O Dr. Maciej Kawecki, associado ao escritório de advocacia que representa a Grupa Morele neste caso, informou sobre a penalidade no Twitter na manhã de quinta-feira.
Na conferência de imprensa, Mirosław Sanek, vice-presidente do Gabinete de Proteção de Dados Pessoais, informou que como resultado do ataque, o acesso aos dados foi obtido 2,2 milhões de clientes das lojas virtuais do Grupo Morele. Ele argumentou que a empresa não utilizou sistema de dupla autenticação de acesso aos dadose, como parte do procedimento do regulador, não mostrou de onde vinham as anuências na apresentação dos pedidos de parcelamento de compras.
– Esta é uma das maiores e mais graves infrações até agora na Polónia. Os titulares dos dados ainda podem ser expostos a um uso posterior de seus dados, acrescentou.
O vice-presidente de @UODOgov_pl Mirosław Sanek: https://t.co/5oS4Wilqar não mostrou de onde vêm os consentimentos ao enviar os pedidos de parcelamento. Dados 2.200.000 clientes foram atacados. A entidade não utilizou autenticação dupla de acesso aos dados. pic.twitter.com/dOUpu109uq
– Office for Personal Data Protection (@UODOgov_pl) 19 de setembro de 2019
Ingressar na base de clientes da Morele no outono passado.
No final de dezembro do ano passado O Grupo Morele informou que houve um hack no banco de dados de usuários registrados de suas lojas online. Ela garantiu que o ataque já havia sido detectado e bloqueado.
Inicialmente, a empresa disse aos clientes que os hackers poderiam pegar seus nomes e senhas (na forma de strings criptografadas), alguns dias depois descobriu-se que o hack poderia ter obtido mais dados.
– Os dados podem incluir dados de contacto, dados relativos ao bilhete de identidade, número PESEL e dados sobre a situação financeira – calculados no e-mail aos clientes. – O acesso não autorizado não se aplica a informações sobre cartões de pagamento e logins bancários. O Grupo Morele não recolhe estes dados (os dados disponibilizados no nosso site são recolhidos nas bases de dados do operador de pagamento e do banco) – marcados.
A empresa alertou os clientes que seus dados poderiam ser usados para tentativas fraudulentas, como e-mails fraudulentos solicitando o pagamento de produtos ou serviços não solicitados. Ela encorajou a mudança rápida de senhas em seus sites. Já nos meses de novembro e dezembro, alguns usuários receberam e-mails em que eram feitas tentativas de extorquir pagamentos.
O Escritório de Proteção de Dados Pessoais anunciou em meados de janeiro que havia iniciado um processo neste caso. – Em conexão com a violação da proteção de dados pessoais de clientes de lojas online pertencentes a Morele.net Spółka z oo, estão sendo tomadas medidas para avaliar se as operações da entidade estão de acordo com as disposições sobre proteção de dados pessoais – declaradas no lançamento.
Foi adicionado que as atividades serão implementadas de acordo com os direitos previstos no GDPR e na Lei de Proteção de Dados Pessoais.
Pena recorde para Morela, empresa vai recorrer
O Grupo Morele anunciou que irá recorrer ao tribunal contra a decisão do Gabinete de Proteção de Dados Pessoais. – Não concordamos com a avaliação das evidências coletadas, portanto, queremos que o caso seja reconsiderado com a participação de especialistas independentes – Radosław Stasiak, vice-presidente de TI da Morele.net, disse a Puls Biznesu.
– Não há ordem de pagamento imediato da multa indicada pela secretaria, portanto essa situação não afeta o atual funcionamento do grupo – enfatizou.
2PLN 83 milhões é uma multa recorde imposta à empresa pelo Escritório de Proteção de Dados Pessoais até o momento. Em uma entrada no LinkedIn, o Dr. Maciej Kawecki criticou a decisão do regulador, enfatizando que a Grupa Morele não era a culpada nesta situação, mas que cooperou de forma eficiente na investigação do ataque e na remoção de seus efeitos.
– Morele.net foi hackeado. Até agora, ninguém foi capaz de determinar como isso aconteceu. Nem damascos, nem especialistas externos de primeira, nem mesmo a polícia. Os ataques de hackers acontecem apesar das medidas de segurança mais fortes, destacou Kawecki. – A empresa investiu dezenas de milhões de zlotys anualmente em sistemas de TI e segurança, comissionando auditorias de segurança e testes de penetração. A polícia, clientes e #UODO foram informados sobre o incidente. A empresa cooperou com agências de aplicação da lei durante “negociações” com chantagistas. As ações foram descobertas por chantagistas que realizaram uma série de outras ações como parte de sua “vingança” – enumerou.
Ele também criticou que o Escritório de Proteção de Dados Pessoais está organizando uma entrevista coletiva sobre a pena para a Grupa Morele. – Gostaria de salientar que estou profundamente comovido com as circunstâncias da imposição de uma pena tão elevada. Sou contra chamar cada incidente de acesso não autorizado ao conteúdo dos dados de “vazamento” – frisou.
– Eu concordo. Penalizar a empresa no caso de não haver culpa ou pelo menos contribuir para a violação é um erro regulatório – comentou Anna Streżyńska, do outono de 2015 ao início do ano passado Ministro da Digitalização e anteriormente Presidente do Gabinete de Comunicações Electrónicas.
1/2 @UODOgov_pl impôs a maior penalidade financeira até o momento. A empresa @morele_net, representada pela equipa do escritório de que faço parte, foi multada 2 830 410 zlotys. A empresa gastou PLN milhões em segurança de dados https://t.co/OscKXYJ715
– Dr. Maciej Kawecki (@kawecki_maciej) 19 de setembro de 2019
A multa para a Grupa Morele é a segunda penalidade significativa imposta pelo Escritório de Proteção de Dados Pessoais desde sua entrada em vigor em maio do ano passado. Diretiva da UE sobre a proteção de dados pessoais (GDPR). Em março deste ano. o regulador condenado a pagar 943 mil. PLN para uma empresa que coletou dados de pessoas que dirigem um negócio sem informá-los sobre isso.
O Grupo Morele possui 10 lojas virtuais
O Grupo Morele opera desde 2000, começou como uma loja online com eletrônicos Morele.net. O site atual além deste pertence a ela 9 outras e-shops de diferentes categorias temáticas. Estes são Presto.pl, Hulahop.pl, Amfora.pl, Pupilo.pl, Buduje.pl, Mebluje.pl, Ubieramy.pl, Digitalo.pl e Motoria.pl
De acordo com a pesquisa Gemius / PBI, em novembro de 2017, a Morele.net registrou 1, 96 milhões de usuários e 16,75 milhões de visualizações.
