Bezpieczeństwo danych w Morele.net

W 2018 roku Morele.net padło ofiarą włamania i kradzieży danych.

Co roku do CERT Polska wpływa ok. 400 000 zgłoszeń, po dokładnej weryfikacji, ponad połowa z nich uznawana jest za zgłoszenia dotyczące incydentów cyberbezpieczeństwa. W 2018 roku przestępcy wykradli z Platformy Morele.net dane osobowe Klientów.

W internecie dochodzi do tego typu przestępstw, ofiarami był m.in. Amazon, Facebook, Ochnik (2019), New Balance, W. Kruk, Street Style 24 (wrzesień 2024), PoloMarket (maj 2024), PandaBuy (marzec 2024) czy DeeZee (marzec 2024) i wiele innych firm i organizacji.

W 2018 roku Morele.net po ataku hakerskim, działając zgodnie z procedurami, niezwłocznie powiadomiło organy ścigania i współpracowało ze służbami zajmującymi się tego typu przestępstwami.

Niestety pomimo wzorcowego zaangażowania ze strony Morele.net, nie otrzymaliśmy dodatkowego wsparcia. Nie udało się złapać złodzieja. Następstwem ataku hakerskiego były zarzuty ze strony UODO związane z niewystarczającym zabezpieczeniem danych po stronie firmy i podważeniem oceny ryzyka ze strony Morele.net, w wyniku czego UODO nałożyło na spółkę kary 2,8 mln złotych.

Po powyższej decyzji Morele.net odwołało się do WSA, a następnie do Naczelnego Sądu Administracyjnego, który uznał skargę za zasadną. Mimo to UODO nie uszanował decyzji NSA i bezpodstawnie podwyższył ją do kwoty 3,8 mln złotych.

Uważamy, że decyzja UODO była i jest krzywdząca dla Morele.net. Spełnialiśmy, na ten czas, obowiązujące, rynkowe standardy zabezpieczeń. Decyzja była podwójnie niesprawiedliwa, bo dodatkowo naraziła naszą organizację na straty wizerunkowe, wielokrotnie przekraczające wysokość nałożonej kary. Ponownie odwołaliśmy się od tej decyzji do Naczelnego Sądu Administracyjnego i czekamy na rozpoznanie skargi.

Pytania, na które być może szukasz odpowiedzi (FAQ):

Kiedy doszło do kradzieży danych w Morele.net?

Do kradzieży danych doszło w listopadzie 2018 roku.

Doszło tylko do jednej kradzieży danych?

Tak, doszło tylko do jednej kradzieży danych w 2018 roku.

Jakiego rodzaju dane zostały skradzione?

Danymi, do których był nieuprawniony dostęp były adresy e-mail, numery telefonów, imiona i nazwiska (jeśli zostały podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash), daty zamówień, numery zamówień, wartości zamówień, sposoby płatności oraz dostawy, informacje o zamówionych towarach i komentarze do zamówień.

Dlaczego nie zadbaliście wcześniej o bezpieczeństwo?

Zawsze dokładaliśmy największych starań, aby stworzyć miejsce, w którym zakupy będą przebiegały bezpiecznie i komfortowo. Przed 2018 rokiem i po nim wiele firm, w tym naszych konkurentów było ofiarami przestępstw kradzieży danych. Nawet firmy tak duże i zasobne w środki jak Amazon są skutecznie okradane z danych. Kontynuujemy nasze działania i skupiamy się, aby bez względu na efekt postępowania, nadążać za zmianami w otoczeniu rynkowym i poziomie zabezpieczeń zachowując bezpieczeństwo i komfort naszych usług.

Zakupy u Was są już bezpieczne? Jak są chronione moje dane?

Dane naszych klientów są chronione przed kradzieżą danych w szczególności poprzez następujące rozwiązania:

dostęp do konta klienta odbywa się za pomocą bezpiecznego, szyfrowanego kanału komunikacyjnego z wykorzystaniem protokołu HTTPS,
aby uzyskać dostęp do danych wymagane jest podanie loginu i hasła o odpowiedniej złożoności,
dostęp do wewnętrznych systemów dla naszych pracowników wymaga skorzystania z uwierzytelnienia wieloskładnikowego,
Morele.net w sposób ciągły poprawia swoje zabezpieczenia. Przez lata wdrożono wiele nowych systemów, rozwiązań i procedur zapewniających bezpieczeństwo danych klientów.

Ciągle się doskonalimy, by zakupy w Morele.net były jak najbardziej bezpieczne.

Skąd mam wiedzieć, czy mogę Wam zaufać?

Przykro nam, że w związku z tą sytuacją Twoje zaufanie do nas zostało wystawione na próbę. Ciągle się doskonalimy, aby sytuacja się nie powtórzyła i przestępca nie miał szans na kradzież. Od kradzieży z 2018 roku przestępcy nie przełamali naszych zabezpieczeń. Nie zbieramy danych nadmiarowych.

Decyzję o zaufaniu podejmujesz jednak samodzielnie - zapoznaj się z odpowiedziami na pozostałe pytania. Mamy nadzieję, że to rozwieje Twoje wątpliwości co do korzystania z naszych usług.

Na czym stanęła sprawa? Dlaczego nie zostaliście ukarani?

Wyrokiem z dnia 09.02.2023. NSA uchylił decyzję Prezesa UODO z dnia 10.09.2019, nakładającą na Morele.net karę finansową związaną z kradzieżą danych. NSA przyjął, że decyzja Prezesa UODO wydana została bez właściwej analizy dotyczącej stosowanych przez Morele.net zabezpieczeń, której powinien dokonanać niezależny biegły posiadający - w przeciwieństwie do Prezesa UODO - wiedzę specjalistyczną w tym obszarze.

Warto tu zaznaczyć, że powoływanie biegłego jest standardem w sprawach, które cechują się nawet mniejszym stopniem skomplikowania niż spraw przełamania zabezpieczeń i kradzieży danych. Wiedza, która powinna stanowić podstawę wydania rozstrzygnięcia, często wykracza poza wiedzę ogólną organu, sądu, stron lub innych uczestników postępowania. Biegły często odgrywa więc kluczową rolę w rozstrzygnięciu sprawy. Powołanie biegłego zapewnia rzetelność i sprawiedliwość w sprawach wymagających wiedzy eksperckiej.

Pomimo wyroku NSA, Prezes UODO postanowił ponownie dokonać samodzielnej - wewnętrznej analizy zabezpieczeń stosowanych przez Morele.net, która to analiza została opracowana przez jego urzędników. Efektem takich działań jest nowa decyzja Prezesa UODO z dnia 17.01.2024, nakładająca na Morele.net jeszcze wyższą karę (za ten sam incydent!). Takie działanie Prezesa UODO w żadnej mierze nie spełnia kryteriów wyznaczonych przez NSA w 2023 roku, w szczególności nie gwarantuje wystarczającego poziomu merytorycznego oraz bezstronności materiału dowodowego stanowiącego podstawę wydania nowej decyzji. Morele.net zakwestionowała podaną decyzję. Spółka nie zgadza się z wyrokiem WSA i zamierza zaskarżyć go do Naczelnego Sądy Administracyjnego.

Codziennie słyszy się o kolejnych kradzieżach danych - dlaczego ciągle piszą o Morele?

Do ataku na Morele.net doszło w 2018 roku tuż po zmianie prawa, co przyczyniło się do nagłośnienia sprawy. Dodatkowo do rozpowszechnienia historii przysłużył się sam przestępca, który wykradł dane - za to, że nie chcieliśmy zapłacić okupu i współpracowaliśmy z Policją, aby go namierzyć, włożył dużo wysiłku w rozgłoszenie swojego przestępstwa.

Spółka nie zgadza się z wyrokiem WSA i zamierza zaskarżyć go do Naczelnego Sądu Administracyjnego.

12 kroków do bezpiecznych zakupów online:

JAK MOŻESZ ZADBAĆ O SWOJE DANE?

Ustaw na swoim koncie morele.net silne hasło, unikalne w stosunku do innych usług z których korzystasz i nie podawaj go innym osobom.

Kontroluj dostęp do urządzeń, z których logujesz się na konto - aby nie miały do nich dostępu osoby postronne.

Aby urządzenia, z których korzystasz były bezpieczniejsze, zainstaluj na nich oprogramowanie antywirusowe.

Zwracaj uwagę na to, jakie aplikacje pobierasz na swój telefon lub komputer - mogą zawierać szkodliwe oprogramowanie.

Sprawdzaj, czy strony, na które się logujesz, są bezpieczne. Zwróć uwagę między innymi na certyfikat SSL i prawidłową nazwę strony - morele.net.

Nie korzystaj na co dzień z komputera z konta z uprawnieniami administratora.

Masz dużo haseł do zapamiętania? Skorzystaj z programu takiego jak menadżer haseł np. bezpłatne rozwiązanie takie jak KeePass.

Uważaj na podejrzane wiadomości. Jeśli email lub SMS budzi wątpliwości, zachowaj czujność. Nie otwieraj załączników i nie klikaj linków zanim nie będziesz mieć pewności, że pochodzą od zaufanego nadawcy. Pamiętaj, nie prosimy o dopłaty.

Pamiętaj o aktualizacji swojego komputera i telefonu. Instaluj je na bieżąco.

Pamiętaj o aktualizacji przeglądarki, z której korzystasz i pozostałych programów.

Regularnie wykonuj kopie bezpieczeństwa swoich danych. Rekomendujemy aby to robić na zewnętrzny dysk. Pamiętaj - dysk twardy to najbardziej zawodny element Twojego urządzenia.

Szyfruj dysk. Jeśli zostanie skradziony, będzie bezużyteczny dla złodzieja.