Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Na Morele.net nałożono karę 2 830 410 zł z RODO (kara za niewystarczające zabezpieczenia organizacyjne i techniczne)
Chodzi o znany zapewne większości naszych czytelników incydent, który doprowadził do ujawnienia rekordów o przeszło 2 milionach osób. Poza danymi osobowymi były tam też zahashowane hasła, (na temat szybkości ich łamania przygotowaliśmy osobny tekst).
O nałożonej karze przez UODO można poczytać tutaj („kara za niewystarczające zabezpieczenia organizacyjne i techniczne”):
Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał Prezes UODO.
Jak widzimy przede wszystkim wskazanie jest brak procedur reagowania na wypadek pojawienia się nietypowego ruchu w sieci. My rozumiemy to jako np. brak WAF-a czy IDS-a, ale też np. systemów pokazujących nagły skok w ilości wysyłanych z infrastruktury danych (który zapewne wystąpił podczas kradzieży bazy).
Dalej czytamy:
Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.
Urząd wskazuje również na wyciek danych wrażliwych:
(…) w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnyc
Do tematu odniósł się również znany w środowisku osób zajmujących się ochroną danych osobowych dr Maciej Kawecki:
Nie tylko jako członek kancelarii Maruta Wachta reprezentującej Morele.net w postępowaniu, ale jako Kawecki chciałbym wskazać, że jestem silnie poruszony okolicznościami nałożenia tak wysokiej kary. Sprzeciwiam się nazywaniu każdego incydentu nieuprawnionego dostępu do treści danych „wyciekiem”. Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie, zdarzają się pomimo najsilniejszych zabezpieczeń. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne. O incydencie poinformowana została policja, klienci i #UODO. Spółka współpracowała z organami ścigania w trakcie „negocjacji” z szantażystami. Działania zostały odkryte przez szantażystów, którzy w ramach „zemsty” podjęli szereg innych czynności. Oceniam też krytycznie organizowanie przez #UODO pierwszej od miesięcy konferencji, poświęconej… karze nałożonej na przedsiębiorcę.
Obecna kara jest rekordowa jeśli chodzi o Polskę (ostatni rekord w kontekście naruszenia RODO wynosił około miliona złotych).
–ms
Wreszcie.
Mam nadzieję, że od kary przysługuje odwołanie do NSA, a ten zasądzi im drugie tyle.
Nic nie zaplaca. Spolka upadnie, a w jej miejsce powstana brzoskwinki.net
Tylko po co takie wysokie kary.
„2 mln 200 użytkowników (a nie każdy z nich odwiedza sklep stale) … 35 tys. osób wyciekły dane z ich wniosków ratalnych (tam było najwięcej danych)… oba SMS-y (z tym dwoma linkami) zostały rozesłane do maksymalnie 50 osób (potem jeszcze liczba rosła, tam były jakieś darowizny na YouTube, można „zgadywać” na podstawie tego i możliwe ze to nie było pierwsze włamanie, ale pierwsze upublicznione)”
Można zobaczyć na roczne dane finansowe firmy w internecie, ale mi się nie chce. W tedy można próbować sądzić czy firma da rade.
Wiem ze kara mogla być wyższa
https://uoodo.pl/2017/11/17/administracyjne-kary-pieniezne-zasady-nakladania-czesc-1/
Jestem ciekawy szczegółów luki, pisało na wykopie ze panel administratora był dostępny na świat. Ciekawe czy to prawda, czy było coś jeszcze.
No jest to jedna z tez :) Czyli panel admina DB wystawiony do netu bez hasła czy coś a la admin/admin. No ale to *powinno być* napisane w uzasadnieniu – dostęp do wszystkich danych, chroniony łatwym hasłem lub bez hasła -> to rzeczywiście byłoby „rażące naruszenie”.
Morele od początku bagatelizowali sprawę.
O wycieku dowiedziałem się z Sekuraka albo z Z3S. Tak to powinno wyglądać?
Moje hasło w MD5Crypt. Tak to powinno wyglądać?
Ktoś powie, różne hasła do każdego serwisu. I tak zaiste było. Ile mi poblokowali kont w różnych miejscach włączając bank to głowa mała. A ja tylko maile i SMSy odbierałem, że kolejna nieudana próba logowania tu i ówdzie.
Moje dane wrażliwe latające bez nadzoru po internecie. Naprawdę, tak to powinno wyglądać?
Pracuję w IT i wiem z doświadczenia (nie tylko zawodowego) jak się podchodzi do bezpieczeństwa we wszelkich Januszexach. Kryterium ceny, PHP Symfony i jedziemy wspomagając się kodem ze stacka, bo najstarszy senior dev ma 3 lata doświadczenia. Testy, audyty, akceptacje? Na co to komu? Ma być szybko i tanio.
[…]
1. Jesli pracujesz w IT powinienes dodac o solniczce, a to sie nie da doslownie tak samo rozgrysc.
2. A moge spytac co takiego miales wspolnego na morele ze nagle znalezli z jakich serwisow korzystales i jaki miales login?
To nie morele per se, ale dzięki nim źli ludzie powiązali maila z odhaszowanym hasłem i próbowali logować się w różnych miejscach. Co ciekawe mail miał na końcu cyferki więc prób było kilka/kilkanaście ze zmienionymi cyferkami.
Wiem o tym, bo dostałem raport z listą IP i użytych haseł od mojego dostawcy VPSa. Natomiast w mniej więcej tym samym czasie przychodziły wielokrotnie ostrzeżenia z fejsa, play24, banku i paru innych miejsc, w tym próby resetu haseł powiązanych ze skompromitowaną emalią. Gdyby dostali się na VPSa pisałbym już pewnie wniosek o upadłość konsumencką.
Wiem. Adres e-mail, ale wydaje mi się ze o to żal do tego serwisu jest nie uzasadniony, ponieważ według RODO powinieneś przewidzieć ze może dojść do wycieku danych i moim zdaniem słusznie.
Powinieneś raczej zgłaszać żal do każdego serwisu w którym potrzebujesz mieć login inny niż adres e-mail.
„Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne.” … chciałbym zobaczyć faktury na te „dziesiątki milionów złotych” :)
Tak bylo. Na 100% :D
Mogło być. Zresztą zapewne kontrola może to zweryfikować.
Natomiast powtarzam ludziom od dziesięcioleci: nie istnieje coś takiego, jak 100% bezpieczeństwo. Nawet mając najlepsze i aktualne zabezpieczenia, posiadając wdrożone RODO i najlepszą politykę bezpieczeństwa, zawsze mamy choćby czynnik ludzki – czyli najsłabsze ogniwo. W każdej organizacji, ktoś może zostać przekupiony, czy zastraszony, albo może się schlać, czy naćpać i w rezultacie… może udostępnić przestępcom np. dane dostępowe, czy bezpośrednio wyciąg z bazy danych, czy bazę danych. Owszem, oznacza to, że należy inwestować w bezpieczeństwo, w tym w procedury i szkolenia, żeby zmniejszać ryzyko, ale zawsze należy pamiętać, że nigdy nie osiągniemy tych mitycznych 100%. Nikomu się to jeszcze nie udało – nawet największym agencjom wywiadu, a co dopiero firmie handlowej.
Przestańmy mówić o bezpieczeństwie jako stanie. To jest ciągły, nieustający proces! To ciągle dążenie i rozwój a celu nigdy nie osiągniemy.
Ja osiągnąłem.
Osiągnąłem stan permanentnego bezpieczeństwa – jestem paranoikiem :D
Morele.net dala wczoraj odpowiedź na decyzję Prezesa UODO:
https://www.morele.net/wiadomosc/oswiadczenie-grupy-morele-net-w-sprawie-decyzji-uodo
ale czy 660 000 euro to duzo?
To jakies 19 euro za rekord z danymi wrażliwym