UODO stwierdził, że naruszenie miało „znaczną wagę i poważny charakter” oraz że dotyczyło dużej liczby osób. Innego zdanie są przedstawiciele Morele.net.
– Nie zgadzamy się z oceną zebranego materiału dowodowego, dlatego chcemy, aby sprawa została ponownie rozpatrzona z udziałem niezależnych biegłych — skomentował Radosław Stasiak, wiceprezes ds. IT w Morele.net, “Pulsowi Biznesu”. Firma zapowiedziała odwołanie do Sądu Administracyjnego.
Do wycieku ponad dwa miliony danych klientów sklepu doszło w nocy z poniedziałku na wtorek 18 grudnia 2018. Wykradziono m.in. imiona i nazwiska, adresy e-mail oraz numery telefonów użytkowników. Dane mogą zostać wykorzystane do “prób wyłudzeń”.
Wyciek danych
UODO, jako jeden z przejawów naruszenia, wymienił brak podwójnego uwierzytelniania klientów. Do ataków hakerskich można było z powodzeniem zastosować metodę “phishingu”, polegającej na wyłudzaniu danych uwierzytelniających przez bramki płatności.
Wyciekły również dane ok. 35 tys. osób z wnioskami ratalnymi. Obejmowały numery PESEL, dokumentów tożsamości, wykształcenie, zameldowanie, źródła dochodów, wysokości kredytów oraz alimentów.
Spółka naruszyła zapisy rozporządzenia RODO, nie stosując wystarczających środków technicznych ochrony danych osobowych. Według UODO spółka nie wykazała, skąd wynikały zgody na przetwarzanie danych klientów w systemie spłat ratalnych.
