Firma se proti pokutě bude bránit správní žalobou, uvedla její mluvčí Táňa Lálová. Odcizené údaje zákazníků internetového obchodu Mall.cz hackeři loni v létě zveřejnili na webu, firma pak část hesel vymazala, aby zabránila jejich zneužití.
Hackeři napadli e-shop Mall.cz, stovky tisíc emailů mohly uniknout |
„K výši sankce výrazně přispěl počet zákazníků, jejichž údaje společnost Internet Mall, a.s. dostatečně nezabezpečila. Hovoříme tu o téměř tři čtvrtě milionu lidí, jejichž údaje mohly být zneužity,“ uvedla předsedkyně ÚOOÚ Ivana Janů. Podle úřadu navíc firma nezjistila, jak se únik dat odehrál.
Uniklá data o nejméně 735 956 zákaznících se loni 27. července objevila na serveru Uložto.cz. Zpřístupněná byla do 25. srpna. Jména, příjmení, e-mailové adresy, hesla uživatelských účtů, případně telefonní čísla svých zákazníků Internet Mall nezabezpečil podle úřadu před neoprávněným přístupem v období minimálně od 31. prosince 2014 do srpna 2017.
Provozovatel e-shopu uvedl, že se závěry ÚOOÚ se nemůže ztotožnit. „Úřad se řádně nevypořádal s naší argumentací a nepřihlédl k některým, z našeho pohledu podstatným skutečnostem. Proto nyní pracujeme na přípravě správní žaloby,“ napsala mluvčí společnosti.
Hackeři do systému pronikli skrz zastaralou databázi
Firma už dřív uvedla, že ohrožena byla starší databáze z roku 2014, zakódovaná již nepoužívaným způsobem, který útočníkovi umožnil některá hesla prolomit. Společnost loni v létě kontaktovala zákazníky, kterých se únik hesel mohl týkat, a oznámila jim, že jejich heslo z bezpečnostních důvodů smazala. Také jim sdělila postup, jak si zadat nové heslo.
Skupinu e-shopů Mall Group vlastní skupina PPF, podnikatelé Daniel Křetínský s Patrik Tkáč a investiční skupina Rockaway Capital. Vedle Mall.cz do skupiny patří například specializované obchody CZC.cz, Košík.cz, Proděti, BigBrands a Rozbaleno. Tržby obchodů Mall.cz byly loni 7,2 miliardy korun, celá Mall Group utržila zhruba 18 miliard korun.
Ještě vyšší pokutu za únik dat klientů uložil ÚOOÚ předloni operátorovi T-Mobile. Sankci 3,6 milionu korun operátor považoval za nepřiměřenou, ale postih přijal. Data 1,2 milionu klientů firmy podle úřadu ukradl její zaměstnanec a T-Mobile se dopustil správního deliktu, když data dostatečně nezabezpečil. Maximální výše pokuty je deset milionů korun.