Sklep internetowy Morele.net ponownie ukarany za dawny wyciek danych. UODO nakłada na spółkę niemal 4 mln zł kary

Zapewne pamiętamy finał sprawy, która dotyczyła kary nałożonej przez UODO (Urząd Ochrony Danych Osobowych) na sklep internetowy Morele.net. Odnosiła się ona do ataku hakerskiego, w wyniku którego dane kilku milionów użytkowników stały się publicznie dostępne. Ostatnim krokiem, jaki podjął wspomniany sklep, było złożenie skargi kasacyjnej do NSA (Naczelny Sąd Administracyjny), która została uznana na początku 2023 roku. Teraz UODO ponownie rozpatrzył wszystkie okoliczności i nałożył na Morele.net jeszcze wyższą karę niż wcześniej.

Zakończona sprawa dotycząca wycieku danych ze sklepu Morele.net właśnie została oficjalnie wznowiona. Powodem jest jej ponowne rozpatrzenie przez Urząd Ochrony Danych Osobowych, który tym razem nałożył karę wynoszącą niemalże 4 mln złotych.

Morele - sklep uniknie kary za wyciek danych użytkowników. NSA przyjął skargę kasacyjną serwisu w sprawie kary UODO

Dla lepszego zobrazowania sytuacji: pod koniec 2018 roku internet obiegła informacja, że sklep internetowy Morele.net padł ofiarą ataku hakerskiego. Oczywiście nie obyło się bez szantażu ze strony hakera, któremu sklep nie uległ. Niedługo później do "sieci" trafiły dane 2,2 mln użytkowników i to nawet tych, którzy usunęli przed tym zdarzeniem swoje konto. Niecały rok później UODO nałożył na sklep karę finansową, która wynosiła 2,8 mln złotych. Wtedy nastąpiło odwołanie sklepu do Wojewódzkiego Sądu Administracyjnego, a następnie złożenie skargi kasacyjnej do NSA (początek 2023 roku), którą uznano. UODO wznowił jednak swoje postępowanie i 8 lutego 2024 roku nałożył kolejną karę - tym razem w wysokości 3,8 mln zł.

Morele.net musi zapłacić 3 miliony złotych kary za wyciek danych

Powodem takiego obrotu spraw jest fakt, że kolejny raz wykazano pewne istotne niedociągnięcia ze strony sklepu Morele.net. Dotyczyły one tego, że spółka nie zastosowała wystarczających zabezpieczeń, ani też nie miała odpowiednich procedur, które mogłyby pomóc w szybkiej reakcji na "nietypowe zachowania, takie jak ruch sieciowy". Cytując oświadczenie ze strony UODO: "analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net". Spółka Morele.net nie zamierza jednak dawać za wygraną, gdyż dodała właśnie oficjalną informację, że nie zgadza się z decyzją o nałożeniu wyższej kary i "zamierza ją zaskarżyć do Wojewódzkiego Sądu Administracyjnego". Poniżej możemy przeczytać całe oświadczenie sklepu, natomiast pełna treść informacji podanej przez UODO znajduje się pod tym adresem.