Bekende webwinkel kampt met meer cyberbeveiligingsproblemen, slechts één klik was voldoende

• Bij Morele.net hoefde een ingelogde gebruiker alleen maar het nummer in de link te wijzigen om het e-mailadres en telefoonnummer van een andere klant te bekijken.
• Het bedrijf garandeert dat uw gegevens niet door derden worden gebruikt.
• Dit is niet de eerste keer dat Morele.net problemen heeft met gegevensbescherming. Sinds 2019 probeert UODO de organisatie te straffen voor het lekken van de gegevens van 2,2 miljoen klanten.

Zonder dat u daarvoor speciale vaardigheden of wachtwoorden hoefde te kraken, had u de klantgegevens van de online winkel Morele.net binnen handbereik.

Hoe kon ik klantgegevens van Morele.net verkrijgen?

Het enige wat u hoefde te doen, was inloggen in de winkel – zelfs als nieuwe gebruiker – en een link met het bestelnummer in het websiteadres in uw browser plakken. Door de bestelnummers in de link te wijzigen, kunt u de gegevens van een andere klant weergeven, zoals een telefoonnummer of e-mailadres. Deze informatie is voldoende voor iemand om te beginnen met spammen, bellen of proberen op te lichten met behulp van de 'kleinkind'- of 'koeriersmethode'. De kwetsbaarheid werd beschreven door de website wieszanatrzeciastrona.pl.

De auteur van de website heeft de bug gemeld bij het bedrijf (een anonieme klant van de winkelservice had hem eerder geschreven). - Nadat we het bestaan ​​van de kwetsbaarheid hadden bevestigd, hebben we deze binnen twee uur na bevestiging van de melding verwijderd, verzekert Anna Pieprzak-Socha van Morele.net. - We hebben direct maatregelen genomen om de impact van de kwetsbaarheid te beperken. We zijn bezig de oorzaak van de situatie te achterhalen, voegt ze eraan toe.

De zaak van kwetsbaarheid bij Morele.net wordt behandeld door UODO

Volgens het bedrijf hebben cybercriminelen geen misbruik gemaakt van dit lek. "De kwetsbaarheid werd door de melder en de journalist uitsluitend gebruikt voor verificatiedoeleinden, en alle handelingen vielen binnen de grenzen van verantwoorde openbaarmaking", aldus WNP Pieprzak-Socha.

De zaak is gemeld bij het Bureau voor de Bescherming van Persoonsgegevens. Zoals de woordvoerder van de autoriteit bevestigt, wordt er momenteel een analyse uitgevoerd. Pas wanneer de UODO haar werkzaamheden heeft afgerond, zal duidelijk worden of Morele.net opnieuw een boete moet betalen voor het schenden van de gegevens van haar klanten.

Boete van 3,8 miljoen PLN voor Morele.net wacht op definitieve rechterlijke uitspraak

Laten we niet vergeten dat de president van het Bureau voor de Bescherming van Persoonsgegevens het bedrijf in september 2019 een boete van 2,8 miljoen PLN oplegde in verband met het lekken van persoonsgegevens van 2,2 miljoen mensen. Het bedrijf ging in beroep bij de rechtbank. Na vier jaar vernietigde het Hooggerechtshof de eerste beslissing van de autoriteit. Het Bureau startte echter een nieuwe procedure en in februari 2024 bestrafte de president van het Bureau het bedrijf Morele.net opnieuw voor het overtreden van de bepalingen van de AVG. Ditmaal bedroeg de boete meer dan 3,8 miljoen PLN.

Tegen de beslissing van de toezichthoudende instantie werd opnieuw beroep aangetekend bij de provinciale bestuursrechtbank in Warschau. Deze verwierp de klacht van Morele.net tegen de beslissing van de voorzitter van de UODO.

Momenteel wacht de zaak op een uitspraak van het Hooggerechtshof voor Bestuurszaken, aangezien het bedrijf ook in beroep is gegaan tegen de uitspraak van het Provinciaal Gerechtshof voor Bestuurszaken.