sądzie administracyjnym. Na nic zdała się argumentacja Morele.net, że Spółka padła ofiarą ataku hakerskiego, a postępowanie Prezesa UODO było prowadzone według nieakceptowalnych standardów. Morele.net broni się, twierdząc, że do tej pory tak naprawdę nie wie, dlaczego UODO nałożył na Spółkę tak wysoką karę. Zwłaszcza że w decyzji wydanej przez Prezesa UODO podkreślono, że Morele.net częściowo spełniała wymogi bezpieczeństwa.
Sąd nie miał jednak żadnych wątpliwości. Morele.net nie zastosowało wystarczających środków bezpieczeństwa, aby uniknąć ataku, w którego skutek baza sklepu zawierająca niemal 2,5 miliona rekordów została upubliczniona, a klienci sklepu zostali narażeni nie tylko na utratę swoich danych, ale i swoich oszczędności.
Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst powinno skutecznie oceniać związane z tym ryzyko i zagrożenia.
Wyrok nie jest prawomocny, Spółka najprawdopodobniej złoży skargę kasacyjną do Naczelnego Sądu Administracyjnego.
Jak sklep mógł uniknąć gigantycznego wycieku danych i rekordowej kary?
W jakie zabezpieczenia powinna zainwestować Spółka, aby uchronić się przed karą? W ocenie naszego specjalisty ds. bezpieczeństwa Rafała Pezowicza z treści wyroku, a wcześniej decyzji PUODO jednoznacznie wynika, że podmiot, który dysponował tak dużą ilością danych powinien zadbać o podwójne uwierzytelnianie. To właśnie z powodu nieskutecznego środka uwierzytelniającego najprawdopodobniej hakerzy uzyskali dostęp bazy danych Morele.net. Ponadto, gdyby Spółka monitorowała za pomocą systemu EDR (CylanceOPTICS, WithSecure (dawniej F-Secure) Elements Endpoint Detection and Response (dawniej F-Rapid Detection & Response) potencjalne zagrożenia związane z nietypowymi zachowaniami w sieci mogłaby się skutecznie przed takim atakiem obronić, gdyż narzędzia EDR reagują automatycznie na każdą podejrzaną aktywność. Jak w takim razie zyskać pewność, że zakupione przez nas systemy nie mają przysłowiowych dziur i zabezpieczą nas przed potencjalnym atakiem? Sprawdzonym narzędziem, które wykrywa niebezpieczne podatności jest WithSecure (dawniej F-Secure) Elements Vulnerability Management (dawniej WithSecure (dawniej F-Secure) RADAR).
Chciałbyś skutecznie zabezpieczyć swoją firmę przed wyciekiem danych? Dobierzemy rozwiązania do potrzeb Twojej organizacji i specyfiki branży. Skontaktuj się ze mną mailowo: r.pezowicz@vida.pl lub zadzwoń 664 157 012.
Prezes UODO nałożył gigantyczną karę na Morele.net - sklep ma zapłacić niemal 3 mln złotych za wyciek danych klientów
Ubiegłoroczny wielki wyciek danych klientów Morele.net ma swój finał – Urząd Ochrony Danych Osobowych nałożył na sklep 2,8 mln kary – jest to najwyższa kara w historii urzędu.
Spółka broni się, że padła ofiarą ataku hakerskiego, jednak zdaniem Prezesa UODO to Morele.net odpowiada za niewłaściwą ochronę danych klientów i ich wyciek.
Czy hakerski atak można zrównać wyciekiem danych? Tę kwestię rozstrzygnie sąd, bowiem firma zapowiedziała odwołanie od decyzji UODO do Wojewódzkiego Sądu Administracyjnego.
Ataki na użytkowników Morele.net zaczęły się już w listopadzie 2018 r., kiedy podczas zakupów użytkownicy serwisu otrzymywali SMS informujący o konieczności dopłaty złotówki do złożonego przed chwilą zamówienia.
Niewielka kwota i gorący okres przedświąteczny uśpiły czujność wielu użytkowników, którzy bez zastanowienia logowali się poprzez podstawioną przez oszustów stronę DotPay – tym sposobem cyberprzestępcy wyłudzali login i hasło do banku i bez problemu czyścili zawartość konta niczego nieświadomej ofiary.
Na początku Morele.net zaprzeczało jakoby wysłka podejrzanych SMS-ów miała związek z ich bazą danych, dopiero 6 grudnia sklep wystosował do swoich klientów komunikat z informacją o możliwym wycieku danych i konieczności zmiany hasła.
Ile są warte Twoje dane?
Cyberprzestępcy zażądali od firmy zapłaty 15 bitcoinów (225 tys. zł), po negocjacjach zgodzili się co prawda na tradycyjny przelew, jednak kwota miała już opiewać na pół miliona złotych.
Ostatecznie Morele.net nie zdecydowało się zapłacić okupu, a skradziona przez cyberprzestępców baza danych została opublikowana w Internecie.
Baza zawiera niemal 2,5 miliona rekordów, w tym: imię, nazwisko, adres e-mail, hash hasła i numer telefonu.
Wyciek i co dalej?
W ocenie naszego specjalisty ds. bezpieczeństwa Rafała Pezowicza, w takim przypadku kluczowa jest szybka zmiana hasła. Bezpieczne hasło to podstawa prawidłowego funkcjonowania w sieci. Pamiętajmy, że hasło musi być unikatowe, powinno zawierać cyfry, małe i wielkie litery, znaki specjalne, a także powinno mieć odpowiednią długość – mówi.
Statystyki są zatrważające, aż 60% użytkowników korzysta z jednego hasła do skrzynki pocztowej, serwisów społecznościowych, sklepów internetowych i rachunku bankowego. Takie działanie niesie za sobą poważne ryzyko utraty danych, dlatego tworząc hasło do banku czy skrzynki e-mail zadbajmy, aby było one jak najbardziej zróżnicowane.
