Jest takie powiedzenie, że pierwszy milion trzeba ukraść – coś w tym jest i szczególnie nabiera to sensu po ostatnich wydarzeniach, które zostały zapoczątkowane kilka miesięcy temu.
Jak informuje Redakcja serwisu Zaufana Trzecia Strona – jeden z większych w Polsce serwisów o bezpieczeństwie, dwa miesiące temu rozpoczął współpracę z pewnym bankiem, którego serwery na skutek niewystarczających zabezpieczeń padły ofiarą włamania. Wykradziono poufne informacje ponad 150 000 klientów, w tym adresy e-mail, numery kart płatniczych z kodami CVV oraz uszczuplono większość kont bankowych na łączną kwotę prawie jednego miliona złotych.
Z poniedziałkowego i wczorajszego artykułu zamieszczonego na łamach serwisu Z3S.pl dowiadujemy się, że sprawcą włamania do serwerów banku Plus Bank był Polsilver znany też jako Razor4 – administrator polskiego forum ToRepublic (forum dostępne jest w sieci TOR), który za pośrednictwem redakcji ZS3.pl i Niebezpiecznik.pl chciał dogadać się z bankiem. A oto jego żądania – cyt. oryginał:
W tym miejscu publicznie prezentuje ostatnia propozycje ugody dla banku.
Prosze aby media korzystajace z mojego opisu uwzglednily to w swoich artykulach. Jesli bank nie chce, aby wszytkie informacje ktore zdobylem zostaly opublikowane musi zaplacic odpowiednia kwote. Wynosi ona 200,000 zl przy platnosci jednorazowej lub 400,000 zl w przypadku platnosci na raty (10 x 40 tys, co miesiac). Druga opcja daje pewnosc ze zadne z danych nie zostana opublikowane przed uplywem owych 10 miesiecy bo nie bedzie to oplacalne.
Po oplaceniu tej kwoty zadne informacje dotyczace banku nie beda juz publikowane, a dane klientow pozostana bezpieczne. W te kwote wchodza jeszcze informacje jak udalo zdobyc sie dostep do banku, jakie systemy zawiodly oraz ktore osoby zostaly poszkodowane.
Generalnie bank dostanie wszystkie niezbedne informacje ktore pozwola zalagodzic obecna sytulacje, nie narazajac sie na straty wizerunkowe – dane nie zostana upublicznione, nie bedzie afery, opinia publiczna stwierdzi ze pewnie sciemnialem i zadnego wlamania nie bylo.
Zaproponowana cena jest bardzo niska, biorac pod uwagę ilość danych. Jest to mniej niz 2.5 zl od kazdego klienta korzystajacego z bankowosci elektronicznej. Jesli bank nie zaplaci, bedzie to oznaczalo ze dane finansowe, dane o kwotach umow, kazdego klienta sa warte dla banku mniej niz owe 2.5 zl.
Jestem przekonany ze wieksza kare bank dostanie od samego GIODO w przypadku opublikowania danych niz wynosi podana przezemnie kwota. Biorąc pod uwagę ilość danych osobowych, oraz to że wina za ich ninależyte zabezpieczenie leży po stronie banku, jest to dosyc prawdopodobne.
Sprawca incydentu do piątku tj. 10 czerwca czeka na zapłatę od banku w wysokości 200 000 złotych lub 400 000 w 10 ratach. W przeciwnym razie opublikuje kompromitujące bank informacje i wykradzione dane klientów. Kto na tym najbardziej ucierpi? Bank czy jego klienci? Odpowiedź jest bardzo prosta.
Niestety, ale na tym ta historia jeszcze się nie kończy. Jak pokazują niektóre wydarzenia z przeszłości, praca redaktora nie zawsze jest komfortowa i bezpieczna. Jeśli interesujecie się polityką zapewne znacie postać Piotra Sumlińskiego. Otóż na skutek opublikowania serii dowodów, które wskazywały na powiązania byłego prezydenta Bronisława Komorowskiego z Wojskowymi Służbami Informacyjnymi, Piotr Sumliński miał z tego powodu ogromne problemy – delikatnie mówiąc. Zainteresowanych odsyłamy do wideo-reportaży na ten temat.
Autor publikacji włamania do banku również miał z tego powodu pewne nieprzyjemności:
Tydzień temu, na 5 godzin przed zaplanowaną publikacją artykułu (wcześniej wielokrotnie na prośbę banku przekładaną) otrzymaliśmy wezwanie do zaniechania naruszenia dóbr osobistych zawierające następujący akapit:
[…]wzywam do odstąpienia od bezprawnego rozpowszechniania informacji dotyczących skutków prób ataków hakerskich na system teleinformatyczny Banku i zastosowanych w związku z tym przez bank środków bezpieczeństwa […]. Informacje te są oparte na niewiarygodnych źródłach i nie uwzględniają stanowiska Banku w opisywanej sprawie. Rozpowszechnienie rzeczonych informacji stanowić będzie działanie jawnie i oczywiście bezprawne, godzące w dobra osobiste (reputację) Banku i prowadzące do powstania po stronie Banku trudnej do powetowania szkody.
Z kolei w piątek około godziny 11 z adresu IP [X.X.X.X] przez formularz kontaktowy do Z3S.pl dotarła wiadomość:
Czesc sloneczko, zaczne od tego, ze juz masz u nas na pienku, wiec zastanow sie dwa razy czy chcesz opublikowac artykul o wlamaniu do [tu nazwa banku], 20k to nie jest duzo, a glowa leci, chcesz sie w koncu doigrac?
Pozdrawiam serdecznie
Redakcja Zaufana Trzecia Strona:
O tym, że planujemy publikację artykułu, wiedziało tylko wąskie, zaufane grono współpracowników redakcji, włamywacz oraz bank. Nie wiemy, kto był nadawcą wiadomości
Szczegóły tej historii znajdują się (na razie) w dwuczęściowym artykule na Z3S.pl
