Pierwsza kara RODO!


 

Pierwsza kara RODO!

20 Wrzesień, 2019

Prawie 3 mln zł kary za wyciek danych

W związku z wyciekiem danych ponad 2,2 mln klientów z sklepu internetowego Morele.net, który miał miejsce w listopadzie 2018 roku, UODO 10 września 2019 roku po przeprowadzeniu postępowania administracyjnego w celu wyjaśnienia sprawy, nałożył rekordową karę na spółkę Morele.net w wysokości 2 830 410 PLN.

Urząd Ochrony Danych Osobowych uzasadnia tą decyzje tym, że środki organizacyjne i techniczne ochrony danych osobowych stosowane przez ukarane przedsiębiorstwo, były niewystarczające przez co doszło do nieautoryzowanego dostępu do danych klientów sklepu. UODO wskazuje także, że do naruszenia bezpieczeństwa doszło z powodu nieefektywnego monitorowania potencjalnych zagrożeń.

Wszystko zaczęło się w listopadzie 2018 roku. Klienci po dokonaniu zakupów w sklepie internetowym zaczęli otrzymywać SMS-y zawierające link prowadzący do fałszywej strony i wiadomość informującą o tym, że należy dopłacić 1 PLN do zamówienia. Link prowadził do strony, gdzie klient miał podać dane logowania do konta w banku oraz kod autoryzacji przelewu wysłany przez bank SMS-em. Firma Morele.net w tym samym miesiącu zaczęła informować na swojej stronie internetowej klientów o potencjalnych wyłudzeniach za pomocą SMS-ów.

Dopiero w grudniu zaczęto oficjalnie wysyłać informacje do osób korzystających ze sklepu internetowego, że ich dane zostały wykradzione. W tym samym miesiącu osoba odpowiedzialna za atak ujawniła się na serwisie wykop.pl informując o tym, że posiada podstawowe dane użytkowników (imię i nazwisko, zahashowane hasło, adres e-mail, numer telefonu), a także dane 35 tysięcy osób, w których zawarte były informacje m.in o serii i numerze dowodu osobistego, numerze PESEL, wykształceniu, źródle dochodu czy nawet stanie cywilnym. Co ciekawe, w wykradzionej bazie danych znajdowały się nawet informacje o blisko 2 tysiącach osób, które skasowały swoje konto w sklepie internetowym.

Mimo tego, że kwota, którą musi zapłacić spółka Morele.net jest bardzo duża, mogła być ona jeszcze większa gdyby nie działania podjęte przez sklep. Prezes UODO zwrócił uwagę między innymi na to, że spółka nigdy wcześniej nie była karana za naruszenia przepisów o ochronie danych osobowych czy też to, że podjęła działania po wykryciu kradzieży danych, których celem było usunięcie luki w zabezpieczeniach serwisu.

Zaistniała sytuacja z na pewno, zwróci uwagę innych przedsiębiorstw na to czy ich bazy danych i sklepy internetowe są bezpieczne. Sami klienci będą się teraz domagać ulepszeń w zabezpieczeniach w serwisach, gdzie mają konta za pomocą których robią zakupu na często bardzo duże sumy pieniędzy. W końcu każdy z nas chce mieć jak największą pewność, że dane które podaje w Internecie są bezpieczne i że nie wpadną kiedyś w ręcę hakera.

Więcej informacji na temat przyczyn nałożenia kary na oficjalnej stronie UODO https://uodo.gov.pl/decyzje/ZSPR.421.2.2019

Zobacz wszystkie artykuły