Una conocida tienda online se enfrenta a más problemas de ciberseguridad; basta con un clic.

• En Morele.net, todo lo que se necesitó fue un usuario registrado y cambiar el número en el enlace para ver el correo electrónico y el número de teléfono de otro cliente.
• La empresa garantiza que los datos no han sido utilizados por terceros.
• Esta no es la primera vez que Morele.net tiene problemas con la protección de datos. Desde 2019, la UODO ha intentado sancionarla por filtrar los datos de 2,2 millones de clientes.

Sin necesidad de hackers, habilidades especiales o descifrar contraseñas, los datos de los clientes de la tienda en línea Morele.net estaban a su alcance.

¿Cómo fue posible obtener datos de los clientes de Morele.net?

Solo tenías que iniciar sesión en la tienda, incluso como nuevo usuario, y pegar en tu navegador cualquier enlace que contuviera el número de pedido de la dirección del sitio web. Al cambiar los números de pedido en el enlace, podías mostrar los datos de otro cliente, como su número de teléfono o dirección de correo electrónico. Esta información es suficiente para que alguien empiece a enviar spam, llamar o intentar estafar utilizando el método de "nieto" o "mensajería". La vulnerabilidad fue descrita por el sitio web wieszanatrzeciastrona.pl.

El autor del sitio reportó el error a la empresa (un cliente anónimo del servicio de compras le había escrito previamente). «Tras confirmar la existencia de la vulnerabilidad, la eliminamos en menos de dos horas», asegura Anna Pieprzak-Socha de Morele.net. «Inmediatamente tomamos medidas para limitar el impacto de la vulnerabilidad. Estamos identificando la causa raíz del problema», añade.

El caso de vulnerabilidad en Morele.net está siendo manejado por UODO

Según la empresa, los cibercriminales no aprovecharon esta vulnerabilidad. "La vulnerabilidad fue utilizada únicamente con fines de verificación por parte del informante y del periodista y todas las acciones se realizaron dentro de los límites de la divulgación responsable", afirma WNP Pieprzak-Socha.

El caso se reportó a la Oficina de Protección de Datos Personales. Según confirmó el portavoz de la autoridad, se está llevando a cabo un análisis. Solo cuando la UODO concluya sus actividades se sabrá si Morele.net tendrá que pagar otra multa por la violación de los datos de sus clientes.

La multa de 3,8 millones de zlotys para Morele.net está a la espera de la decisión final del tribunal.

Recordemos que, en septiembre de 2019, el presidente de la Oficina de Protección de Datos Personales impuso a la empresa una multa de 2,8 millones de zlotys por la filtración de datos personales de 2,2 millones de personas. La empresa recurrió la decisión. Tras cuatro años, el Tribunal Supremo Administrativo revocó la primera decisión de la autoridad. Sin embargo, la Oficina inició un nuevo procedimiento y, en febrero de 2024, el presidente de la Oficina volvió a sancionar a la empresa Morele.net por infringir las disposiciones del RGPD. En esta ocasión, la multa ascendió a más de 3,8 millones de zlotys.

La decisión del organismo supervisor fue recurrida nuevamente ante el Tribunal Administrativo Provincial de Varsovia. Este desestimó la queja de Morele.net contra la decisión del presidente de la UODO.

Actualmente, el caso está a la espera de la decisión del Tribunal Administrativo Supremo, ya que la empresa también ha apelado la sentencia del Tribunal Administrativo Provincial.