Rekordowa kara dla Morele. Ta, rekordowa. Twoje dane wyceniono na złotówkę
Morele.net zostało surowo ukarane przez UODO. Rozmawiając o tej sprawie, trzeba jednak pamiętać, że firma nie była jedynym poszkodowanym hakerów. Ważniejszymi ofiarami są jej klienci.
W grudniu zeszłego roku do bazy danych klientów Morele.net ktoś się włamał. Klienci firmy zaczęli dostawać podejrzane SMS-y i dziwne maile mające wyłudzić ich dane. Sklep poinformował, że baza danych ich klientów dostała się w ręce oszustów, ale zastrzegł, że to nie on jest źródłem wycieku. Jak czas pokazał, zastrzegł zbyt optymistycznie.
Dlaczego ofiara ma płacić rekordowe kary?
Morele współpracowało z UODO, zmieniło swoje procedury, poprawiło bezpieczeństwo. Można myśleć, że w tym kontekście tak wysoka kara jest po prostu nieuczciwa. W końcu jeśli przestępcy włamią nam się od domu, nie powinniśmy dodatkowo płacić kary za to, że mamy kiepskie zamki w drzwiach. To jednak fałszywa analogia. Morele nie jest jak prywatny dom, ale jak bank, do którego rabusie wdarli się bez większych przeszkód, rabując nie tyle jego oszczędności, co odłożone na czarną godzinę pieniądze klientów. Wysoka kara dla Morele ma nie tylko dać po łapach tej konkretnej firmie, ale też zmobilizować inne korporacje do zwiększenia zabezpieczeń – trzymając się bankowej analogii – zatrudnienia wykwalifikowanych ochroniarzy, przeszkolenie personelu na wypadek napadu i zainwestowanie w lepszy sejf.
W uzasadnieniu decyzji UODO pisze wprost, że wysokość kary jest związana z niedostatecznym poziomem zabezpieczeń w firmie:
Dalej możemy przeczytać, że tak wysoki wymiar kary wynika ze znacznej wagi czynu i liczbą osób poszkodowanych, których bezpieczeństwo zostało poważnie narażone. UPODO powołuje się na art 5. ust 1 RODO zasadę poufności, która została w tym wypadku naruszona.
Ofiarami padło ponad 2 miliony klientów sklepu
Wśród wykradzionych z Morele danych 2 mln 200 tys. osób znajdowało się imię i nazwisko, numer telefonu, e-mail i adres doręczenia. Tylko z ozoru taki zestaw danych jest niegroźny. Po wycieku klienci Morele musieli odpierać ataki mające na celu wyłudzenie ich danych. Szczególną popularnością cieszyły się proste ataki SMS-owe z dopłatami za złotówkę. Oszuści wykorzystywali wykradzione numery telefonów, żeby przesłać wiadomość o konieczności dopłaty małej kwoty do zamówionej przesyłki. W wiadomości umieszczali link, który prowadził, a jakże, do podstawionej strony, która służyła do pozyskiwania loginów i haseł do banków. Ponieważ ofiara myśli, że właśnie wykonuje przelew na niewielką kwotę, wpisuje na fałszywą stronę kod przesłany z banku SMS-em lub w inny sposób potwierdza transakcję. Ponieważ duża część z nas nie czyta szczegółów takich wiadomości, orientuje się, że potwierdziła przelew robiony przez przestępców na ich konto, zdecydowanie za późno.
I już samo to byłoby dostatecznie niepokojące, ale dalej, jak ujawniło UODO, było jeszcze gorzej. W wypadku 35 tys. osób wykradzionych danych było znacznie więcej.
Taki zbiór informacji pozwala na stworzenie jeszcze groźniejszego ataku. PESEL jest w Polsce daną szczególnie wrażliwą, a w połączeniu z numerem dokumentu tożsamości, adresem zameldowania, imieniem, nazwiskiem i numerem telefonu daje duże pole do popisu złodziejom łącznie z możliwością wcięcia na kogoś kredytu czy w skrajnych wypadkach kradzieży tożsamości.
Ile są warte dane jednego klienta Morele?
Biorąc pod uwagę liczbę poszkodowanych (2 mln 200 tys.) i wysokość nałożonej kary (dokładnie 2 830 410 zł) można łatwo wyliczyć, że urząd wycenił dane jednego klienta firmy na nieco ponad złotówkę. Tanio.
Z kary, gdy ta zostanie wyegzekwowana, klienci jednak nie zobaczą ani grosza. Nie jest ona po to, żeby komukolwiek za cokolwiek zadośćuczynić, ale żeby zdecydowanie nastraszyć firmy oszczędzające na bezpieczeństwie klientów.
Jak z tej perspektywy wygląda kara? Nadal wydaje się za duża? A może wręcz przeciwnie – teraz wydaje się za mała?