Zgłoś błąd

X

Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.

Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
 
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国

Morele.net musi zapłacić 3 miliony złotych kary za wyciek danych

Morele.net musi zapłacić  3 miliony złotych kary za wyciek danychBezpieczeństwo w sieci powinno być dla firm kwestią priorytetową niezależnie od tego co robimy - czy to kupujemy przez internet, czy po prostu wypowiadamy się na forach internetowych. Niestety w ostatnich latach aktywność hakerów istotnie wzrosła, przez co co chwilę dowiadujemy się o różnych wyciekach danych klientów, czy to sklepów internetowych czy też dużych korporacji pokroju Microsoftu, Facebooka, inPostu czy platformy gier EA - Origin. Pod koniec ubiegłego roku szerokim echem (o którym mówiło się jeszcze przez następne kilka miesięcy) obiła się informacja o bardzo dużym wycieku danych ponad dwóch milionów klientów sklepu morele.net. Sprawa znalazła finał w Urzędzie Ochrony Danych Osobowych, który nałożył na sklep rekordowo wysoką karę pieniężną.

Urząd Ochrony Danych Osobowych nałożył na sklep morele.net rekordowo wysoką karę w wysokości blisko 3 milionów złotych za wyciek danych klientów, który miał miejsce w ubiegłym roku.

Morele.net musi zapłacić  3 miliony złotych kary za wyciek danych [1]

O decyzji UODO poinformował portal Puls Biznesu, gdzie podano do oficjalnej wiadomości, że nałożona kara na sklep morele.net sięga bagatela 2,8 milionów złotych. Jest to rekordowo wysoka suma, przynajmniej jeśli chodzi o kwestię wycieków danych w Polsce. Nie bez powodu kara jest rekordowo wysoka, w końcu cała sprawa dotyczy ogromnego wycieku sięgającego 2,2 milionów klientów sklepu morele.net. Do rzeczonego wycieku doszło w nocy 18 grudnia, po czym w bardzo szybkim tempie morele.net wysyłało do klientów informacje drogą mailową z informacją o nieautoryzowanym dostępie do danych klientów sklepu.

Morele.net musi zapłacić  3 miliony złotych kary za wyciek danych [2]

Warto jednak dodać, że pomimo oficjalnej decyzji UODO o wysokości kary, sklep nie ma obowiązku natychmiastowej jej zapłaty. Mimo wszystko w rozmowie z Pulsem Biznesu, Radosław Stasiak - wiceprezes ds. IT w morele.net stwierdził, iż "firma nie zgadza się z oceną zebranego materiału dowodowego i odwoła się od decyzji". Sprawa w dalszym ciągu ma więc trafić do Sądu Administracyjnego, gdzie sklep będzie się odwoływał od rzeczonej decyzji UODO. Ponadto na stronie sklepu znalazło się już oficjalne oświadczenie, w którym wyjaśniają dlaczego nie zgadzają się z decyzją Urzędu Ochrony Danych Osobowych:

Drodzy Klienci,

kiedy w 2018 roku padliśmy ofiarą cyberprzestępcy, który w nieuprawniony sposób uzyskał dostęp do bazy danych Klientów sklepu morele.net, niezwłocznie zaangażowaliśmy strategiczne zasoby firmy we współpracę z odpowiednimi służbami. Incydent został zgłoszony na Policję oraz zgodnie z wytycznymi ustawodawcy przekazany do Urzędu Ochrony Danych Osobowych.

Jak zostało przedstawione w decyzji, w toku zaistniałych wydarzeń spółka morele.net reagowała bez zbędnej zwłoki, zarówno pod kątem informacyjnym, prawnym oraz w zakresie wprowadzanych środków technicznych. Od samego początku podjęta została współpraca z Policją oraz Urzędem Ochrony Danych Osobowych. W momencie potwierdzenia ryzyka, że nieuprawniony dostęp mógł dotyczyć nie tylko osób, do których został wysłany SMS ale także całej bazy - poinformowano o tym fakcie wszystkich Klientów. Obok informacji zamieszczonej na stronie internetowej morele.net, przygotowany został dedykowany mailing do całej bazy Klientów, a także uruchomiono dodatkowe kanały i zwiększono zasoby do Obsługi Klientów w wymiarze 24/7. W ramach wdrożonej komunikacji przygotowany został także szereg rekomendacji i sugerowanych działań dla Klientów, których implementacja pozwalałaby na zminimalizowanie ewentualnych, negatywnych skutków nieuprawnionego dostępu.

Podjęliśmy szereg działań systemowych i procesowych pozwalających na wzmocnienie i poprawę zabezpieczeń naszej infrastruktury. Bezpieczeństwo stało się nr 1 w każdym aspekcie funkcjonowania firmy – od rozwiązań technologicznych, poprzez obsługę Klienta aż po marketing. Dział Bezpieczeństwa w IT został wzmocniony osobowo i kompetencyjnie oraz otrzymał rozszerzone prerogatywy. Część zmian, które możemy wymienić, to: dwustopniowa weryfikacja przy zmianie adresu e-mail i numeru telefonu przypisanych do konta użytkownika, zmiana sposobu hashowania oraz hashowanie większego zbioru danych, rozbudowa monitoringu systemów wewnętrznych czy dodatkowa weryfikacja antybotowa a także umożliwienie zakupów bez rejestracji. We współpracy z zewnętrznymi specjalistami ds. bezpieczeństwa od dziewięciu miesięcy realizujemy szereg audytów, testów penetracyjnych oraz projektów zwiększających poziom zabezpieczeń. W listopadzie uruchomimy również program Bug Bounty, będący kolejnym elementem architektury bezpieczeństwa. O naszych działaniach, planach i postępach w pracach na bieżąco informujemy Klientów https://www.morele.net/wiadomosc/zakupy-bez-rejestracji-juz-mozliwe/15629/

W naszej opinii ocena Urzędu o jedynie częściowym zapewnieniu odpowiednich środków zabezpieczenia technicznego przetwarzania danych oraz naruszeniu zasad przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych powinna zostać zweryfikowana przez niezależnych biegłych. Środki stosowane przez spółkę, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały. Wskazanie na niedopełnienie obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych wskazuje na jedno konkretne rozwiązanie, pomijając inne środki bezpieczeństwa oraz procesy obowiązujące w spółce. Poziom bezpieczeństwa systemów informatycznych powinien być analizowany jako całość. Z tego też powodu będziemy korzystać z dostępnych nam dróg odwoławczych. Egzekucja kary jest wstrzymana do momentu rozstrzygnięcia przez Sąd Administracyjny a spółka była przygotowana na ewentualność otrzymania kary i ma zapewnione rezerwy na ten cel. Kara w żadnym stopniu nie wpłynie na działalność operacyjną naszej firmy.

Wierzymy, że ostatnie wydarzenia oraz ich medialność pozwolą na zwiększenie świadomości bezpieczeństwa w sieci, a wprowadzone przez nas działania i rozwiązania pozwolą innym minimalizować tego typu ataki oraz ich negatywne konsekwencje. Naszą intencją jest nadanie odpowiedniej wagi problemowi i wsparcie inicjatyw mających na celu poprawę bezpieczeństwa w internecie.

Źródło: Puls Biznesu, morele.net
194
Zgłoś błąd
Liczba komentarzy: 138

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.