Wykradzione dane z Morele.net fruwają po sieci. Problemy 2,5 mln klientów dopiero się zaczynają
Klienci sklepu internetowego Morele.net już od mniej więcej pół roku żyją ze świadomością, że ktoś wszedł w posiadanie ich danych osobowych. Teraz te wykradzione dane trafiły do sieci, a jest także szansa, że zostały komuś sprzedane. Co gorsza – okazuje się, że w takiej sytuacji poszkodowani właściwie mogą liczyć tylko na łut szczęścia. Że nikt z tych danych nie skorzysta, bo walka o odszkodowanie byłaby bardzo trudna. Takich osób jest dwa i pół miliona. Sam sklep natomiast wciąż nie potwierdza, czy ujawnione dane są prawdziwe.
Złotówka na początek
Bo ataki na użytkowników Morele.net zaczęły się już w listopadzie. Klienci dostawali smsy z informacją, że muszą dopłacić symboliczną złotówkę do swoich transakcji. Atak był wiarygodny, bo każdy, kto kupił coś w Morele.net w tym okresie, odpowiedniego smsa dostawał właściwie po chwili.
W wiadomości był link, który kierował do podstawionej przez oszustów strony z płatnościami. Tam wystarczyło wybrać bank, trafić na kolejną fałszywą stronę i podać przestępcy swój login i hasło. Poprzez wysłanie przelewu każdy poszkodowany jednocześnie dodawał złodzieja do listy zaufanych odbiorców. A stąd już krótka droga do pustego konta.
Firma początkowo umywała ręce od sprawy, w końcu 6 grudnia przyznała, że bada problem. Niedługo później – właśnie 18 grudnia – do klientów trafiły mejle, w których informowano o kradzieży danych. Wyglądały dokładnie tak:
I bynajmniej nie była to jakaś mała kradzież – przestępcom udało się wyłowić dane 2,5 miliona klientów sklepu. To taka paczka danych, że złodzieje poszli nawet dalej i zażądali od Morele.net okupu.
Najpierw domagali się 15 bitcoinów, czyli około… 225 tysięcy złotych. Po negocjacjach ze sklepem zgodzili się na tradycyjną walutę, ale zażądali już pół miliona złotych. Jednocześnie właścicielom sklepu nie udało się namierzyć złodzieja, w końcu negocjacje zostały zerwane.
Wasze dane są w sieci
Co się działo dalej? Właściwie niewiele, bo sprawa po prostu przygasła. Aż do 17 kwietnia, kiedy okazało się, że wszystkie dane trafiły… na sprzedaż w internecie.
Ale nie w tym internecie, który znacie na co dzień. Serwis zaufanatrzeciastrona.pl zauważył, że trafiły one do sprzedaży w Darknecie, czyli tzw. sieci TOR. Oferta sprzedaży została znaleziona na forum "Cebulka", które funkcjonuje właśnie w tej sieci.
W oferowanej bazie 2,5 miliona klientów są ich (czyli być może także Wasze) imiona, nazwiska, adresy e-mail, numery telefonu i – co gorsza – hasła.
Dlaczego to taki problem? Bo chyba każdemu z nas udało się użyć jednego hasła w przynajmniej dwóch miejscach. A teraz wyobraźcie sobie, że macie takie samo hasło do serwisu Morele.net i… swojego banku.
Te dwa i pół miliona klientów Morele.net zapewne (oby) już swoje hasła pozmieniało. Nie tylko tam, ale w i każdym innym serwisie.
Nowe problemy
Wydarzenia, o których poinformował serwis zaufanatrzeciastrona.pl, budzą jednak inne problemy. Potencjalna sprzedaż danych klienta może skutkować szeregiem reperkusji. Po pierwsze taka osoba może zacząć otrzymywać np. niechciane smsy reklamowe. To samo ze spamem na skrzynkach pocztowych.
Nie mówiąc o tym, że na podstawie takiej paczki danych może już dojść do tzw. kradzieży tożsamości. Nasze dane mogą zostać wykorzystane w innym miejscu sieci nie przez nas samych.
Oczywiście kradzież 2,5 miliona danych klientów nie brzmi "imponująco" w kontekście światowym, gdzie zdarzały się kradzieże danych setek milionów osób. Dość powiedzieć, że w ramach największej kradzieży danych w 2018 roku włamywaczom udało się ukraść dane z rządowej bazy danych Indii. To informacje o… 1,2 miliarda obywateli tego kraju. W tym odpowiednik naszego numeru PESEL czy numery telefonów i zdjęcia. Łącznie w 2018 roku ukradziono 5 miliardów danych.
Umiesz liczyć – licz na siebie
Jeśli jednak jesteś, drogi czytelniku, klientem sklepu Morele.net, albo utraciłeś kontrolę nad swoimi danymi w jakikolwiek inny sposób, to nie mam dla ciebie dobrych informacji. Prawdę mówiąc jesteś skazany na siebie. A właściwie to... na nic. Pomimo gigantycznej skali zjawiska dochodzenie swoich praw w takiej sytuacji jest nada bardzo trudne.
Przede wszystkim nie istnieje żaden prosty i klarowny sposób odzyskania takich danych. – Ogólnie z danymi osobowymi jest tak, że można zawiadomić organy administracji publicznej o kradzieży, ale takie zawiadomienie nic nie zmieni w podstawowej kwestii: te dane zostały już ukradzione. Zgłoszenie nie sprawi, że zostaną odnalezione czy odtworzone – mówi w rozmowie z naTemat adwokat Grzegorz Cieślik.
– Być może można pozwać odpowiedzialny serwis (za utratę tych danych – red.) z tytułu dóbr osobistych. Wcześniej warto zdobyć podkładkę poprzez zgłoszenie tego faktu do podmiotu administracji publicznej – dodaje Cieślik. Taka cywilna sprawa może być jednak bardzo długa. – Można domagać się roszczeń, ale ciężko będzie ustalić sprawcę – podkreśla.
– Można też zawiadomić prokuraturę, tylko że w praktyce takie postępowanie będzie umorzone albo w ogóle spotkamy się z odmową postępowania, bo w takiej sytuacji ciężko coś ustalić – tłumaczy adwokat.
I w końcu przyznaje: – Przeciętny Polak w przypadku kradzieży danych jest trochę bezbronny.
Tym bardziej, że nawet ewentualne nałożenie kary finansowej na podmiot, który stracił dane, nie zabezpiecza przecież tych danych na przyszłość.
Podobnie sprawę widzi Dominik Lubasz z kancelarii Lubasz i Wspólnicy. – Osoba, której dane zostały wykradzione i potencjalnie sprzedane może skierować wobec administratora lub podmiotu przetwarzającego roszczenie o odszkodowanie – twierdzi. I tu się kończą dobre informacje.
Ewentualna sprawa nie będzie prosta, bo zgodnie z art. 82 RODO poszkodowany "musi wykazać, że administratorowi lub podmiotowi przetwarzającemu można przypisać zawinione naruszenie przepisów" – co wcale nie musi być łatwe.
Brakuje orzecznictwa
Trudne może być nie tylko dowiedzenie winy, ale i uzyskanie odszkodowania. – Pomiędzy naruszeniem przepisów RODO a powstaniem szkody musi zachodzić związek przyczynowy. Wątpliwości mogą się pojawić w zakresie ustalenia wysokości potencjalnego odszkodowania, jakiego mógłby domagać się podmiot danych. Niestety przepisy rozporządzenia (RODO – red.) nie zawierają w tym względzie żadnych wskazówek, w związku z czym pozostaje nam cierpliwie czekać na rozwój linii orzeczniczej – kontynuuje Lubasz.
– Póki co pod koniec ubiegłego roku sąd niemiecki, rozpatrujący żądanie zasądzenia odszkodowania za wysłanie wiadomości e-mail z prośbą o zgodę na otrzymywanie newslettera, mimo braku uprzedniej zgody na przesyłanie wiadomości drogą elektroniczną, uznał, że żądana przez podmiot danych kwota 500 euro jest nieadekwatna do naruszenia i oddalił powództwo – podkreśla.
I dodajmy jeszcze, że sam sklep też niewiele może pomóc. Jedyne co może zrobić, to po prostu... nie dopuścić do podobnej sytuacji w przyszłości. "Wdrożyliśmy szereg rozwiązań technologicznych oraz organizacyjnych w związku z nieuprawnionym dostępem do naszej bazy, w tym wprowadzenie wieloetapowych procedur dostępu do systemów, zmianę stosowanych haseł, przeprowadziliśmy audyty bezpieczeństwa stosowanych systemów, rozwiązań serwerowych itp." – czytamy w komunikacie, który został przesłany do redakcji naTemat.pl.
"Dodaliśmy również szereg funkcjonalności po stronie użytkownika, tj. wprowadzenie dwuetapowej weryfikacji przy najważniejszych operacjach na koncie (np. zmiana adresu e-mail lub numeru telefonu). Jesteśmy świadomi, że praca nad bezpieczeństwem to długofalowy proces i wciąż opracowujemy kolejne rozwiązania, o których będziemy informować Klientów. Zapewniamy, że podjęte przez nas działania minimalizują ryzyko podobnych zdarzeń w przyszłości. Ponadto morele.net na bieżąco współpracuje z organami ścigania oraz z Prezesem Urzędu Ochrony Danych Osobowych" – dodano.
Ponadto w Morele.net nie wiedzą jeszcze, czy udostępnione w sieci dane są... w ogóle prawdziwe. "Co do prawdziwości danych udostępnionych w sieci, aktualnie nie jesteśmy w stanie potwierdzić, czy są prawdziwe. Jesteśmy na etapie weryfikacji i ustalania" – informuje sklep.
Nauczka na przyszłość
Co więc można zrobić? Przede wszystkim... wyciągnąć wnioski na przyszłość. – Człowiek jest bezbronny i niewiele może zrobić. Można przede wszystkim zastrzec ukradzione dane, jeśli są wrażliwe. Czyli jeśli ktoś gdzieś podawał PESEL czy dowód osobisty albo zastrzec karty w bankach. Ale to i tak nie daje stuprocentowej pewności, że ktoś nie wykorzysta tych danych gdzieś za granicą – mówi Cieślik.
Pamiętajmy też, że kradzież naszych danych niekoniecznie musi od razu skończyć się pobraniem kredytu czy wyczyszczeniem konta. Do uzyskania kredytu potrzebny jest choćby dowód osobisty, a tego w bazie danych Morele.net nie było. Nawet uzyskanie szybkiej pożyczki będzie najprawdopodobniej niemożliwe.
Chociaż to marne pocieszenie.
Aktualizacja: już po publikacji tekstu otrzymaliśmy stanowisko Urzędu Ochrony Danych Osobowych w tej sprawie. Oto ono:
W związku z naruszeniem ochrony danych osobowych klientów sklepów internetowych należących do Morele.net Spółka z o.o. Prezes Urzędu Ochrony Danych Osobowych niezwłocznie wszczął czynności mające na celu ustalenie, czy działalność tego podmiotu jest prowadzona zgodnie z przepisami o ochronie danych osobowych. Poinformował zresztą o tym w stosownym komunikacie.
Ponieważ działania UODO wciąż są jeszcze prowadzone, na tym etapie przedwczesne jest udzielanie jakichkolwiek szczegółowych informacji w tej sprawie.
Wskazać jednak należy, że osobną kwestią jest próba sprzedaży wykradzionych danych, którą Prezes UODO zna jedynie z doniesień medialnych – jej wyjaśnieniem powinny bowiem zająć się organy ścigania. Zawiadomione w tej sprawie powinny one zostać m.in. przez administratora, czyli spółkę Morele.net.
Należy wskazać, że zgodnie z art. 79 ogólnego rozporządzenia o ochronie danych (RODO) każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może (niezależnie od skorzystania z innych środków ochrony) dochodzić swoich praw przed sądem powszechnym. Ponadto każda osoba, która uważa, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO.
Warto jednak podkreślić, że prowadzone przez Urząd działania edukacyjno-informacyjne służą m.in. upowszechnianiu w społeczeństwie wiedzy o prawach gwarantowanych przez RODO. Ponadto liczne inicjatywy UODO skierowane do administratorów oraz inspektorów ochrony danych służą upowszechnianiu wśród tych podmiotów wiedzy o tym, jak realizować obowiązki wynikające z RODO z poszanowaniem praw jednostki.