Pamiętacie wyciek danych osobowych z morele net? Jeden z pierwszych RODO procesów w Polsce.
Wyciekły:
Około 2 mln rekordów: e-maile, numery telefonów, imiona i nazwiska, hashe haseł, czasami adresy doręczeń.
W przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.
UODO nałożył na Morele.net karę w wysokości 2 830 410 PLN. Sporo... Morele się odwołało i ...
Naczelny Sąd Administracyjny właśnie uchylił wyrok w sprawie Morele i zasądził od UODO (nie od Morele!) 65 000 złotych tytułem zwrotu kosztów postępowania sądowego. Bo – w skrócie – zabrakło opinii biegłego. Tym samym zakończył się wieloletni spór i pierwsza sprawa dotycząca naruszenia RODO w Polsce.
źródło: https://niebezpiecznik.pl/post/morele-wyrok-nsa-uodo-65000/
#cyberbezpieczenstwo #cybersecurity #bezpieczenstwo #rodo
Nemrod

Kraj z dykty i gówna.

Sweet_acc_pr0sa

@Marchew ktorys pisuar dostal pare stowek i temat zamknięty xD polski klasyk

wombatDaiquiri

@Marchew no tak, Morele się starało ale jednak nie umiało zabezpieczyć danych. No trudno, niech dalej robią biznes a firmy inwestujące w bezpieczeństwo to zwykli frajerzy.

mrocznykalafior

@wombatDaiquiri jaka kara byłaby adekwatna dla okradzionego? Zamknięcie biznesu?

wombatDaiquiri

@mrocznykalafior kara pieniężna, tak żeby zabezpieczanie danych było bardziej opłacalne od oszczędzania na bezpieczeństwie danych.

mrocznykalafior

@wombatDaiquiri aaa ok nie doczytałem że to nie z morele będą te 65k sciagac

Guma888

Wychodzi na to że u nas RODO-SRODO

Amhon

Nie bardzo rozumiem za co ich karać. Spełnili wszystkie wymagania, a wyciek i tak się zdarzył. Czyli co, robisz procedury, aktualizujesz oprogramowanie, a ktoś i tak znajdzie lukę i skaże Cię przez to na 3kk PLN kary. No chyba nie.

Atexor

@Amhon hasła trzymali w formacie md5, które od paru ładnych lat sprawdza się tylko pod szybkie i masowe sprawdzanie sumy kontrolnej plików (że np. nie jest uszkodzony) i z którego można w znośnym czasie deszyfrować hasła, albo szyfrować inne dane w taki sposób, że będą miały tą samą sumę kontrolną co oryginał (np. zawirusowane programy). I o to - mimo, że sam byłem ich klientem na kwotę ponad 10k - bym ich mocno pociągał za kary. A dzięki nim mój adres e-mail trafił haveibeenpwned.

wombatDaiquiri

@Amhon


Spełnili wszystkie wymagania


Skąd wziąłeś tę informację, skoro w przytoczonym artykule jest napisane


jak twierdziło UODO:

login i hasło to trochę za mało aby ochronić dostęp do panelu pracownika dającego dostęp do danych klientów;

Amhon

@wombatDaiquiri wspaniały komentarz UODO. Pokaz mi system ecommece, który out of the box wspiera MFA albo klucze sprzętowe. Jak wiem, że fajnie się pisze o wymaganiach, ale jakby zamienić morele na Januszo sklep, to on nie ma jak spełnić takich wymysłów.

wombatDaiquiri

@Amhon ale Januszosklep nie ma danych dwóch milionów użytkowników. Większa firma - większe ryzyko - większe wymogi bezpieczeństwa.

Amhon

@wombatDaiquiri a jak wycieknie 10 tys. kont to co? 20 tys. kary za błąd w prestashopie?

wombatDaiquiri

@Amhon zależy jakie dane trzymasz i co wycieknie. Jak wycieknie anonimowy login i hasło, to nikt cię ścigać nie będzie. A jak chcesz zapisywać adres zamieszkania, żeby było łatwiej parę razy zamawiać, no to musisz lepiej chronić dane albo usługę w jakiejś firmie która dane umie zabezpieczyć.

Amhon

@wombatDaiquiri powiem Ci, że siedzę całe życie w IT, miałem parę szkoleń rodo i o bezpieczeństwie. Z rąk gościa obok mnie poszedł wyciek nastu tysięcy użytkowników i to jeszcze każdy dostał je na tacy. I co? No nic. Urząd napisał spoko, zdarza się. A to był oczywisty błąd programisty. Także trochę inaczej patrze na te wiadomości, bo przechodziliśmy te procedury na własnej skórze.

wombatDaiquiri

@Amhon jestem programistą, wdrażam systemy które przechodzą różne audyty. Zgadzam się, że tak się dzieje. Wiem, że przeważnie nic z tego nie wynika. Ale jeśli faktycznie mieli username + password żeby dostać dostęp do kart bankowych a zwłaszcza informacji potrzebnych do kredytów, takich jak zadłużenie, to jako konsument wolałbym żeby ponieśli koszty.


Spokojnie, programistom i IT włos z głowy nie spadnie. A może góra przemyśli budżet i jednak trochę więcej się skupi na bezpieczeństwie.

nicram

I słusznie. Wiem, że w naszym społeczeństwie jest bezmyślna niepohamowana agresja dążąca do karania innych. Trzeba się jednak zastanowić czy ta kara zabezpieczyła by owych klientów których dane wyciekły - otóż nie. Czy państwo zablokowało nie wiem, PESEL-e chociażby osób, których dane wyciekły. Czy zrobiła COKOLWIEK poza nałożeniem kary? Też nie. Czyli kara miała wystąpić tylko dlatego, bo jeden pajac z drugim chce narzucać firmom prywatnym zasady, które sami mają w dupie, a w razie ich nie spełnienia (bo to trochę za mało) chcą dopierdolić im karę. Kogoś tu coś mocno w główkę uderzyło.

Nocn3Frytki

Jeśli NSA uchylił wyrok WSA (bo z artykułu wynikają sprzeczne informacje) to sprawa się nie zakończyła tylko trafi znowu do WSA celem wydania kolejnego wyroku. Ten pewnie uchyli zatem decyzję UODO i sprawa (jeśli nikt znowu nie złoży skargi kasacyjnej) trafi do UODO celem uzupełnianie postępowania i wydania kolejnej decyzji. Żeby sprawa się zakończyła to sąd musiałby uchylić decyzję i umorzyć postępowanie.

Zaloguj się aby komentować