20:47
20/1/2014

Tym razem nie zawiniła dziura w webaplikacji. Nie było żadnego exploita ani 0day’a, żadnych złych Chińczyków wykradających dane, ani przebiegłych agentów NSA podsłuchujących wszystkie bity przesyłane przez okoliczne łącza. Zawinił człowiek. I zrobił to świadomie, dla zysku.

Człowiek najsłabszym ogniwem

Na początek warto zauważyć, że 20 milionów Koreańczyków to w prawie połowa społeczeństwa tego kraju… Dane aż tylu Koreańczyków wykradł jeden z pracowników firmy ratingowej Korea Credit Bureau. Miał on dostęp do wewnętrznych systemów współpracujących z biurem kredytowym instytucji wydających karty kredytowe. Co zrobił z danymi? Sprzedał je jednej z firm trudniących się tele-marketingiem…

Nie zawsze dane, które wyciekły służą do kradzieży. Czasem trafiają w ręce marketingowców, którzy zalewają ofiary spamem.
Czy Koreańczycy stracili pieniądze na skutek tego wycieku -- nie wiadomo

Czy Koreańczycy stracili pieniądze na skutek tego wycieku — nie wiadomo. Organizacje kartowe obiecują jednak rekompensaty ewentualnym, pokrzywdzonym klientom.

Teraz, jak podaje AFP, zarówno pracownik KCB jak i managerowie firmy marketingowej zostali aresztowani.

Wykradzione dane to:

  • imie i nazwisko,
  • numer telefonu,
  • numer kart kredytowej wraz z datą ważności karty.

Nad człowiekiem trudno zapanować

I chociaż wyciek 20 milionów rekordów to “nic” w porównaniu z niedawną kradzieżą 110 milionów kart w USA, to warto odnotować ten przypadek. Pięknie obrazuje on to, że inwestycja w wysokiej klasy sprzęt i nawet spełnienie wyśrubowanych branżowych norm (np. PCI DSS) nie ma większego znaczenia, jeśli dane będzie chciał wykraść pracownik. To, jakie straty może spowodować “przekupiony” lub “zbuntowany” pracownik pokazuje także rozgrywająca się od pół roku afera Snowdena

Przeczytaj także:

15 komentarzy

Dodaj komentarz
  1. Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

  2. “spełnienie wyśrubowanych branżowych norm (np. PCI DSS)”
    Ahahahahahahahahaha

    • Taa, wyśrubowane to one są na papierze :P
      Prawda jest taka, że gość nie powinien, nawet jako admin, mieć dostępu do danych.

  3. “Nad człowiekiem trudno zapanować”

    Jeśli ktoś myśli, że nad czymś takim jak człowiek da się zapanować to jest głupkiem i wierzy w utopie.

    • Obecnie, w tajnym laboratorium znajdującym się w USA, testujemy mikrochipy wszczepiane wprost do kory mózgowej człowieka. Testy przebiegają pomyślnie, jedynie 3% pacjentów umiera podczas operacji.
      Takie chipy gwarantują nam możliwość zapanowania nad człowiekiem oraz podsłuchiwania go, zanim jeszcze wypowie słowa, czy wyśle maila. Dzięki temu możemy powstrzymać zamachowca, nim ten naciśnie guzik.
      W przyszłości planujemy wszczepiać nasze chipy noworodkom.

      Pamiętajcie, robimy to dla dobra swojego, Waszego, ojczyzny i ludzkości!

      Pozdrawiamy,
      NSA Polska, sp. z.o.o.

    • @NSA: Cybernetyki 7, Warszawa, tak ?

    • Zadziwiające, że te komentarze o NSA jeszcze się towarzystwu nie znudziły.

  4. Na tego typu czynnik ludzki wbrew pozorom znany jest sposób już od dawna – płacić ludziom którzy mają dostęp do danych tyle, żeby nawet nie myśleli o takich rzeczach.

    • You wish :P

  5. Z sieci handlowej Target w USA wykradziono dane 110 mln ludzi a na niebezpieczniku cisza.

  6. PCI-DSS wyśrubowane? Dobre.

  7. Zwracam honor. Subskrybuję kanał a i tak nie pomogło. Starość nie radość.

  8. […] opisywaliśmy także kilkukrotnie na łamach samego Niebezpiecznika. Ostatnio przy okazji ogromnego wycieku danych finansowych z jednej z koreańskich firm ubezpieczeniowych. Innym ciekawym przypadkiem, wartym wspomnienia w tym kontekście, był pewien leniwy pracownik, […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.