Wyciekły:
Około 2 mln rekordów: e-maile, numery telefonów, imiona i nazwiska, hashe haseł, czasami adresy doręczeń.
W przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.
UODO nałożył na Morele.net karę w wysokości 2 830 410 PLN. Sporo... Morele się odwołało i ...
Naczelny Sąd Administracyjny właśnie uchylił wyrok w sprawie Morele i zasądził od UODO (nie od Morele!) 65 000 złotych tytułem zwrotu kosztów postępowania sądowego. Bo – w skrócie – zabrakło opinii biegłego. Tym samym zakończył się wieloletni spór i pierwsza sprawa dotycząca naruszenia RODO w Polsce.źródło: https://niebezpiecznik.pl/post/morele-wyrok-nsa-uodo-65000/
#cyberbezpieczenstwo #cybersecurity #bezpieczenstwo #rodo
![[AKTUALIZACJA] Morele ostatecznie wygrało w sądzie! Kary nie będzie, a na dodatek to UODO musi zapłacić 65 000 PLN.](https://niebezpiecznik.pl/wp-content/uploads/2023/03/morelemj-600x597.jpg)
Kraj z dykty i gówna.
@Marchew ktorys pisuar dostal pare stowek i temat zamknięty xD polski klasyk
@Marchew no tak, Morele się starało ale jednak nie umiało zabezpieczyć danych. No trudno, niech dalej robią biznes a firmy inwestujące w bezpieczeństwo to zwykli frajerzy.
@wombatDaiquiri jaka kara byłaby adekwatna dla okradzionego? Zamknięcie biznesu?
@mrocznykalafior kara pieniężna, tak żeby zabezpieczanie danych było bardziej opłacalne od oszczędzania na bezpieczeństwie danych.
@wombatDaiquiri aaa ok nie doczytałem że to nie z morele będą te 65k sciagac
Wychodzi na to że u nas RODO-SRODO
Nie bardzo rozumiem za co ich karać. Spełnili wszystkie wymagania, a wyciek i tak się zdarzył. Czyli co, robisz procedury, aktualizujesz oprogramowanie, a ktoś i tak znajdzie lukę i skaże Cię przez to na 3kk PLN kary. No chyba nie.
@Amhon hasła trzymali w formacie md5, które od paru ładnych lat sprawdza się tylko pod szybkie i masowe sprawdzanie sumy kontrolnej plików (że np. nie jest uszkodzony) i z którego można w znośnym czasie deszyfrować hasła, albo szyfrować inne dane w taki sposób, że będą miały tą samą sumę kontrolną co oryginał (np. zawirusowane programy). I o to - mimo, że sam byłem ich klientem na kwotę ponad 10k - bym ich mocno pociągał za kary. A dzięki nim mój adres e-mail trafił haveibeenpwned.
@Amhon
Spełnili wszystkie wymagania
Skąd wziąłeś tę informację, skoro w przytoczonym artykule jest napisane
jak twierdziło UODO:
login i hasło to trochę za mało aby ochronić dostęp do panelu pracownika dającego dostęp do danych klientów;
@wombatDaiquiri wspaniały komentarz UODO. Pokaz mi system ecommece, który out of the box wspiera MFA albo klucze sprzętowe. Jak wiem, że fajnie się pisze o wymaganiach, ale jakby zamienić morele na Januszo sklep, to on nie ma jak spełnić takich wymysłów.
@Amhon ale Januszosklep nie ma danych dwóch milionów użytkowników. Większa firma - większe ryzyko - większe wymogi bezpieczeństwa.
@wombatDaiquiri a jak wycieknie 10 tys. kont to co? 20 tys. kary za błąd w prestashopie?
@Amhon zależy jakie dane trzymasz i co wycieknie. Jak wycieknie anonimowy login i hasło, to nikt cię ścigać nie będzie. A jak chcesz zapisywać adres zamieszkania, żeby było łatwiej parę razy zamawiać, no to musisz lepiej chronić dane albo usługę w jakiejś firmie która dane umie zabezpieczyć.
@wombatDaiquiri powiem Ci, że siedzę całe życie w IT, miałem parę szkoleń rodo i o bezpieczeństwie. Z rąk gościa obok mnie poszedł wyciek nastu tysięcy użytkowników i to jeszcze każdy dostał je na tacy. I co? No nic. Urząd napisał spoko, zdarza się. A to był oczywisty błąd programisty. Także trochę inaczej patrze na te wiadomości, bo przechodziliśmy te procedury na własnej skórze.
@Amhon jestem programistą, wdrażam systemy które przechodzą różne audyty. Zgadzam się, że tak się dzieje. Wiem, że przeważnie nic z tego nie wynika. Ale jeśli faktycznie mieli username + password żeby dostać dostęp do kart bankowych a zwłaszcza informacji potrzebnych do kredytów, takich jak zadłużenie, to jako konsument wolałbym żeby ponieśli koszty.
Spokojnie, programistom i IT włos z głowy nie spadnie. A może góra przemyśli budżet i jednak trochę więcej się skupi na bezpieczeństwie.
I słusznie. Wiem, że w naszym społeczeństwie jest bezmyślna niepohamowana agresja dążąca do karania innych. Trzeba się jednak zastanowić czy ta kara zabezpieczyła by owych klientów których dane wyciekły - otóż nie. Czy państwo zablokowało nie wiem, PESEL-e chociażby osób, których dane wyciekły. Czy zrobiła COKOLWIEK poza nałożeniem kary? Też nie. Czyli kara miała wystąpić tylko dlatego, bo jeden pajac z drugim chce narzucać firmom prywatnym zasady, które sami mają w dupie, a w razie ich nie spełnienia (bo to trochę za mało) chcą dopierdolić im karę. Kogoś tu coś mocno w główkę uderzyło.
Jeśli NSA uchylił wyrok WSA (bo z artykułu wynikają sprzeczne informacje) to sprawa się nie zakończyła tylko trafi znowu do WSA celem wydania kolejnego wyroku. Ten pewnie uchyli zatem decyzję UODO i sprawa (jeśli nikt znowu nie złoży skargi kasacyjnej) trafi do UODO celem uzupełnianie postępowania i wydania kolejnej decyzji. Żeby sprawa się zakończyła to sąd musiałby uchylić decyzję i umorzyć postępowanie.
Zaloguj się aby komentować