Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Violation de données chez Morele.net

Des attaquants ont dérobé la base de données clients du groupe de commerce en ligne polonais Morele.net, exposant les données d'environ 2,2 millions de clients et lançant une campagne de hameçonnage par SMS réclamant un faux « complément » de 1 PLN via une passerelle de paiement contrefaite. L'UODO polonais a infligé son amende RGPD record d'alors, de 660 000 EUR.

Victime
Morele.net
données
2.2M
utilisateurs
2.2M
SecteurCommerce
PaysPologne

Fin 2018, le groupe de commerce en ligne polonais Morele.net — exploitant d'une famille de boutiques en ligne populaires d'électronique et de produits divers — a subi une violation de base de données qui a exposé les données d'environ 2,2 millions de clients et a alimenté une vaste campagne de fraude par hameçonnage SMS (smishing). L'affaire a donné lieu à ce qui était alors la plus grande amende RGPD de Pologne.

Ce qui s'est passé

La violation est apparue publiquement en novembre 2018, lorsque des clients ont commencé à recevoir des SMS affirmant qu'ils devaient effectuer un paiement supplémentaire de 1 PLN pour finaliser une commande récente. Chaque message contenait un lien vers une passerelle de paiement électronique Dotpay contrefaite conçue pour récolter les identifiants de cartes de paiement. Le caractère personnalisé des messages — faisant référence à de vraies commandes — montrait clairement que les attaquants avaient obtenu les données de commande et de contact des clients depuis les systèmes de Morele.

L'enquête a établi qu'une partie non autorisée avait accédé à la base de données clients de l'entreprise, exfiltrant des dossiers utilisés pour rendre les leurres de hameçonnage convaincants.

Impact

  • Les données d'environ 2,2 millions de clients ont été compromises.
  • Les informations exposées comprenaient noms, adresses e-mail, adresses de livraison, numéros de téléphone et empreintes de mots de passe ; une analyse a recensé près de 2,5 millions d'adresses e-mail uniques.
  • La campagne de smishing consécutive a tenté de frauder les clients via la fausse passerelle de paiement, transformant une violation de données en risque direct de fraude financière.

Issue réglementaire

Le 19 septembre 2019, l'Office polonais de protection des données personnelles (UODO) a infligé une amende de plus de 2,8 millions de PLN (environ 660 000 EUR) — à l'époque la plus élevée sanction de protection des données de Pologne. L'UODO a identifié trois manquements principaux : Morele.net a enfreint le principe de confidentialité du RGPD, n'a pas surveillé efficacement les activités inhabituelles telles que les téléchargements anormaux de données, et n'a pas réagi assez vite lorsque de grands volumes de données étaient exfiltrés. Le régulateur a conclu que les garanties organisationnelles et techniques de l'entreprise étaient tout simplement inadéquates au regard du volume et de la sensibilité des données détenues.

Des années plus tard, le volet pénal a porté ses fruits : en 2025, un suspect polonais a été inculpé en lien avec la violation, soit environ sept ans après les faits.

Pourquoi c'est important

La violation Morele.net est devenue un test déterminant de l'application du RGPD en Pologne et un exemple typique de la façon dont une compromission de base de données s'enchaîne avec un smishing de masse. L'amende record a signalé que les régulateurs sanctionneraient une surveillance déficiente et une détection lente — et pas seulement le fait d'une violation — établissant que la détection d'anomalies en temps réel est une attente de base pour les grandes plateformes grand public.

Chronologie

  1. Les clients de Morele.net commencent à recevoir des SMS réclamant un « complément » de paiement de 1 PLN via un lien vers une fausse passerelle de paiement Dotpay.

  2. Morele.net identifie la violation de la base de données et la campagne de hameçonnage associée, et commence à alerter les clients.

  3. L'entreprise signale l'incident, confirmant que les données d'environ 2,2 millions de clients ont été compromises.

  4. L'autorité polonaise de protection des données (UODO) inflige une amende de plus de 2,8 millions de PLN (660 000 EUR), alors la plus élevée du pays.

  5. Un suspect polonais est inculpé en lien avec la violation, environ sept ans après l'incident.

Sources

  1. itgovernance.euhttps://www.itgovernance.eu/blog/en/polish-dpo-issues-fine-to-online-retailer-for-data-breach
  2. mondaq.comhttps://www.mondaq.com/data-protection/848252/eur-660000-fine-in-poland-for-violation-of-personal-data-protection-regulations
  3. bitdefender.comhttps://www.bitdefender.com/en-us/blog/hotforsecurity/polish-hacker-charged-seven-years-after-massive-morele-net-data-breach
  4. dudkowiak.comhttps://www.dudkowiak.com/blog/morele-net-is-punished-with-a-record-penalty-for-violating-the-provisions-of-the-gdpr.html

Incidents liés

Fuite de donnéesRésolu

Fuite de données IIMJobs (2018)

En décembre 2018, le portail d'emploi indien IIMJobs a subi une fuite de données qui a exposé 4,1 millions d'adresses e-mail uniques. Les données comprenaient également des noms, numéros de téléphone, localisations géographiques, dates de naissance, intitulés de poste, candidatures et lettres de motivation, ainsi que des mots de passe stockés sous forme d'empreintes MD5 non salées.

Victim
IIMJobs
Records
4.2M
Fuite de donnéesRésolu

Fuite de données BlankMediaGames (2018)

En décembre 2018, le site web Town of Salem produit par BlankMediaGames a subi une fuite de données. Signalées à HIBP par DeHashed, les données contenaient 7,6 millions d'adresses e-mail uniques d'utilisateurs aux côtés de noms d'utilisateur, d'adresses IP, d'historiques d'achats et de mots de passe stockés sous forme de hachages phpass.

Victim
BlankMediaGames
Records
7.6M
Fuite de donnéesRésolu

Fuite de données OGUsers (2019 breach) (2018)

En mai 2019, le forum de détournement de comptes et de SIM swapping OGusers a subi une fuite de données. La fuite a exposé une sauvegarde de base de données datant de décembre 2018, publiée sur un forum de piratage rival. Elle comprenait 161 000 adresses e-mail uniques réparties sur 113 000 utilisateurs du forum et d'autres tables de la base de données.

Victim
OGUsers (2019 breach)
Records
161.1K