Znany sklep internetowy ma kolejne problemy z cyberbezpieczeństwem. Wystarczyło jedno kliknięcie

• W Morele.net wystarczył zalogowany użytkownik i zmiana cyfry w linku, by podejrzeć e-mail i numer telefonu innego klienta.
• Firma zapewnia, że dane nie zostały wykorzystane przez osoby trzecie.
• To nie pierwszy raz, gdy Morele.net ma problemy z ochroną danych. Od 2019 roku UODO próbuje ukarać ją za wyciek danych 2,2 mln klientów.

Bez hakowania, specjalnych umiejętności czy łamania haseł - dane klientów sklepu internetowego Morele.net były dostępne na wyciągnięcie ręki.

Jak można było zdobyć dane klientów Morele.net?

Wystarczyło zalogować się do sklepu - nawet jako nowy użytkownik - i wkleić w przeglądarkę dowolny link zawierający numer zamówienia w adresie strony. Zmieniając w linku numery zamówienia, można było wyświetlić dane innego klienta, takie jak telefon czy adres e-mail. To informacje wystarczające, żeby ktoś mógł zacząć spamować, dzwonić lub próbować oszustw metodą "na wnuczka" albo "na kuriera". Podatność opisał serwis zaufanatrzeciastrona.pl.

Autor strony zgłosił firmie błąd (wcześniej napisał do niego anonimowy klient serwisu zakupowego). - Po potwierdzeniu występowania podatności usunęliśmy ją w ciągu 2 godzin od potwierdzenia zgłoszenia - zapewnia Anna Pieprzak-Socha z Morele.net. - Podjęliśmy niezwłocznie działania ograniczające wpływ podatności. Jesteśmy w trakcie identyfikacji przyczyny źródłowej zaistniałej sytuacji - dodaje.

Sprawą podatności w Morele.net zajmuje się UODO

Jak zapewnia spółka, z tej furtki nie skorzystali cyberprzestępcy. - Podatność została użyta wyłącznie w celach weryfikacyjnych przez zgłaszającego oraz dziennikarza, a wszelkie działania mieściły się w granicach odpowiedzialnego ujawnienia - mówi WNP Pieprzak-Socha.

Sprawa została zgłoszona do Urzędu Ochrony Danych Osobowych. Jak potwierdza rzecznik organu, obecnie trwa analiza. Dopiero kiedy UODO zakończy działania, okaże się, czy Morele.net będzie musiało zapłacić kolejną karę za naruszenia danych swoich klientów.

3,8 mln zł kary dla Morele.net czeka na ostateczną decyzję sądu

Przypomnijmy, we wrześniu 2019 prezes UODO nałożył na spółkę 2,8 mln zł kary w związku wyciekiem danych osobowych 2,2 mln osób. Spółka zaskarżyła ją do sądu. Po czterech latach Naczelny Sąd Administracyjny uchylił pierwszą decyzję organu. UODO przeprowadziło jednak ponowne postępowanie i w lutym 2024 prezes Urzędu ponownie ukarał spółkę Morele.net za naruszenie przepisów RODO. Kara wyniosła tym razem ponad 3,8 mln zł.

Decyzja organu nadzorczego znów została jednak zaskarżona do Wojewódzkiego Sądu Administracyjnego w Warszawie. Ten oddalił skargę Morele.net na decyzję prezesa UODO.

Obecnie sprawa czeka na rozstrzygnięcie przez Naczelny Sąd Administracyjny, gdyż spółka zaskarżyła również wyrok WSA.