10:30
19/9/2019

😳 Nie zawsze zaczynamy artykuł od emoji, ale ta informacja to szokująco-pasjonująco-interesująco-zaskakująca nowina. Jak informuje Maciej Kawecki, 10 września UODO nałożył na Morele.net karę w wysokości 2 830 410 PLN (660 tys. EUR). Uzasadnienie decyzji nie jest jeszcze dostępne (o 11:00 rozpocznie się konferencja prasowa w tej sprawie), ale niezależnie od niego na myśl nasuwają się następujące rzeczy.

Za co ta kara?

Przypomnijmy chronologię wydarzeń. 21 listopada 2018, jako pierwsi opublikowaliśmy ostrzeżenie skierowane w stronę klientów sklepu Morele.net w związku z informacjami jakie pozyskaliśmy od naszych Czytelników. Robiący zakupy w Morele (i innych markach grupy, np. Digitalo), mieli zaraz po zakupach otrzymywać podszywające się pod Morele SMS-y informujące o konieczności dopłaty 1PLN do zamówienia. SMS-y zawierały link, który przekierowywał ofiarę do fałszywej strony pośrednika w płatnościach, a następnie wyłudzał od ofiary login i hasło do konta w banku oraz kod autoryzacji przelewu wysyłany ofierze przez bank SMS-em. W konsekwencji ofiara traciła pieniądze jakie miała na swoim rachunku. Z naszych szacunków wynika, że zyski przestępcy z takiego procederu to nawet kilkaset tysięcy złotych dziennie. Osoba, która okradła klientów Morele musiała sporo zarobić na tym procederze, bo lekką ręką przekazała ponad 50 000 PLN streamerom w napiwkach.

Morele.net bardzo szybko poinformowało na swojej stronie ataku wymierzonym w ich klientów, ale w początkowej wersji oświadczenia znalazło się sformułowanie

“Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu”

Potem (6 grudnia 2018), oświadczenie to zostało zaktualizowane i ten fragment został z niego usunięty:

Następnie oświadczenie zostało całkiem usunięte ze strony Morele.net.

18 grudnia 2018, a więc prawie miesiąc po publikacji naszego artykułu, Morele rozpoczęło oficjalne informowanie klientów o tym, że ich dane teleadresowe i “zakodowane” hasła zostały wykradzione. Podkreślaliśmy wtedy, że Morele zdaje się nie mieć pewności, jak duża jest skala ataku, bo w komunikacie użyto zwrotu “istnieje ryzyko, że dotyczy to również Twoich danych“.

20 grudnia 2018 na Wykopie ujawniła się osoba, która włamała się do Morele.net i wykradła bazę danych klientów. Osoba używająca nicka Arm (xArm) ujawniła, że 28 listopada (a wiec tydzień po publikacji przez nas pierwszego artykułu w tej sprawie) rozpoczęła negocjacje z Morele.net w sprawie okupu. Z informacji od włamywacza można było dowiedzieć się, że wykradziona baza zawiera rekordy ponad 2,2 mln klientów a włamywacz dysponuje dostępem do tabeli “users“.

Na podstawie ujawnionych screenshotów widać, że Morele hashowało hasła użytkowników funkcją md5crypt (czyli nienajlepszą dostępną funkcją, ale jednak zdecydowanie silniejszym wariantem funkcji hashującej niż gołe “md5” czy “sha*”).

Z ujawnionych e-maili wynikało, że za “skasowanie” bazy, włamywacz domagał kwoty 500 000 PLN. Wspominał też, że ma również dostęp do PESEL-i i skanów dowodów. Morele.net przyznało, że te PESEL-e też mogły zostać wykradzione, ale tylko w przypadku osób, które “zgodziły się na zapisanie w serwisie danych z formularza ratalnego na poczet przyszłych wniosków kredytowych“. Firma zaprzeczyła, żeby kiedykolwiek zbierała “skany dokumentów takich jak dowody osobiste“, ale w ponownym komunikacie do klientów poinformowała ich o tym, że zapisywać mogła także “dane dot. dowodu tożsamości“. Negocjacje kończą się fiaskiem, kiedy przestępca odkrywa, że jest namierzany.

27 grudnia 2018 włamywacz informuje, że złamał już ponad 350 000 haseł do kont użytkowników Morele.net. Wtedy na jaw wychodzi, że kiedy Morele wysłało komunikat do klientów o kradzieży ich danych, firma nie zresetowała haseł użytkownikom — jedynie zachęcała ich do samodzielnej zmiany. To oznacza, że włamywacz był w stanie logować się na konta osób, których hasło złamał i pozyskiwać z tych kont kolejne dane (adresy fizyczne, historie zamówień, itp.).

Na jaw wychodzi też, że w wykradzionej bazie były rekordy na temat 1849 klientów, którzy skasowali swoje konta (i ich dane powinny być usunięte, a nie były — w bazie modyfikowano tylko login na “nieprzewidywalny” dla klienta, aby uniemożliwić mu zalogowanie się na jego stare konto — co dało się to obejść, jeśli ktoś korzystał z mechanizmu catch-all na swojej domenie).

6 lutego 2019 włamywacz dalej korzysta z wykradzionej bazy jako …książki telefonicznej. Znajduje w niej swoich idoli, streamerów z youtube i wysyła do nich SMS-y. W wyniku naszego śledztwa korelujemy działania włamywacza na YouTube i informacje jakie w tym samym czasie dostajemy od różnych ludzi, którzy skarżą nam się na dziwne SMS-y. Okazuje się, że włamywacz nie bierze pod uwagę, że takie samo nazwisko jak jego ulubieni streamerzy mogą mieć też inni ludzie i przypadkowo “nęka” osoby niezwiązane ze światkiem YouTuba.

Aby zapoznać się z kompletem informacji w tej sprawie, poradami dla osób kupujących w sklepach internetowych, i pełną dokumentacją ujawnionych przez włamywacza materiałów zalecamy lekturę następujących artykułów w poniższej kolejności:

Czy prawie 3 000 000 kary to (za) dużo?

Czy zasadne jest ukaranie Morele.net za to, że ktoś się do nich włamał i wykradł dane? Przecież do każdego można się włamać. Nawet Google padło ofiarą włamywaczy (co prawda rządowych hackerów, a nie randoma z internetu, ale…). W tej sytuacji nie jest też tak, że firma sama te dane ujawniła, wysyłając je przypadkiem do klientów, co zdarza się innym (por. wyciek danych klientów Media Expert). Ale może Morele mogło lepiej zabezpieczyć serwer, z którego dane wyciekły? Wciąż nie ma oficjalnych i wiarygodnych informacji co do tego, jak dokładnie przebiegał atak, jakie podatności wykorzystano i czy rzeczywiście było tak, jak wspominał (złapany zreszta na kłamstwie) włamywacz, że dane znalazł na niezabezpieczonej instancji phpMyAdmina.

Czy prawie 3 miliony kary to za dużo czy za mało? Wychodzi lekko ponad 1 PLN za klienta, którego dane wykradziono. Dane, takie jak:

  • imię i nazwisko,
  • adres e-mail
  • zahashowane hasło,
  • numer telefonu

i w niektórych przypadkach także PESEL i dane dot. dowodu tożsamości. Przypomnijmy, że jeśli chodzi o kary, UDODO może je nakładać w pewnych granicach (por. Art. 83. RODO). Za niektóre przewinienia, kara może wynieść do 20 000 000 EUR lub 4 procent całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 lit. b RODO).

fot. Aleo.com

Jak widzicie powyżej, ze sprawozdania finansowego Morele za rok 2016 (które można pobrać ze świetnego serwisu banku ING, Aleo.com) wyczytać można, że przychód firmy to ponad 700 milionów PLN (ale zysk to juz tylko 741 000):

Pssst! Interesuje Cię jak namierzać ludzi i pozyskiwać informacje o firmach przez internet? Jak analizować finanse spółek, ustalać ich beneficjentów i na podstawie różnych identyfikatorów szczątkowych takich jak np. nr telefonu ustalać lokalizację, nazwisko, wygląd i inne dane na temat właściciela? O tym wszystkim mówimy na jednodniowym szkoleniu z OSINT (Białego Wywiadu). Ta wiedza przyda się nie tylko prawnikom, finansistom, rekruterom czy sprawnym handlowcom, ale każdemu kto wyszukuje informacje w internecie. Także miłośnikom prwatności — aby otworzyć im oczy na to jak mogą się zdeanonimizować przez otaczającą ją technologię. Zapisz się na najbliższy termin tego szkolenia!

Tych 3 milionów nie dostaną klienci Morele.net

Zauważmy też, że z tych prawie 3 milionów złotych niczego nie dostaną klienci, których dane wyciekły. To nie są pieniądze, które UODO magicznie podzieli na każdego poszkodowanego. To oznacza, że straty po stronie Morele.net mogą być jeszcze wyższe, jeśli któryś z klientów poczuje się na tyle poszkodowany, aby firmę pozwać.

Wiele o wysokości kar, ich zasadności i pozwach poszkodowanych klientów mowiliśmy w 26 i 27 odcinku naszego podcastu “Na Podsłuchu”, gdzie rozmawialiśmy z prawnikiem Michałem Kluską, ekspertem od ochrony danych osobowych, który niejedną kontrolę UODO przeszedł. Warto posłuchać tego odcinka.

Za co ta kara konkretnie?

Nie wiemy jeszcze za co dokładnie UODO postanowiło ukarać Morele.net, bo uzasadnienie decyzji będzie ujawnione dopiero o 11:00 dzisiaj. Oczywiście zaktualizujemy ten artykuł o nowe informacje.

Czy Morele mogło zrobić coś, aby kara była mniejsza?

Co jeszcze, poza współpracą z policją i informowaniem klientów lepiej mogło zrobić Morele.net? Czy w ocenie UODO firma poinformowała Urząd lub klientów zbyt późno? Nie w pełni? A może brak wymuszonego resetu haseł dołożył PLN-ów do kary?

Te pytania będzie w najbliższych dniach zadawał sobie każdy komentujący tę sprawę. Ale niezależnie od nich, już teraz można się zastanowić, czy tak wysoka kara (niezależnie od wysokości obrotu firmy), to nie jest przypadkiem zachęta by w podobnych sytuacjach (okradli nas i szantażują) rozważać zawsze patologiczny wybór — opłacić szantażystę.

Przypomnijmy, że włamywacz domagał się 500 000 PLN czyli prawie 6 razy mniej niż wynosi kara. Nie ma oczywiście pewności, że za tydzień nie przyszedł by po więcej — bo firma nigdy nie ma gwarancji, że dane przez złodzieja zostaną faktycznie skasowane i nie wypłyną za jakiś czas. Ale czy opłata okupu powstrzymała by karę — przecież kiedy rozpoczęły się negocjacje było już po pierwszych atakach, dość mocno wskazujących na to, że dane jednak z Morele.net wyciekły. UODO pewnie i tak zastukałoby z kontrolą…

Może w końcu niektórzy poważnie podejdą do bezpieczeństwa i zapobiegania atakom

Czy taka kara zachęci “rynek” do przyjrzenia się swojemu bezpieczeństwu? Mamy nadzieję! Z kolei wedle oświadczenia Macieja Kaweckiego, z kancelarii prawniczej, która obsługuje Morele, firma już “wydała miliony” na “usługi bezpieczeństwa i testy penetracyjne“. Nie wiemy jednak czy przed, czy po incydencie.

O bezpieczeństwo zawsze warto dbać. Może teraz działy IT będą miały argument dla zarządu, że czasem lepiej jednak wydać te kilkadziesiąt tysięcy PLN na testy penetracyjne, niż potem płacić miliony kary

W tak wysokiej karze biznes mogą też zwęszyć złośliwi konkurenci. Niektórych pewnie kusi by wynająć jakiegoś domorosłego hakera, aby przeprowadził nieautoryzowany test penetracyjny konkurencyjnej spółki i opublikował pozyskane (czyt. wykradzione) dane w internecie, co być może skupi uwagę UODO i sprawi, że konkurencja dostanie wielomilionową karą.

Z naszego wieloletniego doświadczenia w realizowaniu testów bezpieczeństwa dla polskich i zagranicznych spółek wynika, że każdy test penetracyjny w rozwijającej się i rosnącej spółce kończy się wykryciem jakichś błędów. Są problemy ze źle zaprojektowanymi procesami, rotacją pracowników, przekazywaniem wiedzy, szkoleniami i chronicznym brakiem czasu. To przepis na katastrofę. A u klientów, którzy nigdy nie wykonywali testów penetracyjnych, jak wynika z naszych obserwacji, zawsze znajdujemy zdecydowanie więcej i bardziej krytycznych błędów.

Mam biznes i trzymam dane klientów — co robić, jak żyć?

Zapobiegaj wyciekom i kradzieżom danych. Wykonuj regularnie testy penetracyjne (zapraszamy na bezpłatne konsultacje i wycenę do naszego zespołu bezpieczeństwa). Czasem warto wydać kilkanaście — kilkadziesiąt tysięcy złotych, żeby móc spać spokojniej i posiadać argument, że zrobiło się wszystko, co mogło się zrobić, aby ochronić dane swoich klientów.

Kupuję w internecie — co robić, jak żyć?

Twoje dane prędzej czy później wyciekną. Jeśli jeszcze nie wyciekły z Morele, to wyciekną z innego serwisu. Przygotuj się na to psychicznie. Nie masz na to wielkiego wpływu poza tym, co przekazujesz serwisom i firmom, z usług których korzystasz. Podawaj jak najmniej danych, jeśli to tylko możliwe. Pamiętaj, że jak wykradana jest baza, to zazwyczaj ze wszystkim co wpiszesz w formularzu. Rozważ kłamstwo (jeśli etyka Ci na to pozwala).

To w skrócie, bo odpowiedź na pytanie “Jak nie dać się zhackować?” i co zrobić, aby cyberprzestępcy nie wykradli moich danych? to temat na 3 godzinny wykład. I dokładnie z takimi wykładami ruszamy w Polskę po raz trzeci. Do tej pory przeprowadziliśmy 28 edycji tego wykładu i odwiedziliśmy kilkanaście miast, szkoląc z cyberbezpieczeństwa kilkanaście tysięcy Polaków. To największy tego typu projekt edukacyjny w Polsce, a w dzisiejszym świecie, tę wiedzę powinien mieć każdy, kto korzysta z internetu. Dlatego, jeśli Twoje dane i dane Twoich bliskich są dla Ciebie istotne — to zapraszamy Cię na najbliższe edycje wykładu (zwłaszcza, że jeszcze trwa przedsprzedaż biletów i można je nabyć w niższej cenie):


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Więcej na temat tego co będzie na wykładzie dowiesz się stąd, a rezerwacji miejsca na wybranym terminie możesz dokonać klikając tutaj.


Aktualizacja 19.09.2019, 11:07
Już zaczął się briefing prasowy, ale nie ma z niego jeszcze żadnych “relacji” ani transmisji. Natomiast Morele.net przesłało nam oświadczenie, które odwołuje się do uzasadnienia decyzji UODO, więc wiemy już za co urząd spółkę ukarał. Oto pełna treść oświadczenia Morele.net (wytłuszczenia nasze):

kiedy w 2018 roku padliśmy ofiarą cyberprzestępcy, który w nieuprawniony sposób uzyskał dostęp do bazy danych Klientów sklepu morele.net, niezwłocznie zaangażowaliśmy strategiczne zasoby firmy we współpracę z odpowiednimi służbami. Incydent został zgłoszony na Policję oraz zgodnie z wytycznymi ustawodawcy przekazany do Urzędu Ochrony Danych Osobowych.

W dniu 15 września otrzymaliśmy drogą pocztową decyzję Urzędu z datą 10 września o zastosowaniu w stosunku do naszej spółki kary pieniężnej o wysokości 2 830 410 zł. Urząd wskazuje w uzasadnieniu na niewypełnienia “obowiązku wynikającego z art. 32 ust. 1 i 2 rozporządzenia 2016/679 polegającego na dobrze skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelnienia” oraz naruszenie zasad zgodności z prawem, rzetelności i rozliczalności przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych (dotyczy danych osobowych 35 tysięcy osób).

Jak zostało przedstawione w decyzji, w toku zaistniałych wydarzeń spółka morele.net reagowała bez zbędnej zwłoki, zarówno pod kątem informacyjnym, prawnym oraz w zakresie wprowadzanych środków technicznych. Od samego początku podjęta została współpraca z Policją oraz Urzędem Ochrony Danych Osobowych. W momencie potwierdzenia ryzyka, że nieuprawniony dostęp mógł dotyczyć nie tylko osób, do których został wysłany SMS ale także całej bazy – poinformowano o tym fakcie wszystkich Klientów. Obok informacji zamieszczonej na stronie internetowej morele.net, przygotowany został dedykowany mailing do całej bazy Klientów, a także uruchomiono dodatkowe kanały i zwiększono zasoby do Obsługi Klientów w wymiarze 24/7. W ramach wdrożonej komunikacji przygotowany został także szereg rekomendacji i sugerowanych działań dla Klientów, których implementacja pozwalałaby na zminimalizowanie ewentualnych, negatywnych skutków nieuprawnionego dostępu.

Podjęliśmy również szereg działań systemowych i procesowych pozwalających na wzmocnienie i poprawę zabezpieczeń naszej infrastruktury. Część zmian, które możemy wymienić, to: dwustopniowa weryfikacja przy zmianie adresu e-mail i numeru telefonu przypisanych do konta użytkownika, zmiana sposobu hashowania oraz hashowanie większego zbioru danych, rozbudowa monitoringu systemów wewnętrznych czy dodatkowa weryfikacja antybotowa a także umożliwienie zakupów bez rejestracji. We współpracy z zewnętrznymi specjalistami ds. bezpieczeństwa od dziewięciu miesięcy realizujemy szereg audytów, testów penetracyjnych oraz projektów zwiększających poziom zabezpieczeń. Działania te są wyrazem ogromnej wagi jaką przykładamy do kwestii bezpieczeństwa danych naszych Klientów.

W naszej opinii ocena Urzędu o jedynie częściowym zapewnieniu odpowiednich środków zabezpieczenia technicznego przetwarzania danych oraz naruszeniu zasad przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych powinna zostać zweryfikowana przez niezależnych biegłych. Środki stosowane przez spółkę, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały. Nasz wniosek złożony w ramach postępowania Urzędu o powołanie niezależnego biegłego w celu oceny posiadanych zabezpieczeń został przez Urząd odrzucony. Uważamy również, że wnioski z raportu pokontrolnego będącego podstawą decyzji Urzędu powinny zostać zweryfikowane a fakty ponownie rozpatrzone. W związku z powyższym, w ramach przysługujących nam środków i możliwości, będziemy odwoływać się od decyzji Urzędu Ochrony Danych Osobowych do właściwych organów. Mamy nadzieję na korzystne rozstrzygnięcie, co potwierdzają już pierwsze opinie specjalistów:

Przede wszystkim piszemy do Państwa aby skierować uwagę mediów, opinii publicznej a zwłaszcza urzędów i organów państwowych w stronę zagadnienia, które często umyka uwadze w wypadku takich sytuacji, a w naszym odczuciu powinno być nieodłączną częścią dyskusji, czyli problemu skutecznego przeciwdziałania cyberprzestępczości. Skala zagrożeń cyberprzestępczością jest ogromna i z roku na rok rośnie. Sankcje dla przedsiębiorstw za naruszenia w zakresie ochrony danych osobowych są potrzebne (zwłaszcza, jeśli jest to świadome naruszenie lub oczywiste zaniechanie). Nie może być to jednak jedyny mechanizm prewencyjny. Uważamy, że istotnym elementem dla zapewnienia bezpiecznego internetu są skuteczne działania organów ścigania. Sytuacja, w której zaatakowany podmiot w wypadku pełnej i transparentnej współpracy z organami państwowymi musi się liczyć z widmem kary, przy jednoczesnym braku konsekwencji prawnych dla przestępców, prowadzić może do zniechęcenia tychże podmiotów do współpracy z organami Państwa i – w efekcie – do dalszego zwiększania skali problemu cyberprzestępczości, zwłaszcza w wypadku szantażu przedsiębiorstw.

Wierzymy, że ostatnie wydarzenia oraz ich medialność pozwolą na zwiększenie świadomości bezpieczeństwa w sieci, a wprowadzone przez nas działania i rozwiązania pozwolą innym minimalizować tego typu ataki oraz ich negatywne konsekwencje. Naszą intencją jest nadanie odpowiedniej wagi problemowi i wsparcie inicjatyw mających na celu poprawę bezpieczeństwa w internecie.

Przytoczmy przepisy, które wg UODO naruszyło Morele.net:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.


Aktualizacja 19.09.2019, 12:48
UODO opublikowało decyzję. W materiale prasowym czytamy (wytłuszczenia nasze):

Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.

Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce,
jak np. tzw. kradzież tożsamości.

W większości były to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

W decyzji nakładającej karę Prezes UODO uznał, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Organ uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu.

W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych
z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary
. Przy ustalaniu jej wysokości Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.

Z decyzji dowiadujemy się, że kara byłaby większa, gdyby nie dobra współpraca Morele z UODO i że wyciek danych był szerszy niż informowaliśmy — w przypadku niektórych osób było to:

PESEL, seria i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

Ale — na szczęśćie — te dane nie są dostępne w krążącej po internecie bazie. Podobnie jak i adresy doręczeń o których też wspomina UODO.

Podsumowując, niech ten kto wszystko szyfruje i pseudoanonimizuje w swoich bazach oraz ma sprawnie działający monitoring anomalii sieciowych i dopracowane plany reakcji na incydent, pierwszy rzuci kamieniem. A jeśli wystawia niezabezpieczone interfejsy bazodanowe do internetu (z “brakami na poziomie kontroli dostępu i uwierzytelnienia”), niech rzuci sobie w czoło.

Przeczytaj także:

114 komentarzy

Dodaj komentarz
  1. Coś czuję, że mogą nie zapłacić ( ͡° ͜ʖ ͡°)
    Morele.net Sp. z o.o.
    […]
    Wysokość kapitału zakładowego: 847 200 PLN

    • Zapłacą. Dodatkowo z kieszeni pracowników i współpracowników (testerów na YT). I na tym się nie skończy. W sieci jest jedna strona gdzie ludzie zbierają się na pozew zbiorowy o zadośćuczynienie. Bo co tylko UODO ma hajs dostać? A pokrzywdzeni klienci na których jakieś fagasy co dorwały ich dane osobowe pobrały kredyty? Byndzie cyrk xD A z własnego doświadczenia wiem, że zwykle obrywa się pospolitym pracownikom i współpracownikom. Pracowałem w firmie gdzie kiedyś robili mega przekręty, że przez nich ludzie tracili nawet domy bo im komornik zajmował. Na szczęście ja w czas zrezygnowałem sam jak zorientowałem się w jakim goownie siedzę i, że mogą potem mnie potraktować szefowie firmy przez woje nieudolne działanie jako kozła ofiarnego. Po prostu miałem czuja, że coś się grubego szykuje i coś yebnie! Koledzy i koleżanki co zostali w tej firmie po dziś dzień ciągani są po sądach. A mówiłem im “spier… z tej firmy bo ktoś tu beknie co tu się wyprawia i będzie kryminał”. Ale nie ja sobie wg. ich wymyslam i nic mi nie grozi. Tiaaa… Ja mam spokój bo miałem dosyć tego bagna a oni prawdopodobnie pójdą siedzieć bo szefostwo umywa ręce a zwala na pracowników aktualnie tam pracujących.

    • xyz -> A kotek siedzi i zawija w sreberka.
      Pracownicy nie są odpowiedzialni za długi firmy, chyba, że są wspólnikami.
      Mogą być też odpowiedzialni prawnie i cywilnie jak osobiście coś zmalują, ale wtedy odejście z firmy nic nie zmienia.

      Dziecko idź spać :P

    • Co niby ma wspólnego kapitał zakładowy z bieżącą kondycją finansową spółki? Absolutnie nic.

  2. Następnym razem zapłacić szantażyście … uodo tylko wciągnie kasę i nic więcej z tego nie będzie, morele to spółka i wystarczająco się nauczyła po takim incydencie. Rodo to gniot i niewiele zmienia

    • Właśnie. Dlaczego UODO dostanie kasę? Im w to graj. Dla nich to najlepiej jakby dane userow wyciekły ze wszystkich podobnych firm.
      Niech zarządza zadośćuczynienie dla poszkodowanych a nie dla siebie tylko kasę będą brać. Co się stanie z tymi pieniędzmi jeśli jakimś cudem Morele zapłaci. Ktoś z UODO kupi sobie nową posiadłość?

    • Otóż zmienia bardzo wiele, do tej pory firmy gromadziły sobie dane jak leci, teraz może dwa razy się zastanowią czy prosić o ten adres zamieszkania, który w sumie nie jest im do niczego potrzebny, a może kiedyś wyciec i będzie większy przypał.

    • “włamywacz domagał kwoty 500 000 PLN.” – no to już przynajmniej wiadomo, że lepiej i taniej jest zapłacić okup, nawet gdyby było to 2 mln.

  3. Teraz to oczywiście oni tacy czyści i pachnący… ehh… żenada.. a kara powinna być wyższa.

    • Wspomnial Ci ten wyzej ze i tak nie mieliby z czego zaplacic ;P

    • Ludzie nie powinni karać siebie w kraju w którym nikt nie może żyć jak by chciał, w którym zmusza się do oszczędzania na wszystkim, w którym na pewne rzeczy ciebie nie stać itd… A tak po za tym, jeśli już to te pieniądze nie powinny być tak duże, a takie by wykupić dla całej firmy kurs z bezpieczeństwa, np. tu na Niebezpieczniku, + pieniądze na zabezpieczenie firmowej infrastruktury, no i jakieś pieniądze na testy… + jakaś kwota dla UODO za to, że coś takiego by zostało wykonane. Każdy powinien uczciwie zarabiać, ale nikogo nie powinno się karać.

      ***Oczywiście nie odpowiadam na treść poprzedniego komentarza, tylko myślę, że poruszam istotę sprawy dot. tej planety i chciałem by ten wpis był gdzieś na początku. Oczywiście pozdrawiam właściciela komentarza, pod który się podpinam, dziękując za wolne miejsce!

  4. No i co mi z tych 3 milionów, skoro żaden z poszkodowanych nic z tego nie dostanie, a dotychczas czyste od spamu firmowe konta mailowe dostają dziennie po kilkanaście ofert “pieprzenia, super latarki LED, siatki na rynnę” i innych gówien?

  5. W aktualizacji 19.09.2019, 11:07 link do Linkedina pod “opinie specjalistów” kieruje do 404.

  6. Da sie jakoś ten spam zablokować? super latarki LED itd, rozwaliło mi całkiem moja skrzynkę email którą czesto uzywam

    • Niestety pozostaje zmiana adresu. Mój mail też wyciekł, ale był to jedynie alias wyłącznie dla moreli, który wystarczyło zmienić. Niedawno patrzyłem statystycznie na zawartość HELO/EHLO, adresy IP odrzuconych maili, i niestety wygląda to na botnet, rozsyłanie ze skompromitowanych routerów itp. Powtarzalność adresów znikoma, za to większość należy do 3-4 podsieci różnych operatorów.

    • To ciekawe co piszecie, bo na nasze adresy e-mail, które były w bazie morele jakoś spam nie przychodzi… Jesteście pewni, że akurat z tego wycieku ktoś pozyskał Wasz e-mail?

    • Jeszcze ciekawsze jest to, że ja dostaję taki spam na maila, którym się nigdy w Morelach nie rejestrowałem.

    • Aliasu używałem tylko w Morelach, ale wykluczyć nie mogę, że to skutek kolejnego wycieku, tym razem od xArm :) To mój prywatny serwer pocztowy.
      Spam zaczął przychodzić 2 sierpnia, na szybko patrząc po wykresie, to aktywność osłabła w okolicach 15 sierpnia, i potem codziennie rosła, obecnie to około 40 prób wysyłki na dobę. Zdecydowana większość na główny serwer SMTP (77%), ale próbują też po relayach (23%). Rozkład w ciągu doby jest nawet równomierny, najwięcej spływa w godzinach 12-16 CEST, ale jest to niewielka różnica względem godzin nocnych.

    • Do mnie też wpada ten spam.
      Zauważyłem że wszystkie nagłówki mają wpisane X-Report-Abuse.
      Dodałem /^X-Report-Abuse:.\s*<http:\/\/\w+\.\w+\/aa\.php\?a=/ REJECT do headers_access i wszystkie są blokowane.

    • @Piotr Konieczny

      Przychylam się do zdania, że ten spam przychodzi na adresy niepochodzące z tego wycieku.

    • Tak, da się pozbyć spamu, ale wymaga to trochę pracy i cierpliwości.
      Trzeba założyć konto na hxxps://www.spamcop.net/ i sukcesywnie zgłaszać każdy spam – header+body. Spamerzy mogą walczyć 3 miesiące albo pół roku, ale w końcu taki niedobry email trafia do ich baz i wyłączają go z list wysyłkowych. Okazuje się, że też są niegłupi tylko trzeba im pomóc w podjęciu decyzji :)

    • @Piotr Konieczny u mnie to samo. Też wielokrotnie robiłem zakupy na Morelach i jakoś spamu nie widzę, nikt do mnie nie dzwoni.
      Dziwne :P

    • Ja dostałem kilka razy smishing (SMS) kierowany imiennie do mnie – to zapewne było z bazy Moreli. Ostatnio też pod moje okno przychodzą żule, ale chyba to już nie z wycieku…

    • Piotr Konieczny: Tak, patrząc do logów to na adres podany wyłącznie morelom w ciągu ostatnich 30 dni próbowało przyjść 720 wiadomości. (w tym duża część odrzucana już na poziomie SBL spamhausa)

    • @Piotr Konieczny i wszyscy zainteresowani:
      zerknijcie na Pressroom Morele, w szczególności na komentarze pod tekstem, a raczej na to, co zostało po “posprzątaniu” przez ten owocowy sklep:

      https://www.morele.net/wiadomosc/komunikat-grupy-morele/14190/

  7. Z przedostatnim akapitem oświadczenia trudno się nie zgodzić. Co z tego, że moja firma będzie w pełni współpracować, gdy w efekcie otrzyma karę? Mnóstwo firm zacznie w tym momencie ukrywać naruszenia RODO, ze strachu przed karą.

    Co do samego Morele, to kara kilkukrotnie większa od zysku może w efekcie zmarnować środki, które powinni przeznaczyć na bezpieczeństwo.

    • Skoro UODO ma też funkcję doradczą to 30% kary powinno w formie “udokumentowanych zabezpieczeń” wrócić do firmy, z zapisem co mają zmienić i jak mają od tej pory działać żeby drugi raz ich to nie spotkało.

    • Jestem za zeby czesc kary byla przeznaczona na pokrycie ulepszenia bezpieczenstwa.
      Ale to musi byc uzaleznione od ceny tego zabezpieczenia.

    • Naprawdę wierzysz, że firma z 700mln obrotu przynosi 700k zysku? Przecież to jest kreatywna księgowość, zysku się nie wykazuje tylko wyprowadza przez zaprzyjaźnione firmy. Wykazywanie faktycznego zysku oznaczałoby konieczność zapłacenia podatku. Zysk jest tylko po to, żeby się nikt nie przyczepił, bo strata w spółce z takim obrotem oznacza kontrolę US.

  8. No niestety, ale nawet z oświadczenia Moreli wynika, iż gruntowne testy i zmiany zaczęto robić już po rozlaniu się mleka, więc nie bardzo rozumiem to odwołanie i żądanie niezależnego biegłego.
    A skoro i tak wszędzie można się prędzej czy później włamać to UODO nie ma nic robić i żadnych kar nie stosować?
    Argumentacja kierowcy złapanego na przejeżdżaniu na czerwonym, typu “ale inni też tak jeżdżą”, zawsze jest słaba i mandatu przecież nie anuluje.

  9. Stroną w całej tej sprawie jest przecież jeszcze ten cały włamywacz. Moim zdaniem nie powinno się nakładać kary jeśli przestępca jeszcze nie został zatrzymany. Zakładam, że polska policja nawet nie wie jak się za to skutecznie zabrać. On powinien popłynąć po całości bo to on upublicznił te dane. W ogóle czemu uodo prawie rok zwlekało z decyzją? Czyżby chcieli się pokazać z dobrej strony przed samymi wyborami, że potrafią wysokie kary wlepiać i przypisać sobie “jakiś sukces”?

  10. Smutne jest to, że jeśli wierzyć pogłoskom, ktoś zrzucił sobie od tak bazę 2,2 miliona klientów. Myślę że skoro nikt nie publikuje szczegółów włamania, to pewnie nie ma czym się chwalić i faktycznie ktoś nie ustawił mocnego hasła do pma.

  11. Klasyczne zastraszanie i penalizowanie prywaciarzy. Teraz każdy pomyśli 50 razy nim wpadnie na pomysł otworzenia jakiegoś sklepiku w internecie czy innego interesu. Internet tylko dla gigantów z armią prawników. Do każdego systemu można się włamać a wygląda na to że zabezpieczenia morele były lepsze niż 85% podobnych serwisów.

    • @zxvzxcv

      Niestety, myślę podobnie, potrzebna instytucja, jaką jest UODO, nie zachowuje się bezstronnie.

    • @stukot Taka instytucja nie jest do niczego potrzebna.
      Chodzi tylko o synekury.

  12. 2.8 mln, a wyciekły dane 2.5mln klientów. Śmiech na sali, w stanach skandalem było jak Equifax zapłacił 4$ za rekord, a u nas 1.12zł to jest wielka kara xD

    • W stanach każdy wycieknięty rekord to twarde dane finansowe osoby, jego SSN itp.

      Tutaj było 2.2 miliona loginów/haseł/maili/adresów + 35,000 osób z danymi finansowymi i numerami dowodu.

  13. Za dużo? Raczej zdecydowanie wystarczająco, mówimy o jednym z największych włamów w historii polskiego e-commerce, oraz o firmie która w 2016 roku miala przychód ponad pół MILIARDA złotych.
    Kary finansowe powinny być określane procentowo od dochodu spółki, pamiętam jak Amazon (czyli gigant którego CEO jest najbogatszym człowiekiem świata) dostał najwyższą dopuszczalną w polskim kodeksie karę za łamanie praw pracowniczych w wysokości…. 1000 zł. To jest żart po prostu.

    • W którym miejscu jest informacja o pół miliarda złotych?

    • Sorry, myślałem, że pisałeś o zysku…

    • No to się zdecyduj, przychód czy dochód?

    • @x

      Ale Ty odróżniasz przychód od dochodu?

      Łopatologicznie i w uproszczeniu, bo ostatnio przydużo osób tego nie chwyta:

      Jasio kupił 100 kg kartofli po 2 złote. Sprzedał je po 2,20 zł. Ile zostało mu w kieszeni? 20 zł, c’nie?

      Teraz nazwy:
      koszt = 200 zł
      przychód = 220 zł
      dochód = 20 zł

      Oczywiście w praktyce dochodzą kolejne koszty w postaci podatku, ubezpieczenia, transportu, opłacenia pracowników.

    • Rynek handlu charakteryzuje się niskim dochodem w stosunku do przychodu.
      Tym bardziej w e-commerce, gdzie marże są naprawdę niskie, 5-10% zysku ze sprzedaży to jest bardzo dobry wynik.

  14. Pracowałem wtedy na infolinii morele i jakaś obsługa klienta 24/7 nie miała miejsca XDDD standardowo pracowaliśmy 8-21 a o weekendach nikt nie myślał nawet, jak zwykle morekla się miesza w zeznaniach.

  15. No to się sami zaorali Janusze biznesu. Ciekawe ile jeszcze takich firm hula w Polsce?

  16. Czytając całą historię, moim zdaniem sam nałożenie kary jest zasłużone. Innymi słowy, zgadzam się ze stwierdzeniem “zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka”.

    Natomiast wysokość kary wydaje się za duża. Nie wiem ile powinna wynosić, pewnie mniej.

  17. Skoro doszło do włamania to znaczy, że zabezpieczenia były niewystarczające a więc kara się należy.
    Proponuję to rozszerzyć na wszelkie włamania i inne przestępstwa:
    – włamali ci się do domu – więc dom był słabo zabezpieczony – płacisz karę
    – ukradli ci samochód – płacisz karę
    – pobili cię – płacisz karę
    Budżet państwa zyska a i liczba (zgłoszonych) przestępstw z pewnością zmaleje.

    Czy jeśli złapią włamywacza to zostanie on obciążony kosztami tej kary?

    • Masz firmę która przechowuje klucze do mieszkań innych ludzi, każdy ładnie powieszony z karteczką z adresem. Zobowiązałeś się do pilnowania, a zostawiasz drzwi otwarte i ktoś wynosi te klucze.

    • krf no właśnie. I ktoś te klucze ukradł i obrobil co mieszkanie (tylko w tym przypadku ciężko będzie udowodnić że ktoś cię obrobil bo miał twojego maila z moreli, a nie z innego wycieku). Więc teraz państwo przychodzi i bierze swoją nagrodę za to zdarzenie. Firma podnosi ceny bo stała się właśnie mało rentowna, więc konkurencja też może sobie na to pozwolić.
      W efekcie państwo dostało nagrodę. Złodziej dostał nagrodę. Konkurencja może działać swobodniej. A ty będziesz więcej płacił za tą samą usługę.

      Oczywiście wizja wysokiej kary ma zniechęcać do nierzetelnego działania. Tylko czy skoro nawet przy dobrej współpracy można dostać solidnie w tyłek i nikt nie jest w stanie powiedzieć – róbcie tak to będzie dobrze. – to czy firmy będą dążyć do transparentnosci czy maksymalnego zacierania śladów w ramach prawa (tzn. zamiast na zabezpieczenia kasa będzie szła na prawników którzy zapewnią że co prawda system bezpieczny nie jest ale wszystkie atesty i dupochrony ma)?

  18. No faktycznie, admin morele wogóle się nie połapał jak skoczył transfer przy zgrywaniu 2mln kont xD Przeciez to zenada jak nic.

    Ktos chetny na pozew zbiorowy?

    • Problem jest w zabezpieczeniach.
      Załóż sobie własny serwer, zobaczysz ze zbyt wielu zabezpieczeń w zaporze nie masz.
      Musisz sam stworzyć.
      W tym co piszesz można by zrobić regule wykrywająca wyrażenia regularne ważniejszych plików serwera lub niektórych danych. Na ilość nie ma co patrzeć, bo może wyciekać kawałkami. Aczkolwiek warto także sobie taki alert ustawić.
      A co do tego “wydarzenia” to dalej nie znamy szczegółów.

    • Jeszcze Ci coś napisze. Pracuje nad własna zapora internetowa.
      Możliwości skanowania IP jest na tyle, ze nie jestem wstanie wyłapać wszystkich rodzajów skanów. Pierwszy problem widzę w protokole, ze jest tyle możliwości na to by odpowiedział.
      Drugi problem widzę w iptables (a jest to chyba najlepsza znana zapora), chodzi mi ze nie jestem wyłapać jednocześnie pojedynczych i kilku flag z jednej reguły. A jak wymienię wszystkie możliwości to odetnę siebie od internetu. Mogę się w czymś mylić, ale fakt faktem nie potrafię złapać wszystkich rodzajów skanowań. Już nie wspominając ze to strasznie spowalnia serwer.

    • @gość: To że nie jest łatwe (zwłaszcza dla byle ladmina) to zabezpieczyć i analizować nie oznacza,że się nie da. Na chackerów takich jak (bo to prawdopodobnie ten poziom) xArm którzy robią wokół siebie szum na wykopie i z streamerami by wystarczyło. Pewnie,że nie trzeba pobierać całej bazy.Ale zrzucenie jej powoli i w sposób niezauważalny to już by wymagało trochę więcej wiedzy i umiejętności… No i pewnie jaj ze stali. Nie no,może nie jestem za dobry nadal w IT i security,ale postawił bym zgrzewkę piwa,że te wszystkie dane pobrane zostały dość szybko.Bo po co w popularnym sklepie internetowym honeypot ?
      A jeśli honeypota nie ma,to jak jest jakaś idiotyczna dziura/ich zestaw to ladmin/zestaw ladminów i tak nie sprawdza dobrze logów. Atakujący nawet nie przeprowadzał mojego rozumowania tak było oczywiste.

  19. A ja mam maluczką sprawę z UODO/RODO:

    1. Zmieniłem adresy, telefony w jednej klinice (dane medyczne czyli nieco więcej niż dane osobowe)
    2. 2 miesiące później prawnicy tej kliniki wysyłają mi pisma na stary adres, który teoretycznie powinien być wymazany ze wszystkich ich baz

    Czy powinienem pisać skargę? czy UODO coś z tym zrobi, czy machnie ręką?

  20. A co zrobiła policja w tej sprawie? Niech zgadnę: nic?

  21. Cała nadzieja (i “zysk” poszkodowanych) w tym, że reszta takich Januszy teraz zacznie się zastanawiać:
    a) czy dostatecznie pilnuje trzymanych przez siebie danych
    b) czy aby na pewno musi te dane trzymać (vide skasowani userzy, wnioski kredytowe, które przecież szybko się dezaktualizują, więc klient na potrzeby nowego i tak będzie musiał podać nowe dane, itd)
    Do tej pory każdy odpalał sobie bazkę na defaultowych ustawieniach i hasłach i zbierał wszystko co się da, bo “przydasie”.

  22. Na gowork ktoś pisał, że przyczyna i okoliczności wycieku są znane. Niespójne te informacje.

    • Z wspomnianego wpisu (chyba dobry znalazłem) wynika, że przyczyna to słabe, niezmieniane hasło do jakiegoś systemu (bo chyba nie bazy). Czyli jak to ktoś wyżej napisał – rzeczywiście nie ma się czym chwalić.

  23. Szkoda że wśród obietnic wyborczych nie ma wzmianki o zapewnieniu przez państwo jakiejś systemowej ochrony przez wyłudzaniem kredytów na dane obywateli, które wyciekają tu i tam.

    • Nie przejmuj się. Będzie za to wiele pięknych pomników i nowych stanowisk dla swoich.

    • +1
      Daj +1 jeśli popierasz pomysł ” systemowej ochrony przez wyłudzaniem kredytów ”

      Ja jestem już zabezpieczony, ale mogę dostać teoretycznie kare za nieaktualne dokumenty.

  24. Teraz będzie wietrzenie magazynów i baz danych

  25. Wg mnie prawidłowo, że się odwołują, skoro jest taka możliwość.
    Jeśli zaakceptować jako standard, że urząd nakłada wysoką karę na podstawie pojedynczej opinii biegłego, to w ten sposób będzie można u*** każdego.

    I ten tego, wiecie… ja już mam swoje lata i dziwne poczucie deja vu.

  26. Niestety taka kara ma dwa efekty. Wychowawczy – niektórzy właściciele małych sklepów zaczną się zastanawiać nad przechowywaniem pobranych danych i zabezpieczeniami oraz niewychowawczy – najwięksi zaczną płacić przestępcom, żeby nie przepłacać czterokrotnie.
    Według mnie pierwsza kara powinna stanowić połowę tego co chcieli przestępcy. Dopiero ewentualna druga kara powinna zmierzać do likwidacji e-geszeftu.

  27. Polskie urzędy są nadzwyczaj srogie względem polskich firm i niezwykle wyrozumiałe względem zagranicznych działających w Polsce…

  28. “przychód firmy to ponad 700 milionów PLN (ale zysk to juz tylko 741 000)” – trzeba przyznać że mają chłopaki łeb do interesów. Większą kasę można spokojnie zrobić na zbijaniu palet.

    • Udziałowcem większościowym jest zagraniczny fundusz, który zrobi wszystko aby w Polsce zapłacić jak najmniejszy podatek dochodowy. Funduszowi nie zależy na zysku, lecz na wzroscie wartości firmy (na 100% sprzeda niedługo udziały w morele innemu funduszowi z dużą przebitką). Tak że szacun dla głownego księgowego morele za takie zbicie zysku w sprawozdaniu :-).

  29. Dlaczego nie wezmą 3 mln z tego złodzieja co się włamał? przecież to on rozpowszechnił te dane do czego się sam przyznał.

    • i ty myślisz że kontaktował się z domowego internetu, i może jeszcze podał swoje dane, coby przelew na pewno doszedł? Każdy średnio rozgarnięty człowiek który miał styczność z IT (i pewnie wielu innych) w godzinę ogarną taki sposób komunikacji, że połączona policja wszystkich krajów go nie znajdzie – bo jak się dokopią za rok do logów dwudziestego serwera z kolei to się okaże że dwudziesty pierwszy nie trzyma tak długo logów :)

    • A myślisz że w ogóle spróbowali wystąpić po logi? Pan Thomas w ogóle się nie zabezpieczał a policji nie chciało się go ująć przez dobre sześć lat. Polecam historię: https://niebezpiecznik.pl/post/armaged0n-czyli-tomasz-t-od-6-lat-regularnie-atakujacy-polakow-wreszcie-zostal-aresztowany/

  30. W sprawie ww. komentarzy o spamie “pieprzenia, super latarki LED, siatki na rynnę” zapraszam do kontaktu, wyjaśnię

  31. Po ich wycieku dostaje spam od “hakerów” którzy przejęli dostęp do mojego PC lub maila….. (haveibeenpwned)

  32. Czytam te komentarze i mi się czasy pl.misc.mordplik przypominają :)

  33. W końcu jakaś kara dla tej firmy, doczekać się u nich reklamacji graniczy z cudem. Moja trwała od maja do sierpnia dziecko w sierpniu doczekało się sprawnego prezentu na dzień dziecka. Żenada po prostu, kontakt z biurem klienta również ponieważ za każdym razem jedna i ta sama gadka, firma zapewniała, iż odpisywała na maile pomimo tych zapewnień ja żadnych maili z odpowiedziami na moje pytania nie otrzymałam, przypuszczam, ze gdybym sama codziennie nie dzwoniła to do dzisiaj nie oddali by pieniędzy za wadliwy i uszkodzony fabrycznie towar. Nikomu nie polecam.

  34. Hm… z innej beczki. PESEL znalazł się na liście uzasadniającej wysokość kary. Ciekawe jak moj PESEL jest chroniony u sprzedawcy węgla, któremu musiałem się wyspowiadać by nie zamarznąć w zimie…

  35. I dobrze… Przez nich mam teraz seks spam na mailu i inne gówna non stop… Dobrze, że trafia to w spam :)

  36. Powinni dostać 10mln kary. Tak żeby Janusze biznesu nauczyły się wykładać kasę na IT przed wystąpieniem problemów, które wg nich są bajkami.

  37. Kara oczywiście powinna być, i niech będzie, nawet 50%, ale na litość, nie od przychodu tylko od dochodu! Co za idiota wymyślił taką karę!

  38. Widzę że koncept opresyjnego państwa na niektórych już tak działa że nawet zaczeli umniejszać temu skandalowi jakiemu dopuścił się morele. Nie róbcie z morele biednego poszkodowanego… firma obracająca danymi milionów klientów bierze za to wszelką odpowiedzialność prawną i finansową. A tu doszło do prawdziwej kompromitacji w zabezpieczeniach. 35tys klientów musi zmienić dowody, być może policja prowadzi już setki dochodzeń na wyłudzenia kredytów. To też kosztuje… ale przecież państwo działa za darmo według specjalistów od biznesu.

    Jestem zaskoczony że ludzie na tej stronie bronią morele że tacy biedni okradli ich a Państwo jeszcze ich prześladuje… Chcecie klepania po ramieniu za takie jawne naruszenie waszych danych osobistych przez jednego gościa? To później się nie dziwcie że firmy z obrotem setek milionów skąpią na podstawowych zabezpieczeniach naszych danych bo zakładają że nikt im nic nie zrobi i tak.
    I jak czytam że morele nie stać na 3 miliony bo mają taki mały przychód przecież to mi łeb pęka czy my jako ludzie jesteśmy tacy naiwni czy po prostu nikt nie chce powiedzieć tego na głos bo wszyscy to też robimy…

    • jak państwo chce jakiekolwiek pieniądze to ma ująć hakerów oraz złodziei dotpay i od nich odzyskać. jeśli nie zrobi tego to żadne pieniądze państwu się nie należą

  39. Kara jest gigantyczna, będą ją płacić latami bo nie wierzę że mają oszczędzone gdzieś takie pieniądze. Najgorsze jest to że na tym stracą jeszcze bardziej klienci. Nie życzę nikomu kto ma działalność gospodarczą żeby musiał płacić za RODO. Ja by te pieniądze jeszcze poszły na wzmocnienie zabezpieczeń to rozumiem ale UODO co z nimi zrobi ?? Ci klienci co zostali pokrzywdzeni powiń dostać roczny upust na zakupy jako zadość uczynienie lub bezpłatne dostawy. Łatwo jest oskarżać i pluć a ciekaw jestem jak się noga powinie x-kom to czy ludzie będą tak szczodrzy w osądzaniu. Morele jest swoistym pionierem na rynku polskim jeśli chodzi o taką sprzedaż internetową tak że szacunek dla nich za rozkręcenie interesu na taką skalę.

  40. 1. Do tej pory nie znamy szczegółów ataku więc może nieco ostrożniej z komentarzami “dowalić im 10 milionów” i w drugą stronę “obniżyć karę o 50%”
    2. Kara zbyt wysoka (niewspółmierna do dochodów) – łatwo przewidzieć, co się stanie – UODO nigdy nie dostanie swoich pieniędzy, Morele znikną, a pojawi się firma Morele2.net, która oczywiście nie będzie miała z pierwszą wersją nic wspólnego…
    3. Chciałbym wierzyć, że cała afera przyczyni się do uszczelnienia zabezpieczeń i już nigdy nic nie wycieknie. Ale jakoś nie mogę.

  41. Wg mnie kara nie jest duża zważywszy na ilość i wrażliwość danych, które wyciekły. Morele to duży gracz na rynku, a nie mały rodzinny sklepik – to i kara musi być adekwatna (poza tym to tylko jeden cebulion za jedną osobę, której dane wypłynęły). I nie rozumiem o co chodzi, że ta kasa nie trafi do poszkodowanych. To normalne przy “grzywnach”/”karach”. To nie jest “obowiązek naprawienia szkody” (pokrzywdzonym).

  42. Nie bądźmy dziećmi UODO to genialna instytucja do zarabiania kasy tylko czeka aż się komuś noga powinie i nie ma zmiłuj.. i te naiwne tłumaczenia morele, że współpracowali z policją a jak potem to wszystko zabezpieczali.. i co z tego jak informacja wyciekła… kara musi być bo urząd musi z czegoś żyć.. a z drugiej strony to dobrze inni wezmą się za przegląd systemów wiecznie niedoinwestowanych tylko szkoda morele.net bo się już raczej nie pozbiera..

  43. Nie rozumiem dlaczego artykuł jest napisany w tonie broniącym Morele. Sponsorują Was czy jak? ;)

    Oczywistym jest, że Morele nie wywiązało się prawidłowo z obowiązków w zaistniałej sytuacji. Bo to, że dane im wyciekły każdy może zrozumieć. Zdarza się nawet przy dobrze zabezpieczonych danych i dużej frasobliwości pracowników.
    Co jest nie do przyjęcia to SPOSÓB informowania. UDAWANIE, ze tak właściwie nic się nie stało i tylko BYĆ MOŻE wypłynęły właśnie Twoje dane użytkowniku. KŁAMANIE, że problem wynika z “masowości procederu” a nie faktu wycieku KONKRETNYCH danych konkretnych osób.
    Właśnie patrze w maile i widzę jeden od Morele z 25.05.2018 o tytule “Twoje dane są bezpieczne” :D

    Morele miało wtopy już dużo wcześniej i ktoś od bardzo dawna miał dostęp do ich bazy danych albo współpracował z np. niektórymi pracownikami.
    Kiedyś (druga połowa 2017) chciałem kupić produkt, i nie mogłem go znaleźć w żadnym polskim sklepie. Napisałem więc do producenta a ten skierował mnie bezpośrednio do pracownika Morele. Po krótkiej wymianie maili dostałem info, że zamówią mi ten produkt i dostałem linka do zakupu z drobnym rabatem. Produkt kupiłem i otrzymałem bez zastrzeżeń, natomiast kilka dni później dostałem maila wyglądającego jak z Morele (ten sam układ textu, stopki, etc.) z rzekomą fakturą do zamówienia. Szybki rzut oka na załącznik i zdziwienie, że za .pdf jest kolejne rozszerzenie. Zaglądam do źródła a tam w “recived: from” tylko IP. Sprawdzenie w whois podpowiada jakiś rosyjski hosting stron…
    To mógł być przypadek ale… nie sądzę :)

    • Dostałeś spersonalizowanego wirusa i fałszywą fakturę i nie poszedłeś na policje i masz wyrzuty do morele?
      Dostałeś rabat i pomogli Ci i masz jeszcze wyrzuty do morele?

    • PS:
      1. Jeśli dostałeś tylko plik z wirusem bez danych to nie znaczy ze pochodzi on wycieku.
      2. Policja z bez danych nie wiele może wywnioskować, zwłaszcza ze rzad Rosji nas zbyt nie lubi, tylko im interesy w głowie (tak powiedzieli w TV o tych interesach kiedyś)
      3. Jeśli napisałeś do Morele to mogło tylko wystawić ostrzeżenie o atakach, i sprawdzić swoje zabezpieczenia. (tak jak robią banki)
      4. Jedynie formuły wiadomości Morele można się przyczepić, bo dane nigdy i nigdzie nie są bezpieczne.
      5. Jeśli uważasz ze skarga do Morele była przyjęta nie prawidłowo, to
      jeszcze mogłeś poprosić o rozmowę z kierownikiem i go powiadomić.
      Mogłeś tez powiadomić Urząd Ochrony Konkurencji i Konsumentów ze dane mogły wyciec.
      6. Kazdy musi sam indywidualnie przemyśleć.
      Inaczej wygląda kiedy e-mail był znany tylko Morele i jeszcze jakaś dana która nie jest w poczcie. A inaczej gdy nasz e-mail i nasze dane widnieją prawie wszędzie.
      Im więcej unikalnych szczegółów, tym bardziej można zidentyfikować miejsce przecieku
      i bardziej przekonać inna osobę o wycieku.

    • @gosc

      Gosciu – ale o czym Ty do mnie rozmawiasz? ;) Naucz się czytać ze zrozumieniem i pisać poprawnie po polsku.
      Napisałem, że dostałem coś co imitowało fakturę od Morele ale nią zapewne nie było. A dostałem to chwilę po zakupie konkretnej rzeczy, która nie była normalnie dostępna na stronie sklepu. Co oznacza, że ktoś kto mi to wysłał dokładnie wiedział o moim zamówieniu i raczej nie był to przypadek. Nie mam żadnych wyrzutów do Morele a jedynie zasugerowałem, że to jest ich wpadka bo najwyraźniej niewystarczająco dbają o bezpieczeństwo swoich danych, zatrudnianie pracowników, etc.
      Po jakiego wała miałbym iść z tym na policję? Żeby stracić trochę czasu? Ogarnij się.

      Co do tych punktów w następnym komentarzu to nawet nie odpisuję bo brzmi to jak pisane po niezłych grzybach XD

  44. Takiego smsa dostałem miesiąc temu w związku z zakupem na morele.net. dalej jest dziura i kradną dane.

  45. Skoro jesteśmy przy temacie danych osobowych to może redakcja omówi ten skandal

    https://www.bankier.pl/wiadomosc/Warszawa-ma-2-07-mln-mieszkancow-ale-w-weekend-o-prawie-200-tys-mniej-7733055.html

    Gdzie w umowie klienci Orange wyrażają zgodę na to żeby firma śledziła lokalizację geograficzną do celów sprzedawania tej informacji podmiotom zewnętrznym ?
    Klienci chyba tylko wyrażali zgodę na geolokalizację do świadczenia połączeń oraz do realizacji zadań narzuconych prawem.
    A Orange sobie wymyśliło że będzie trakować kto gdzie się przemieszcza po Warszawie i okolicach i że sprzeda to na zewnątrz.

    • Dane statystyczne to nie są dane osobowe. Orange mógł podać liczbę abonentów nawet z podziałem na dzielnice ale nie mógł podać takich danych, które umożliwiłyby warszawskiemu ratuszowi identyfikację konkretnych osób.

    • Czyli jak nie ma w prawie to wolno.
      Ale tak serio Ci to przeszkadza? Przecież nie pisze dokładnie jakie dane przekazano.
      Jeśli Orange pochwali się publicznie ilu użytkowników z ich usług korzysta to tez będzie źle?

    • Może inaczej.
      Ja byłbym zły gdybym był pewny ze moja siec sprzedaje dane pozwalające zlokalizować dana osobę. Oddać danych policji do celów zgodnych z prawem (do ścigania zła) nie mam nic przeciwko.

    • Chyba osoby komentujące pod moim wpisem za szybko przeczytały jego treść.

      Moje pytanie było relatywnie proste tzn. Gdzie w umowie klienci Orange wyrażają zgodę na to żeby firma śledziła lokalizację geograficzną do celów sprzedawania tej informacji podmiotom zewnętrznym ?

      A osoby komentujące w sposób co najmniej dziwny odbiegają od tematu zadając pytania typu “Jeśli Orange pochwali się publicznie ilu użytkowników z ich usług korzysta to tez będzie źle?” To jest inne pytanie i nie przystające do mojego pytania.

    • Jeśli chodzi o sprzedawanie danych to świetnie robi to PLAY. Moja mama otrzymuje od nich faktury elektroniczne, a swego czasu otrzymała pocztą zmyśloną fakturę papierową i wezwanie do zapłaty. Papiery zmyślone, jej dane wraz z adresem prawdziwe. Dziękujemy Ci PLAY. To samo LINK4, ale oni akurat kupują dane klientów z kradzionych źródeł. Raz mi się kończyło OC to zadzwonili do mnie z propozycja przedłużenia umowy i zaczęli śpiewać mi danymi mojego samochodu. Na pytanie skąd maja te informacje pani przez słuchawkę zaczęła mi ściemniać, że musiałem zrobić u nich kalkulację. I pewnie podałem im markę, nr rejestracyjny i VIN, który mi czytała dla potwierdzenia. Sęk w tym, że nie robiłem u nich kalkulacji. Dane wypłynęły najprawdopodobniej z MTU, bo rok wcześniej (i tylko przez rok) nim przerzuciłem się do Liberty Direct miałem u nich ubezpieczenie. W liberty byłem do końca i siedzę dalej w spadku po nich w AXIE i nie miałem dotąd takich telefonów. Wniosek prosty. Omijać PLAY i LINK4 szerokim łukiem, bo obie firmy to przekręty.

  46. Mam pytanie

    Po co podajecie swoje prawdziwe dane przy zakupach w sklepie, które odbieracie i tak osobiście?
    Po co sklepowi imię, nazwisko i w ogóle? I tak idę, dostaję paragon i kuj kogoś obchodzi czy nazywam się Bando Bando czy Kici Koci?

    Nigdy nie podaję prawdziwych danych przy zakupach on-line jeśli odbieram osobiście, a do powiadomień SMS używam aplikacji 2nr.

    Gdyby pilnowali tych danych owszem, podawałbym, a tak – każdy je potem może przeczytać – co kupione, pod jakim adresem. Nic tylko kraść.

    • Mądry polak po szkodzie.
      Ale nie zawsze tak można.
      Najwięcej danych mogło wyciec osób korzystających systemu ratalnego,
      bo tam dane musiały być prawdziwe, czyli 35 tys. osób.
      Przypuszczam, bo dalej nie wiemy ile konkretnie wyciekło i jak.
      Tego pierwszego chyba się nie dowiemy.
      Część z nich to pewnie stare dane i nieaktualne.
      Ale pewnie większa część jest aktualna.
      Moim zdaniem najistotniejszymi danymi które wyciekły są skany dowodów.
      Dowód można wyrobić nowy aby nikt się pod nas nie podszył i nie wykorzystał.
      Można zmienić nr. telefonu i pocztę email aby nas nie nękano spersonalizowanymi wiadomościami. Może czasami nie da się uniknąć ich jeśli podajemy zgody marketingowe.
      Ja generalnie używam dwóch emaili jeden z nich jest bardzo prywatny.
      Ale aliasy to tez dobra rzecz, bo jak przyjdzie spam to wiem skąd.
      Choć nie zawsze jest to możliwe bo czasami liczba jest ich ograniczona.
      Używam tez sortowania, każda zaufana osoba może napisać tylko ze znanego emaila,
      reszta trafia do spamu, który czasem przeglądam.
      Dlatego jeśli ktoś uczciwy chce skorzystać z firm zewnętrznych do reklam, lub chce zmienic email, to niech najpierw pomyśli czy nie uprzedzić użytkowników.
      Drugi mój email jest bardzo popularny i czasem widoczny na portalach.
      Na portalach zazwyczaj podaje się nicki, wiec nie ma tam “wrażliwych danych”.
      Jeśli wszędzie bym podał ten sam adres email to można mnie zidentyfikować.
      Chyba identyfikacja użytkowników chyba bardziej jest cenna dla reżimu lub obcego wywiadu. A dla policji lub dla szantażysty tylko wtedy gdy mamy coś na sumieniu.
      Dlatego warto być uczciwym człowiekiem :D
      Gdyby ktoś chciał totalnej inwigilacji internetu w Polsce to ma problem techniczny,
      bo atakujący może się podszyć pod druga osobę np. falszywym dowodem osobistym, otwartym wi-fi. Ale z drugiej strony w Polsce tez się zamyka winne osoby, dopóki wykaże się ich niewinność. Problemem jest także ze internet nie zna granic państwowych, ani prawa. Jedynie całkowitego firewalla można założyć na niektóre kraje które nie przestrzegają reguł. Wtedy pewnie VPN, proxy by nie pomogło. A każdy kto używa Tora musiałby go używać w sposób uczciwy albo liczyć się z konsekwencjami.
      Sek w tym ze dużo ludzi chce także “wolnego” internetu bez inwigilacji.
      Sek także w tym, ze sprzęt, oprogramowanie którego mamy w domu coraz więcej może nas inwigilować bardziej niż tylko podanie lokalizacji. I już nie pisze tylko o producencie, państwie ale o każdym kto znajdzie lukę. A każdy z nas chciałby trochę prywatności.

  47. Z tego co tu wyczytałem to. Chyba SIEM był wyłaczony. DLP nie było. Baza nie była szyfrowana. Vulnerability Management nie istniał. Nikt nie zrobił BIA. Incident Response what the fuck is that? Nikt nie monitorował Shodan oraz inne serwery aby zerknąć czy coś jest publicznie fostępne. Threat modelling leżał. Nie ma logów na wejściu kto puka i z czym. Face palm :-/ oni nawet nie wiedzą różnicy pomiędzy breach a incident.
    Dlatego tego nie chcę pracować w polskich firmach jako bezpiecznik :-/ nic nie płacą, brak kasy na bezpieczeństwo, użeranie się że jesteś wrzodem na tyłku i paranoikiem. Odpowiedź tego prawnika to już nie mówię!

  48. I co to zmieni?
    Jakieś uodo dostanie kase niewiedomo na co im a nie pokrzywdzeni użytkownicy.
    lepiej jakby tą kase wydali na zabezpieczenia i na informatyków co nie będą sie obrażać i zwalniać z pracy zabierajać ze sobą bazę danych.

  49. A moim zdaniem morele nie powinno dostać ani złotówki kary tak jak podobne firmy. A mianowicie dlatego iż czy producencie aut dostają jakieś kary za to że właścicielowi ukradli auto. Bo idąc tokiem rozumowania każde zabezpieczenie jest za słabe ponieważ każde zabezpieczenie można obejść kwestia umiejętności. Możecie teraz mówić że auto i morele nie to samo ale przeanalizujcie te dwa proste przypadki.

    • Ale zdarzały się tez celowe zabiegi firm.
      Jeśli wyniku oskarżenia zbiorowego i śledztwa sądowego dowiedziono celowych działań / zaniedbań firmy musiały ulec i wypłacić odszkodowanie, nawet poszli na rękę tylko oskarżycielom.
      Przykład znowu o bateriach “….użytkownicy odkryli, że starsze iPhone’y można przyspieszyć po wymianie akumulatora na nowy. W krótkim komentarzu Apple potwierdził, że to prawda.”
      Może coś o bezpieczeństwie?
      Dostęp aut w kilka sekund, czy nie wygląda to na specjalnie zaprojektowanego buga?
      Udowodnić ciężko i wykryć ciężko zwłaszcza jeśli licencja może zabronić grzebania w aucie.
      Żyjemy w “ciekawych czasach”.
      Co może typowy Janusz? Samemu dodatkowo się zabezpieczyć :D

    • No chyba ze byłby jakiś klucz do luki tak jak chciał jeden z prezydentów USA, wtedy lukę można udowodnić xD

    • Akurat producenci są zobligowani do wprowadzenia zabezpieczeń w swoich samochodach. Jeżeli brakuje niektórych elementów wtedy dostają karę. Sytuacja wygląda inaczej jak kupujesz samochód z chin lub innego dziwnego kraju. UE narzuca na producentach niektóre rozwiązania. To się nazywa due care i due dilligance.
      Ubezpieczyciel może odmówić ci wypłatę odszkodowania za ukradzikne auto jeżeli nie wykonałeś due care i due dilligance.

    • Jeśli morele nie usuwało danych swoich klientów na ich WYRAŹNĄ prośbę, a tylko uniemożliwiało im zalogowanie się poprzez magiczne “uniewidzialnienie” profilu, to tym samym z pełną premedytacją złamało prawo i w sposób nielegalny przetwarzało te dane. Kara jak najbardziej zasłużona tym bardziej, że ich dział prawny już na samym początku afery brał pod uwagę położenie firmy (w końcu to tylko spółka z.o.o.) i odpalenie jej pod nowym szyldem w KRSie.

  50. ciekawi mnie czy, w UODO, sieci są zabezpieczane jak w większości serwerowni w gminach i urzędach jakie widziałem :) – PS. Po taniości, serwery na windows 7 home, XP home, routery za 200zł, kopie na prywatnych penach urzędasów (bo się w pracy nie wyrabiają) i stażyści mający dostęp do wszystkiego (bo jest okazja aby ktoś oś za kogoś poukładał)

  51. Ponieważ w trakcie głosowania 13 października będę poza domem, potuptałem do UM by wziąć zaświadczenie o prawie do głosowania. Z niejakim zdumieniem zobaczyłem swój adres zameldowania na tymże zaświadczeniu (poprawność dowodu, zameldowania etc.) mimo, że do głosowania wystarczy sam dowód bez wyszczególnionego już adresu. Wniosek jest jeden. Rodo “gwałcą ” urzędy państwowe i samorządowe. Na pytanie, dlaczego tak jest, uzyskałem odpowiedź, że bez tego zaświadczenie jest nieważne. Coś pięknego i niedrogo.

  52. Morele nadal zamiatają komentarze w Pressroomie, tym razem pod Oświadczeniem Grupy Morele.net w sprawie decyzji UODO. 19 ocen, 0 (ZERO!!!) komentarzy. Amba-fatima, było i ni ma :(

  53. Złapali w ogóle tego xArm-a?

  54. […] Teraz funkcja wyłączająca informacje o aktualizacjach. Nie polecam tego używać, bo nie będzie możliwości aktualizacji z panelu WordPressa. Może są zwolennicy używania tej funkcji, którzy oddają stronę z uprawnieniami admina klientowi i nie chcą żeby on przez aktualizację z WP wysypał stronę. Jak życie pokazuje często takie strony są zaniedbywane na lata.. O ile jest ok to jest ok ale może nie być.. W takiej sytuacji mamy płacz, bo info o aktualizacji nie było, więc klient nawet nie wiedział żeby poprosić kogoś o zrobienie aktualizacji, a np. wtyczka była dziurawa i teraz szaleje wirus na stronie.. A jakby nie daj Boże były dane użytkowników na stronie to w dobie RODO konsekwencje mogą być opłakane. Zobacz np : Kara dla Morele. […]

  55. Prawo do logo, cały kapitał zostanie sprzedany , spółka upadnie, powstanie nowa spólka Morele2 sp. z o.o. sp. k. i dla klienta/użytkownika nic się nie zmieni a kary nikt nie zapłaci bo komornik nie będzie miał z czego ściągać.

  56. […] dostawali później SMSy o rzekomo wymaganej dopłacie do swojego zamówienia. O sprawie pisał Niebiezpiecznik, jeden z największych blogów o […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: