Loja online famosa enfrenta mais problemas de segurança cibernética. Bastou um clique

• No Morele.net, bastava um usuário logado e alterar o número no link para visualizar o e-mail e o número de telefone de outro cliente.
• A empresa garante que os dados não foram utilizados por terceiros.
• Esta não é a primeira vez que o Morele.net enfrenta problemas com a proteção de dados. Desde 2019, o UODO tenta puni-lo pelo vazamento de dados de 2,2 milhões de clientes.

Sem necessidade de hacking, habilidades especiais ou quebra de senhas, os dados dos clientes da loja virtual Morele.net estavam disponíveis na ponta dos seus dedos.

Como foi possível obter dados de clientes do Morele.net?

Bastava fazer login na loja – mesmo como um novo usuário – e colar no seu navegador qualquer link contendo o número do pedido no endereço do site. Ao alterar os números do pedido no link, você poderia exibir os dados de outro cliente, como um número de telefone ou endereço de e-mail. Essas informações são suficientes para que alguém comece a enviar spam, ligar ou tentar aplicar golpes usando o método "neto" ou "entregador". A vulnerabilidade foi descrita pelo site wieszanatrzeciastrona.pl.

O autor do site relatou o bug à empresa (um cliente anônimo do serviço de compras havia escrito para ele anteriormente). "Após confirmar a existência da vulnerabilidade, a removemos em até 2 horas após a confirmação do relato", garante Anna Pieprzak-Socha, da Morele.net. "Tomamos medidas imediatas para limitar o impacto da vulnerabilidade. Estamos no processo de identificar a causa raiz do problema", acrescenta.

O caso de vulnerabilidade no Morele.net está sendo tratado pela UODO

Como a empresa garante, os cibercriminosos não usaram essa brecha. - A vulnerabilidade foi usada apenas para fins de verificação pela parte denunciante e pelo jornalista, e todas as ações estavam dentro dos limites da divulgação responsável - diz WNP Pieprzak-Socha.

O caso foi reportado ao Escritório de Proteção de Dados Pessoais. Conforme confirmado pelo porta-voz da autoridade, uma análise está em andamento. Somente quando o UODO concluir suas atividades ficará claro se o Morele.net terá que pagar outra multa por violação de dados de seus clientes.

Multa de PLN 3,8 milhões para Morele.net aguarda decisão final do tribunal

Recorde-se que, em setembro de 2019, o Presidente do Gabinete de Proteção de Dados Pessoais impôs uma multa de 2,8 milhões de zlotys à empresa em relação à divulgação de dados pessoais de 2,2 milhões de pessoas. A empresa recorreu ao tribunal. Após quatro anos, o Supremo Tribunal Administrativo anulou a primeira decisão da autoridade. No entanto, o Gabinete abriu um novo processo e, em fevereiro de 2024, o Presidente do Gabinete puniu novamente a empresa Morele.net por violar as disposições do RGPD. Desta vez, a multa ascendeu a mais de 3,8 milhões de zlotys.

A decisão do órgão de supervisão foi novamente apelada ao Tribunal Administrativo Provincial de Varsóvia, que rejeitou a reclamação da Morele.net contra a decisão do presidente da UODO.

Atualmente, o caso aguarda decisão do Supremo Tribunal Administrativo, tendo a empresa também recorrido da sentença do Tribunal Administrativo Provincial.