Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) ogłosiło przełom w sprawie największego wycieku danych w historii polskiego e-commerce. Po blisko ośmiu latach od zdarzenia, funkcjonariusze ustalili i zatrzymali sprawcę ataku na bazę klientów serwisu Morele.net, do którego doszło w 2018 roku.
Podejrzany, 29-letni obywatel Polski, usłyszał już zarzuty i przyznał się do winy. Incydent dotyczył przełamania zabezpieczeń teleinformatycznych i pozyskania bazy danych obejmującej ponad dwa miliony klientów. Mimo zatrzymania sprawcy, konsekwencje tego wycieku są nadal odczuwalne, a skradzione dane stanowią potencjalne zagrożenie dla bezpieczeństwa finansowego i prywatności milionów Polaków.
Komisarz Marcin Zagórski, rzecznik prasowy CBZC, potwierdził, że sprawca usłyszał zarzuty dotyczące bezprawnego uzyskania i ujawnienia informacji. Zatrzymanie to jest wynikiem długotrwałej pracy śledczej, która została wznowiona po pierwotnym umorzeniu postępowania z powodu niewykrycia sprawcy.
Przełom po Ośmiu Latach: Jak CBZC namierzyło sprawcę?
Atak na Morele.net w 2018 roku był jednym z najbardziej spektakularnych incydentów cybernetycznych w Polsce. Mimo ogromnej skali i natychmiastowych działań podjętych przez sklep, sprawa pozostawała nierozwiązana przez lata. Przełom nastąpił dzięki zaangażowaniu wyspecjalizowanych jednostek CBZC.
Jak wyjaśnił kom. Zagórski, kluczem do identyfikacji sprawcy okazała się ścisła współpraca z pokrzywdzonym podmiotem. Analiza wektora ataku oraz szczegółowe badanie pozostawionych śladów cyfrowych pozwoliły funkcjonariuszom Centralnego Biura Zwalczania Cyberprzestępczości na ustalenie personaliów 29-latka.
W efekcie, 30 stycznia, obywatel Polski odpowiedzialny za kradzież danych usłyszał zarzuty. Podejrzany złożył obszerne wyjaśnienia i przyznał się do popełnienia zarzucanego mu czynu. Zatrzymanie to podkreśla rosnące możliwości polskich służb w zakresie zwalczania przestępczości zorganizowanej w sieci.
Co dokładnie wykradziono? Lista zagrożonych danych
Incydent z 2018 roku miał poważne konsekwencje, ponieważ dotyczył szerokiego zakresu danych osobowych, które mogły zostać wykorzystane do dalszych ataków socjotechnicznych i kradzieży tożsamości. Klienci Morele.net powinni zweryfikować, jakie informacje na ich temat mogły trafić w niepowołane ręce.
Wykradziony zakres informacji obejmował:
- Imiona i nazwiska użytkowników.
- Adresy e-mail (kluczowe do phishingu).
- Numery telefonów.
- Adresy zamieszkania.
- Zaszyfrowane hasła do kont użytkowników.
Krytycznie ważną informacją, która powinna uspokoić część klientów, jest fakt, że dane dotyczące płatności oraz numery kart kredytowych nie były objęte incydentem. Systemy płatnicze Morele.net nie zostały naruszone, co minimalizuje bezpośrednie ryzyko strat finansowych związanych z transakcjami.
Konsekwencje dla 2 Milionów Klientów: Ryzyko phishingu i spoofingu
Mimo zatrzymania sprawcy, baza danych zawierająca informacje o 2 milionach Polaków prawdopodobnie wciąż krąży w podziemiu internetowym. Oznacza to, że zagrożenie dla poszkodowanych klientów nie minęło, a wręcz może się nasilać, ponieważ dane te są łączone z innymi wyciekami.
Największym ryzykiem jest obecnie phishing oraz spoofing. Przestępcy wykorzystują skradzione adresy e-mail, numery telefonów oraz imiona i nazwiska do tworzenia wiarygodnych wiadomości, które mają na celu wyłudzenie dodatkowych, wrażliwszych danych (np. danych logowania do bankowości internetowej).
Praktyczna porada dla klientów:
Należy natychmiast sprawdzić i zmienić hasła, jeśli używali Państwo tego samego hasła do konta Morele.net w innych serwisach (banki, poczta, media społecznościowe). Nawet zaszyfrowane hasła mogą zostać złamane w przyszłości, zwłaszcza jeśli były słabe. Zaleca się również włączenie weryfikacji dwuetapowej (2FA) wszędzie tam, gdzie jest to możliwe, aby chronić się przed nieautoryzowanym dostępem.
Jaka Kara Grozi Hakerowi? Aspekt prawny wycieku
Postępowanie w tej sprawie prowadzi Prokuratura Okręgowa w Krakowie. Zatrzymanemu 29-latkowi postawiono zarzuty związane z bezprawnym uzyskaniem i ujawnieniem informacji, co stanowi naruszenie przepisów dotyczących bezpieczeństwa teleinformatycznego.
Zgodnie z polskim prawem, za popełnione przestępstwo sprawcy grozi kara pozbawienia wolności do dwóch lat. Choć kara może wydawać się niska w stosunku do skali naruszenia, warto pamiętać, że jest to maksymalny wymiar przewidziany za tego typu czyny, a ostateczna decyzja zależy od oceny sądu i okoliczności łagodzących, w tym przyznania się do winy.
Zatrzymanie to stanowi jednak ważny sygnał dla środowiska cyberprzestępców, pokazując, że polskie organy ścigania są w stanie rozwiązać nawet najbardziej skomplikowane i długotrwałe sprawy dotyczące masowych naruszeń danych osobowych.
