Bekannter Online-Shop sieht sich mit zunehmenden Cybersicherheitsproblemen konfrontiert – alles, was nötig war, war ein Klick

• Bei Morele.net musste ein angemeldeter Benutzer lediglich die Nummer im Link ändern, um die E-Mail-Adresse und Telefonnummer eines anderen Kunden anzuzeigen.
• Das Unternehmen versichert, dass die Daten nicht von Dritten verwendet werden.
• Dies ist nicht das erste Mal, dass Morele.net Probleme mit dem Datenschutz hat. Seit 2019 versucht UODO, das Unternehmen für die Weitergabe der Daten von 2,2 Millionen Kunden zu bestrafen.

Ohne Hacking, besondere Fähigkeiten oder das Knacken von Passwörtern – die Kundendaten des Online-Shops Morele.net waren sofort verfügbar.

Wie war es möglich, an die Kundendaten von Morele.net zu gelangen?

Man musste sich lediglich im Shop anmelden – auch als neuer Benutzer – und einen beliebigen Link mit der Bestellnummer in der Website-Adresse in den Browser einfügen. Durch Ändern der Bestellnummern im Link konnten die Daten eines anderen Kunden, wie beispielsweise Telefonnummer oder E-Mail-Adresse, angezeigt werden. Diese Informationen reichten aus, um Spam zu versenden, anzurufen oder Betrugsversuche mit der Methode „Enkelkind“ oder „Kurier“ zu starten. Die Sicherheitslücke wurde auf der Website wieszanatrzeciastrona.pl beschrieben.

Der Autor der Website meldete den Fehler dem Unternehmen (ein anonymer Kunde des Shopping-Dienstes hatte ihm zuvor geschrieben). – Nachdem wir die Existenz der Sicherheitslücke bestätigt hatten, haben wir sie innerhalb von zwei Stunden nach Bestätigung des Berichts behoben – versichert Anna Pieprzak-Socha von Morele.net. – Wir haben sofort Maßnahmen ergriffen, um die Auswirkungen der Sicherheitslücke zu begrenzen. Wir sind dabei, die Grundursache des Problems zu identifizieren – fügt sie hinzu.

Der Fall der Sicherheitslücke bei Morele.net wird von UODO bearbeitet

Wie das Unternehmen versichert, haben Cyberkriminelle diese Lücke nicht ausgenutzt. – Die Sicherheitslücke wurde vom Meldenden und dem Journalisten ausschließlich zu Überprüfungszwecken genutzt, und alle Maßnahmen lagen im Rahmen einer verantwortungsvollen Offenlegung – sagt WNP Pieprzak-Socha.

Der Fall wurde dem Amt für den Schutz personenbezogener Daten gemeldet. Wie ein Sprecher der Behörde bestätigte, läuft derzeit eine Analyse. Erst wenn das Amt seine Tätigkeit abgeschlossen hat, wird sich zeigen, ob Morele.net wegen der Verletzung der Daten seiner Kunden eine weitere Geldstrafe zahlen muss.

3,8 Millionen PLN Strafe für Morele.net – endgültige Gerichtsentscheidung steht noch aus

Zur Erinnerung: Im September 2019 verhängte der Präsident des Amtes für den Schutz personenbezogener Daten gegen das Unternehmen eine Geldbuße in Höhe von 2,8 Millionen PLN im Zusammenhang mit dem Verlust personenbezogener Daten von 2,2 Millionen Menschen. Das Unternehmen legte Berufung ein. Nach vier Jahren hob das Oberste Verwaltungsgericht die erste Entscheidung der Behörde auf. Das Amt leitete jedoch ein neues Verfahren ein, und im Februar 2024 bestrafte der Präsident des Amtes das Unternehmen Morele.net erneut wegen Verstoßes gegen die Bestimmungen der DSGVO. Diesmal belief sich die Geldbuße auf über 3,8 Millionen PLN.

Gegen die Entscheidung der Aufsichtsbehörde wurde erneut Berufung beim Woiwodschaftsverwaltungsgericht in Warschau eingelegt. Dieses wies die Beschwerde von Morele.net gegen die Entscheidung des Präsidenten der UODO ab.

Derzeit wartet der Fall auf eine Entscheidung des Obersten Verwaltungsgerichtshofs, da das Unternehmen auch gegen das Urteil des Landesverwaltungsgerichts Berufung eingelegt hat.