Administratorzy danych osobowych od 25 maja mają obowiązek informować osoby, których dane są przetwarzane o tym, że ktoś uzyskał do nich nieuprawniony dostęp. To oczywiście intencja, która stała za wprowadzeniem rozwiązania, które znamy pod nazwą RODO. W tym roku padło wiele słów na temat ochrony danych osobowych i standardów, w jaki administratorzy podchodzą do ich administrowania. O ile w dużej mierze samo RODO nic nie zmieniło, tak przynajmniej dzięki temu możemy dowiedzieć się o wycieku danych z serwisów internetowych.
Popularny sklep internetowy morele.net w nocy poinformował swoich klientów o tym, że nieuprawniona osoba (lub osoby) uzyskały dostęp do bazy danych sklepu. W komunikacie czytamy:
Drogi kliencie, doszło do nieuprawnionego dostępu do danych osobowych naszych Klientów: adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash). Istnieje ryzyko, że dotyczy to również Twoich danych. Dostęp został wykryty i zablokowany.
Natomiast wyraźnie zastrzeżono, że dane dotyczące płatności, a więc numery kart kredytowych czy loginy do banków, a także dane podawane przy składaniu wniosków o zakupy ratalne są bezpieczne. Hackerzy nie uzyskali do nich dostępu. Klientom zasugerowano, aby natychmiast zmienili hasło w sklepie, a także we wszystkich innych miejscach, gdzie używano takiego samego hasła. Sklep zaznaczył również, że o sprawie została zawiadomiona prokuratura, a także Urząd Ochrony Danych Osobowych.
Sprawdź polecane oferty
RRSO 21,36%
Wyciek danych morele.net
Jakie są zagrożenia?
Twoje dane osobowe mogą być wykorzystywane do prób wyłudzeń m.in. za pośrednictwem fałszywych wiadomości sms lub dostarczania na Twój adres e-mail informacji (w tym m.in. handlowych), na które nie wyraziłeś/aś zgody. Istnieje również ryzyko rozkodowania hasła.
Warto przypomnieć, że niecały miesiąc temu klienci sklepu morele.net również padali ofiarą ataków. Osoby, które dokonywały zakupów w sklepie, chwilę po transakcji otrzymywali SMS z informacją o występującej niedopłacie za zamówiony towar. Link w wiadomości oczywiście prowadził do fałszywej strony, na której nieostrożny internauta mógł podać dane do swojego konta bankowego. Dzięki temu przestępcy mogli z takiego konta zabrać zdecydowanie więcej pieniędzy, niż wynosiła rzekoma "dopłata". Właśnie przed takimi zagrożeniami ostrzega administrator sklepu w komunikacie do klientów.
Szkoda tylko, że fragment tekstu mówiący o krokach podjętych przez sklep po wycieku niewiele mówi. Wydaje mi się, że w podobnym przypadku wprowadzenie dwustopniowego logowania to absolutne minimum, a klienci powinni domagać się jego natychmiastowego wdrożenia.
Wdrażając w trybie natychmiastowym nowe procedury i środki bezpieczeństwa uniemożliwiliśmy dokonania ponownego nieuprawnionego dostępu do danych osobowych.
Co prawda skala wycieku nie jest jeszcze do końca znana, ale jest bardzo możliwe, że oświadczenie sklepu nie będzie wystarczające. Co prawda kary za naruszenie obowiązków wynikających z RODO teoretycznie mogą być niezwykle wysokie, tak o wiele bardziej prawdopodobny jest scenariusz, w którym sklep zostanie ukarany niewielką karą. Pierwszy precedens w podobnej sytuacji obserwowaliśmy już u naszego zachodniego sąsiada. Niemiecki portal randkowy został ukarany grzywną w wysokości 20 tysięcy euro za wyciek dwóch milionów haseł swoich użytkowników. Czy tak będzie w przypadku wycieku danych morele.net?
