Un noto negozio online affronta più problemi di sicurezza informatica, è bastato un clic

• Su Morele.net, bastava che un utente effettuasse l'accesso e modificasse il numero nel link per visualizzare l'e-mail e il numero di telefono di un altro cliente.
• La società garantisce che i dati non sono stati utilizzati da terzi.
• Non è la prima volta che Morele.net ha problemi con la protezione dei dati. Dal 2019, UODO cerca di punirlo per aver divulgato i dati di 2,2 milioni di clienti.

Senza bisogno di hacker, competenze particolari o di decifrare le password, i dati dei clienti del negozio online Morele.net erano a portata di mano.

Come è stato possibile ottenere i dati dei clienti di Morele.net?

Bastava accedere al negozio, anche come nuovo utente, e incollare nel browser un link contenente il numero d'ordine nell'indirizzo del sito web. Modificando i numeri d'ordine nel link, si potevano visualizzare i dati di un altro cliente, come un numero di telefono o un indirizzo email. Queste informazioni erano sufficienti per iniziare a inviare spam, chiamare o tentare truffe tramite il metodo "nipote" o "corriere". La vulnerabilità è stata descritta dal sito web wieszanatrzeciastrona.pl.

L'autore del sito ha segnalato il bug all'azienda (un cliente anonimo del servizio di shopping gli aveva già scritto in precedenza). - Dopo aver confermato l'esistenza della vulnerabilità, l'abbiamo rimossa entro 2 ore dalla segnalazione - assicura Anna Pieprzak-Socha di Morele.net. - Abbiamo immediatamente preso provvedimenti per limitare l'impatto della vulnerabilità. Stiamo identificando la causa principale della situazione - aggiunge.

Il caso di vulnerabilità su Morele.net è gestito da UODO

Come assicura l'azienda, i criminali informatici non hanno sfruttato questa scappatoia. - La vulnerabilità è stata sfruttata esclusivamente a scopo di verifica dalla parte segnalante e dal giornalista e tutte le azioni sono avvenute nell'ambito di una divulgazione responsabile - afferma WNP Pieprzak-Socha.

Il caso è stato segnalato all'Ufficio per la protezione dei dati personali. Come confermato dal portavoce dell'autorità, è attualmente in corso un'analisi. Solo quando l'UODO avrà completato le sue attività sarà chiaro se Morele.net dovrà pagare un'ulteriore sanzione per aver violato i dati dei suoi clienti.

Multa di 3,8 milioni di PLN per Morele.net in attesa della sentenza definitiva del tribunale

Ricordiamo che nel settembre 2019, il Presidente dell'Ufficio per la protezione dei dati personali ha imposto una multa di 2,8 milioni di PLN all'azienda in relazione alla fuga di dati personali di 2,2 milioni di persone. L'azienda ha presentato ricorso. Dopo quattro anni, la Corte Amministrativa Suprema ha annullato la prima decisione dell'autorità. Tuttavia, l'Ufficio ha avviato un nuovo procedimento e nel febbraio 2024 il Presidente dell'Ufficio ha nuovamente sanzionato l'azienda Morele.net per violazione delle disposizioni del GDPR. Questa volta, la multa ammontava a oltre 3,8 milioni di PLN.

La decisione dell'organismo di vigilanza è stata nuovamente impugnata presso il Tribunale Amministrativo Provinciale di Varsavia, che ha respinto il ricorso di Morele.net contro la decisione del presidente dell'UODO.

Attualmente il caso è in attesa della decisione della Corte amministrativa suprema, poiché la società ha presentato ricorso anche contro la sentenza del Tribunale amministrativo provinciale.