Ustalono sprawcę głośnego wycieku danych z Morele.net

Po niemal ośmiu latach śledczy wskazali osobę, która miała stać za jednym z najgłośniejszych incydentów cyberbezpieczeństwa w polskim e-commerce. Centralne Biuro Zwalczania Cyberprzestępczości poinformowało o zatrzymaniu i przedstawieniu zarzutów w sprawie włamania do systemów sklepu Morele.net, w wyniku którego pozyskano bazę danych ponad dwóch milionów klientów. Podejrzany ma przyznawać się do czynu i złożyć obszerne wyjaśnienia, a postępowanie nadzoruje Prokuratura Okręgowa w Krakowie.

Do przełamania zabezpieczeń teleinformatycznych sklepu internetowego i wyprowadzenia danych doszło w 2018 roku. Sprawa była wówczas szeroko komentowana, a konsekwencje dla klientów i firmy rozciągnęły się na kolejne lata. Jak przekazano teraz, postępowanie pierwotnie umorzono z uwagi na niewykrycie sprawcy, ale śledczy nie porzucili wątku i utrzymywali go w zainteresowaniu organów ścigania. 

Przełom nastąpił 30 stycznia. Według informacji przekazanych przez CBZC, zarzuty usłyszał 29-letni obywatel Polski. „Mężczyzna usłyszał zarzuty, przyznał się do zarzucanych mu czynów” – przekazał rzecznik prasowy CBZC kom. Marcin Zagórski, dodając, że podejrzany złożył obszerne wyjaśnienia. 

Śledztwo prowadzi Prokuratura Okręgowa w Krakowie, a za zarzucane przestępstwo ma grozić do dwóch lat więzienia. 

Zakres ujawnionych informacji obejmował m.in. imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania oraz zaszyfrowane hasła do kont użytkowników. Jednocześnie podkreślono, że dane dotyczące płatności nie były objęte incydentem. Po wykryciu naruszenia wdrożono działania zabezpieczające, a klienci zostali poinformowani o zdarzeniu. 

W komunikacie zwrócono uwagę na znaczenie współpracy z podmiotem, który padł ofiarą ataku. Według CBZC to ona pozwoliła „zidentyfikować wektor ataku”, odtworzyć przebieg zdarzenia i – na podstawie pozostawionych śladów – dojść do personaliów podejrzewanego. 

Sprawa wycieku z 2018 roku miała również swój ciąg dalszy na gruncie ochrony danych osobowych. Urząd Ochrony Danych Osobowych informował w poprzednich latach o ponownej analizie naruszeń i nałożeniu kary administracyjnej na spółkę. To tło pokazuje, że skutki jednego ataku mogą być długofalowe – zarówno w wymiarze prawnym, jak i wizerunkowym – nawet gdy sam incydent dotyczył danych, a nie bezpośrednio płatności.

red.