Morele.net ukarane za wyciek danych ponad 2 milionów klientów

19.09.2019 12:55
Morele.net ukarane za złamanie RODO. Wyciek danych ponad 2 milionów klientów
fot. Dragon Images/Shutterstock (ilustracyjne)

Aż 2,8 mln zł kary nałożył prezes Urzędu Ochrony Danych Osobowych (UODO) na spółkę Morele.net. Powodem było niewystarczające zabezpieczenia danych osobowych. Według UODO skutkiem uchybień była kradzież danych ponad 2 mln osób.

Chcesz być na bieżąco? Śledź Radio ZET - BIZNES na Linkedin

Urząd stwierdził, że naruszenie miało „znaczną wagę i poważny charakter” oraz dotyczyło dużej liczby osób.

W wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, na przykład tzw. kradzieży tożsamości.

Wyciekły dane i rachunki ratalne klientów

Jako jeden z przejawów naruszenia UODO wymienił brak podwójnego uwierzytelniania klientów, w rezultacie czego do ataku hakerskiego można było z powodzeniem zastosować metodę „phishingu”, czyli spreparowanej bramki płatności do wyłudzania danych uwierzytelniających.

Wiceprezes UODO Mirosław Sanek na konferencji prasowej zwrócił uwagę, że większość skradzionych danych zawierała imię, nazwisko, telefon, e-mail, adres do doręczeń.

Jednak – jak podkreślił – wyciekły też dane około 35 tys. osób z ich wniosków ratalnych. Zakres tych danych był szerszy – obejmował numery PESEL, dokumentów tożsamości, wykształcenie, adres zameldowania, źródło dochodu, wysokość zobowiązań kredytowych czy alimentacyjnych.

Kara jest nie za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające. Nie karzemy podwójnie [...] Decyzja bazuje na złamaniu zasady poufności danych i nieadekwatnego zabezpieczenia danych.

Mirosław Sanek

W decyzji nakładającej karę Prezes UODO stwierdził, że spółka naruszyła zapisy rozporządzenia RODO, nie stosując wystarczających środków technicznych ochrony danych osobowych. „W dodatku spółka nie wykazała, skąd wynikały zgody na przetwarzanie danych klientów w systemie spłat ratalnych” – zaznaczył wiceprezes Urzędu.

Sanek podkreślał, że decyzje zawsze podejmowane są na podstawie analizy konkretnego, jednostkowego przypadku. Po karę pieniężną, czyli najcięższy środek w arsenale, prezes UODO sięga, gdy uzna, że inne środki, np. upomnienie, są nieadekwatne.

Zastosowano miarkowanie kary – firma nie doprowadziła do naruszeń w sposób celowy, nie możemy jej przypisać umyślności, nie możemy zarzucić unikania współpracy z organem.

Mirosław Sanek

Urząd zwrócił także uwagę na nieskuteczne monitorowanie potencjalnych zagrożeń i brak procedur reagowania na wypadek pojawienia się nietypowego ruchu w sieci. Według UODO postępowanie wykazało także inne naruszenia, ale to brak odpowiednich zabezpieczeń i procedur przesądził o nałożeniu kary.

Egzekucja kary została wstrzymana

Spółka Morele.net podkreśliła, że „od samego początku podjęta została współpraca z Policją oraz Urzędem Ochrony Danych Osobowych”, a ofiarą cyberprzestępców padała w 2018 roku.

W momencie potwierdzenia ryzyka, że nieuprawniony dostęp mógł dotyczyć nie tylko osób, do których został wysłany SMS ale także całej bazy - poinformowano o tym fakcie wszystkich Klientów. Obok informacji zamieszczonej na stronie internetowej morele.net, przygotowany został dedykowany mailing do całej bazy Klientów, a także uruchomiono dodatkowe kanały i zwiększono zasoby do Obsługi Klientów w wymiarze 24/7” – oświadczyła spółka.

Dodano, że egzekucja kary jest wstrzymana do momentu rozstrzygnięcia przez sąd administracyjny, a spółka była przygotowana na ewentualność otrzymania kary i ma zapewnione rezerwy na ten cel.

„Kara w żadnym stopniu nie wpłynie na działalność operacyjną naszej firmy” – napisało Morele.net.

RadioZET.pl/PAP