Известный интернет-магазин столкнулся с новыми проблемами кибербезопасности, для этого потребовался всего один клик

• На сайте Morele.net для просмотра адреса электронной почты и номера телефона другого клиента достаточно было войти в систему и изменить номер в ссылке.
• Компания гарантирует, что данные не будут использованы третьими лицами.
• Это не первый случай, когда Morele.net сталкивается с проблемами защиты данных. С 2019 года UODO пытается наказать его за утечку данных 2,2 млн клиентов.

Без взлома, специальных навыков или подбора паролей — данные клиентов интернет-магазина Morele.net были у вас под рукой.

Как удалось получить данные клиентов Morele.net?

Все, что вам нужно было сделать, это войти в магазин — даже как новый пользователь — и вставить любую ссылку, содержащую номер заказа в адресе сайта, в ваш браузер. Изменив номера заказов в ссылке, вы могли отобразить данные другого клиента, такие как номер телефона или адрес электронной почты. Этой информации достаточно, чтобы кто-то начал рассылать спам, звонить или пытаться мошенничать, используя метод «внука» или «курьера». Уязвимость была описана на сайте wieszanatrzeciastrona.pl.

Автор сайта сообщил об ошибке в компанию (ранее ему написал анонимный клиент сервиса покупок). - После подтверждения наличия уязвимости мы устранили ее в течение 2 часов с момента подтверждения отчета, - уверяет Анна Пепшак-Соха из Morele.net. - Мы немедленно предприняли действия по ограничению влияния уязвимости. Мы находимся в процессе выявления первопричины ситуации, - добавляет она.

Дело об уязвимости Morele.net расследует UODO

Как уверяет компания, киберпреступники не использовали эту лазейку. - Уязвимость использовалась исключительно в целях проверки со стороны репортера и журналиста, и все действия находились в рамках ответственного раскрытия информации, - говорит WNP Пиепшак-Соха.

О деле было сообщено в Управление по защите персональных данных. Как подтвердил представитель ведомства, в настоящее время проводится анализ. Только после того, как UODO завершит свою деятельность, станет ясно, придется ли Morele.net платить еще один штраф за нарушение данных своих клиентов.

Штраф в размере 3,8 млн злотых для Morele.net ожидает окончательного решения суда

Напомним, что в сентябре 2019 года председатель Управления по защите персональных данных наложил на компанию штраф в размере 2,8 млн злотых в связи с утечкой персональных данных 2,2 млн человек. Компания обратилась в суд. Спустя четыре года Высший административный суд отменил первое решение органа. Однако Управление провело новое разбирательство, и в феврале 2024 года председатель Управления снова наказал компанию Morele.net за нарушение положений GDPR. На этот раз штраф составил более 3,8 млн злотых.

Решение надзорного органа было вновь обжаловано в Воеводском административном суде в Варшаве. Он отклонил жалобу Morele.net на решение президента UODO.

В настоящее время дело ожидает решения Высшего административного суда, поскольку компания также обжаловала решение Провинциального административного суда.