Policjanci z Centralnego Biura Zwalczania Cyberprzestępczości zatrzymali mężczyznę, który miał dokonać największego wycieku danych w historii Polski - ataku hakerskiego na platformę e-commerce Morele.net z 2018 roku.
Podejrzany, 29-letni obywatel Polski, usłyszał zarzuty dotyczące nielegalnego przełamania zabezpieczeń teleinformatycznych i pozyskania danych użytkowników. Śledczy poinformowali, że przyznał się do zarzucanych czynów i złożył obszerne wyjaśnienia. Prokurator nadzorujący postępowanie przedstawił mężczyźnie zarzuty karne z art. 267 § 1 i § 4 kodeksu karnego. Sprawę prowadzi Prokuratura Okręgowa w Krakowie.
Przełom w śledztwie po ośmiu latach
Do incydentu doszło pod koniec 2018 roku, kiedy systemy sklepu Morele.net zostały złamane, a dane osobowe ponad 2 milionów klientów zostały pozyskane przez sprawcę. Wśród informacji, które wykradł, były m.in. imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania oraz zaszyfrowane hasła dostępu. Dane dotyczące płatności nie były objęte incydentem.
Atak początkowo pozostawał bezkarny - postępowanie zostało wówczas umorzone z powodu braku zidentyfikowania sprawcy - ale śledczy nie przerwali działań, analizując ślady cyfrowe i wektor ataku, co doprowadziło do jego identyfikacji.
Reakcje prawne i odpowiedzialność Morele.net
Incydent Morele.net był szeroko komentowany i analizowany również od strony ochrony danych osobowych. W efekcie Urząd Ochrony Danych Osobowych wielokrotnie wszczynał postępowania wobec spółki za naruszenie przepisów RODO w związku z niedostatecznymi zabezpieczeniami chroniącymi dane klientów. W 2019 roku nałożono na firmę rekordową wówczas karę ponad 2,8 mln zł, a w kolejnych latach po ponownych postępowaniach administracyjnych oraz orzeczeniach sądowych wysokość kar była ponownie podnoszona do ponad 3,8 mln zł.
Z ustaleń kontroli wynika, że firma nie stosowała m.in.: zaawansowanego szyfrowania danych, dwuskładnikowej autoryzacji dostępu do wrażliwych informacji, efektywnej analizy ryzyka uwzględniającej potencjalne ataki z publicznych sieci.
W praktyce oznaczało to, że choć Morele.net był popularnym sklepem internetowym, jego systemy nie były przygotowane na dobrze zorganizowany atak cybernetyczny.
Lekcja dla polskich firm
Wyciek danych z Morele.net stał się rodzajem „przebudzenia” dla wielu polskich przedsiębiorstw, zwłaszcza tych działających w e-commerce i branży technologicznej.
Incydent pokazał, że nawet duże, renomowane firmy z olbrzymią bazą klientów mogą stać się celem zaawansowanego cyberataku. W następnych latach obserwowano wzrost zapytań o testy penetracyjne, audyty bezpieczeństwa i zatrudnianie specjalistów ds. cyberbezpieczeństwa.
Po wycieku Morele.net wiele firm zaczęło wdrażać bardziej zaawansowane procedury wykrywania i reagowania na incydenty oraz systemy monitorowania nietypowej aktywności. Eksperci podkreślają, że szybkie wykrycie wycieku to klucz do ograniczenia jego skutków.
Sankcje wobec Morele.net stały się często cytowanym przykładem przy szkoleniach i kursach z zakresu ochrony danych osobowych.
Wpływ na konsumentów – obawy i środki ostrożności
Po naruszeniu danych klienci Morele.net byli celem fałszywych wiadomości SMS i e-maili, które podszywały się pod firmę i zachęcały do przekazania dodatkowych informacji lub wykonania płatności. To typowa technika wykorzystywana w kampaniach phishingowych.
Setki tysięcy osób zaczęły obawiać się, że ich dane osobowe mogą być dalej rozpowszechniane lub wykorzystane w oszustwach. Naruszenie zaufania klientów stało się przedmiotem licznych dyskusji publicznych i medialnych.