Kara Morele
Znamy już konsekwencje w związku z głośnym wyciekiem danych osobowych ponad 2,2 milionów osób przetwarzanych przez Grupę Morele. UODO w decyzji z dnia 10 września 2019 r. nałożył na Morele.net Sp. z o. o. karę finansową w wysokości 2 830 410 PLN (660 tys. EUR). W Polsce padł zatem kolejny rekord, jeśli chodzi o wysokość kary finansowej nałożonej przez organ nadzorczy za naruszenie przepisów RODO (na początku tego roku UODO nałożył na wywiadownię gospodarczą karę w wysokości 943 tys. PLN za zbieranie danych osób prowadzących działalność gospodarczą, nie informując ich o tym).
Jak to się zaczęło?
Sprawa dotycząca Morele.net rozpoczęła się w poprzednim roku, kiedy to klienci sklepów Grupy Morele (m.in. także digitalo.pl, meblujesz.pl czy motoria.pl), w ramach kampanii scamowej, zaczęli otrzymywać SMS-y od nadawcy morelesms i morelenet. W treści SMS-a wskazano konieczność dopłaty do zamówienia w wysokości 1,00 PLN wraz z linkiem, gdzie można tego dokonać. Link prowadził oczywiście do nieprawdziwego panelu Dotpay, przez który należało dokonać płatności, a autor kampanii wyłudzającej dane pozyskiwał w ten sposób możliwość dodania konta bankowego, na które transferowane były środki pieniężne ofiary jako odbiorcy zaufanego. Morele.net bardzo szybko wydało oświadczenie w tej sprawie, z którego najbardziej interesujący wydaje się być przedostatni fragment, który w niedługim czasie zniknął z treści oświadczenia sklepu:
„Nie jesteśmy źródłem danych, nasza baza danych jest ściśle chroniona. Wiadomości najprawdopodobniej wysyłane są losowo, a ich zbieżność z Państwa zamówieniami to wynik masowości całego procederu. Sprawę zgłaszamy również na Policję”.
Niedługo po tej sytuacji zniknęło także całe wydane oświadczenie, natomiast 18 grudnia 2018 r. Morele.net rozpoczęło informowanie osób, które dokonywały zakupów w jej sklepach internetowych o incydencie bezpieczeństwa i o tym, że spółka padła ofiarą cyberprzestępcy, który „w nieuprawniony sposób uzyskał dostęp do bazy danych klientów”. 20 grudnia 2018 r. ujawniła się natomiast osoba podająca się za sprawcę ataku. Z informacji, jakie włamywacz wskazał na jednym z serwisów społecznościowych można było dowiedzieć się, iż jego łupem padła baza danych zawierających rekordy dotyczące 2,2 mln klientów, a także że prowadził on negocjacje z Morele.net w sprawie uzyskania okupu za pozyskane dane w wysokości 500.000, 00 PLN. Na podstawie screenów ujawnionych przez włamywacza wykazano, iż hasła użytkowników sklepu były hashowane funkcją md5crypt, używającą maksymalnie 8 znakową sól (dane losowe dodawane do hasła podczas obliczania funkcji skrótu przechowywanej w systemach informatycznych) – nie jest to najlepsza dostępna obecnie funkcja, niemniej jednak z pewnością mocniejsza niż funkcje ‘md5’ lub też ‘sha’, dla których prędkość łamania jest 1000 razy większa niż dla funkcji stosowanej przez Morele.net. Złodziej twierdził, że złamał już kilkaset tysięcy hashy haseł.
Z e-maili jakie Morele.net wymieniało ze sprawcą wynikało także, że ma również dostęp do PESEL-i i skanów dowodów klientów sklepu. Morele.net przyznało, że one też mogły zostać wykradzione, ale tylko w przypadku osób, które zgodziły się na zapisanie w serwisie danych z formularza ratalnego na poczet przyszłych wniosków kredytowych. Stanowczo zaprzeczono natomiast, że gromadzono skany dokumentów takich jak dowody osobiste (jednak w ponownym komunikacie do klientów Morele.net poinformowała o tym, że zapisywać mogła także dane dot. dowodu tożsamości).
27 grudnia 2018 sprawca poinformował o złamaniu ponad 350 000 haseł do kont użytkowników Morele.net. Ponadto okazało się także, iż Morele.net nie zresetowała haseł użytkownikom — jedynie zachęcała ich do samodzielnej zmiany. Powyższe Morele.net wskazała w komunikacie przesłanym do swoich klientów, wraz z informacją iż w swojej bazie posiada dane osobowe nt. ok. 1800 użytkowników kont, którzy je skasowali. W takiej sytuacji domyślić się można, że włamywacz, który sukcesywnie łamał kolejne hasła, miał możliwość dalszego logowania się na konta użytkowników, którzy nie zdążyli bądź postanowili nie zmieniać zdekonspirowanego hasła, a także uzyskał dane osób, których zgodnie z obowiązującymi zasadami przetwarzania w ogóle w tej bazie być nie powinno. Podkreślenia wymaga też fakt, iż to nie Morele.net ujawniła te dane przez przypadek. Pytanie, jakie należy w tej sytuacji postawić, to czy Morele.net mogło zastosować lepsze zabezpieczenia np. co do serwera, z którego dane wyciekły albo odgórnie zresetować hasła swoich użytkowników, nie pozostawiając tego w ich gestii?
Decyzja UODO – kara w wysokości prawie 3 milionów złotych
W wydanej przez PUODO decyzji dotyczącej przedmiotowej sprawy wskazano, iż zastosowane przez spółkę środki organizacyjne i techniczne nie były odpowiednie do zaistniałego ryzyka. Skutkiem powyższego był wyciek danych ok. 2,2 milionów osób, za co organ nałożył na Morele.net karę w wysokości 2 830 410 PLN (nieco ponad 1 PLN za każdego klienta). Jak dotąd jest to najwyższa kara, jaką polski organ nadzorczy nałożył za naruszenie przepisów ochrony danych. Warto zwrócić uwagę na fakt, iż jest to kwota wydana na podstawie decyzji administracyjnej – Morele.net musi się zatem liczyć z możliwością wytoczonych powództw ze strony swoich obecnych i byłych klientów oraz ewentualnymi stratami PR-owymi wynikającymi z zaistniałej sytuacji. Zatem „końcowa wysokość kary” może ostatecznie jeszcze wzrosnąć.
19 września 2019 r. odbył się briefing prasowy, a kolejno na stronie Urzędu Ochrony Danych Osobowych pojawiła się decyzja, w której uzasadnieniu Urząd wskazuje na niewypełnienie “obowiązku wynikającego z art. 32 ust. 1 i 2 rozporządzenia 2016/679 polegającego na dobrze skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelnienia” oraz naruszenie zasad zgodności z prawem, rzetelności i rozliczalności przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych (dotyczy danych osobowych 35 tysięcy osób). Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci. Po nałożeniu kary organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w sprawie, miało znaczną wagę, poważny charakter oraz dotyczyło dużej liczby osób, a ponadto podmiot nie zastosował podwójnego uwierzytelniania dostępu do danych. Zastępca Prezesa UODO na konferencji prasowej poinformował, że „kara nie jest za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające”. Dodał również, że Urząd nie karze podwójnie oraz decyzja bazuje na złamaniu zasady poufności danych i nieadekwatnego ich zabezpieczenia.
Większość danych, które zostały wykradzione zawierały takie dane jak: imię, nazwisko, numer telefonu klienta, adres e-mail, adres doręczeń. W przypadku około 35 tysięcy osób dane dotyczyły ich wniosków ratalnych, a zatem zakres obejmował dodatkowo numer PESEL, serię, numer dowodu lub innego dokumentu potwierdzającego tożsamość, wykształcenie, adres zameldowania, adres zamieszkania, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, a także takie dane jak zobowiązania kredytowe czy alimentacyjne.
Zgodnie z wydaną przez organ nadzorczy decyzją, Morele.net naruszyło m.in. następujący przepis RODO:
„1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
1) pseudonimizację i szyfrowanie danych osobowych;
2) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
5) Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”
W tym miejscu warto się pochylić nad kwestią analizy ryzyka. Idąc za fragmentem decyzji UODO „Jak wskazano w przyjętych podczas kontroli wyjaśnianiach, analiza ryzyka była robiona przez Spółę doraźnie dla poszczególnych procesów, w sposób niesformalizowany”. Z kolei w wydanym przez Morele.net oświadczeniu czytamy „Spółka posiadała zabezpieczenia, techniczne oraz organizacyjne, adekwatne do zidentyfikowanych zagrożeń, z uwzględnieniem warunków określonych w art. 24 oraz w art. 32 rozporządzenia 2016/679.” oraz poprosiła o przeprowadzenie przez biegłego analizy ryzyka, która nie została przez UODO dopuszczona. Uczestnictwo niezależnego, biegłego w tym wypadku wydawało się być uzasadnioną kwestią. W ocenie autora niniejszego artykułu powinno zostać dopuszczone przed wydaniem decyzji – niezależna opinia, wskazująca czy faktycznie analiza ryzyka systemów IT została przeprowadzona w sposób należyty, sformalizowany i wypełniający obowiązek określony przepisami prawa w tym zakresie.
W decyzji o nałożeniu kary, Prezes UODO uznał, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit. f) RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu i pozyskania danych klientów. Dodatkowe środki zabezpieczenia technicznego takie jak dwustopniowa weryfikacja przy zmianie adresu e-mail i numeru telefonu przypisanych do konta użytkownika, zmiana sposobu hashowania oraz hashowanie większego zbioru danych, rozbudowa monitoringu systemów wewnętrznych czy dodatkowa weryfikacja antybotowa, a także umożliwienie zakupów bez rejestracji, prowadzenie audytów, testów penetracyjnych oraz projektów zwiększających poziom zabezpieczeń, Morele.net wdrożyła już po naruszeniu. W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń związanych z nietypowymi zachowaniami w sieci – co stoi w pewnego rodzaju kontrze do stanowiska samego Morele.net, według którego spółka posiadała i stosowała monitoring tego typu zagrożeń.
W decyzji wskazano także, iż „ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.:
1) podjęcie przez Spółkę wszelkich możliwych działań, mających na celu usunięcie naruszenia; jak bowiem ustalono w toku postępowania, następczo w stosunku do zgłoszonych naruszeń, wprowadzono w Spółce m.in. […];
2) dobrą współpracę ze strony Spółki, która zarówno w toku przeprowadzonej kontroli, jak i w trakcie trwania niniejszego postępowania współpracowała z Prezesem Urzędu Ochrony Danych Osobowych w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; w wyznaczonym terminie Spółka przesłała wyjaśnienia i udzieliła odpowiedzi na wystąpienie Prezesa Urzędu Ochrony Danych Osobowych, zatem stopień tej współpracy należy ocenić jako pełny;
3) brak dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę); osoby fizyczne, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową;
4) nie zostało stwierdzone, żeby Spółka uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postępowania.”
Analizując decyzję PUODO należy postawić sobie pytanie czy sam fakt ataku hakerskiego uzasadnia przyznanie kary na jakikolwiek podmiot przetwarzający dane osobowe? W mojej ocenie nie. Należy zastanowić się, czy wszyscy, którzy przetwarzają nasze dane osobowe, faktycznie szyfrują i pseudonimizują wszystko w ramach swoich zasobów, a ich monitoring podejrzanych aktywności sieciowych działa perfekcyjnie? Podkreślić należy, że w przypadku przetwarzania danych w systemach informatycznych należy liczyć się z tym, że dane te prędzej czy później mogą paść ofiarą ataku – jest to kwestia czasu, zasobów i determinacji atakującego. Zwróćmy uwagę, iż uwaga organizacji musi skupić się na wszelkich możliwych podatnościach i próbach ich zabezpieczenia przed atakami. Atakującemu natomiast wystarczy, że znajdzie jedną podatność, która pozwoli mu na osiągnięcie swoich celów. Niemniej jednak nie oznacza to, że należy zaprzestać zabezpieczać systemy i dokonywać cyklicznych przeglądów i regularnego analizowania pojawiających się ryzyk. Inną natomiast kwestią jest sytuacja, w której sklep internetowy, bank czy jakikolwiek inny podmiot przetwarzający nasze dane wystawia do sieci interfejs bazodanowy, który budzi poważne wątpliwości dotyczące kontroli dostępu lub uwierzytelniania, a także nie podejmuje decyzji o odgórnym resecie „skompromitowanych” haseł.
Źródła:
https://uodo.gov.pl/pl/138/1189
https://uodo.gov.pl/decyzje/ZSPR.421.2.2019
https://www.systutorials.com/docs/linux/man/n-md5crypt/
https://niebezpiecznik.pl/post/uwaga-klienci-morele/
https://niebezpiecznik.pl/post/morele-350k-zlamanych-hasel-i-wyciek-danych-usunietych-uzytkownikow/
https://sekurak.pl/jak-szybko-przestepcy-moga-zlamac-hashowanie-hasel-wykorzystane-w-morele-net/