20:00
21/6/2015

Przedwczoraj opublikowaliśmy oświadczenia Związku Banków Polskich i Komisji Nadzoru Finansowego w sprawie włamania do Plus Banku. Dziś publikujemy oświadczenie, jakie spłynęło do nas w tej sprawie z GIODO — jest ono tak obszerne i ciekawe, że postanowiliśmy je wyłączyć do osobnego artykułu. Ciekawostka: oświadczenie zaprzecza stwierdzeniu Razora/Polsilvera, jakoby incydent był przez niego zgłaszany do GIODO.

O co pytaliśmy?

1. Włamywacz w swoim “oświadczeniu” twierdzi, że jeszcze w maju kontaktował się z GIODO aby poinformować o nieprawidłowościach (udanej kradzieży danych klientów) w Plus Banku. Czy potwierdzają Państwo takie zgłoszenie pochodzące sprzed 8 czerwca.?

Oświadczenie włamywacza w sprawie kontaktu z Zarządem Plus Banku oraz GIODO i innymi instytucjami

Oświadczenie włamywacza w sprawie kontaktu z Zarządem Plus Banku oraz GIODO i innymi instytucjami

2. Czy GIODO ma jakieś rady dla osób, których dane (imię, nazwisko, e-mail, adres zamieszkania, PESEL, numer dowodu, informacje o środkach i transakcjach) zostały wykradzione i opublikowane w internecie?

3. Na czym polega rola GIODO w takich incydentach jak ten i czy Plus Bankowi grozi kara za niewystarczającą ochronę danych klientów?

A oto dopowiedź, jaką przesłała Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego (wytłuszczenia nasze):

Szanowni Państwo,
uprzejmie informuję, że GIODO nie otrzymał żadnego pisma od hakera z informacjami dotyczącymi włamania do systemów Plus Banku. Potwierdzam również, że GIODO zaplanował kontrolę w banku i zostanie ona przeprowadzona w możliwe, jak najszybszym terminie.
Warto podkreślić, że ustawa o ochronie danych osobowych określa jedynie ogólne zasady przetwarzania danych, odsyłając do przepisów sektorowych, na podstawie których działają poszczególne podmioty. Tak jest również w przypadku sektora bankowego, którego funkcjonowanie regulują przede wszystkim przepisy Prawa bankowego zobowiązujące do przestrzegania tzw. tajemnicy bankowej. Za jej naruszenie prawo bankowe przewiduje odpowiedzialność karną (w załączeniu przepisy karne ustawy prawo bankowe).

Adekwatne przepisy – Art. 171 Prawo Bankowe:
4. Kto, będąc obowiązany do podania uprawnionym organom informacji dotyczących banku i klientów banku w zakresie ustalonym w ustawie, podaje nieprawdziwe lub zataja prawdziwe dane, podlega grzywnie i karze pozbawienia wolności do lat 3.
5. Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, podlega grzywnie do 1 000 000 złotych i karze pozbawienia wolności do lat 3.
6. Kto, będąc odpowiedzialnym za zapewnienie właściwego funkcjonowania wewnętrznej kontroli danych i informacji wymaganych w związku ze sprawowaniem nadzoru skonsolidowanego lub za udzielanie informacji i wyjaśnień na żądanie Komisji Nadzoru Finansowego, nie wykonuje ciążącego na nim obowiązku albo wykonuje go nierzetelnie lub nieterminowo, podlega grzywnie do 1 000 000 zł lub karze pozbawienia wolności do lat 3.
7. Kto, będąc odpowiedzialnym za sporządzenie lub przedstawienie Komisji Nadzoru Finansowego skonsolidowanego sprawozdania finansowego lub innych sprawozdań związanych z nadzorem skonsolidowanym, nie wykonuje ciążącego na nim obowiązku albo wykonuje go nierzetelnie lub nieterminowo, podlega grzywnie do 500 000 zł lub karze pozbawienia wolności do lat 2.

Zaś ustawa o ochronie danych osobowych, której banki również muszą przestrzegać, zobowiązuje do dbałości o dane osobowe w taki sposób, by były one bezpieczne czyli, aby nie miały do nich dostępu osoby do tego nieuprawnione, i żeby nikt niepowołany nie mógł wejść w ich posiadanie.
Zatem bank, jak każdy tzw. administrator danych (jest nim podmiot decydujący o celach i środkach przetwarzania danych) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 uodo). Wybór odpowiednich środków gwarantujących przetwarzanym danym optymalny stopień zabezpieczenia pozostawia jednak do uznania konkretnemu administratorowi danych osobowych. Mogą to być różnego rodzaju rozwiązania architektoniczno – budowlane, systemy alarmowe i służby ochrony. Ważne jest, aby administrator danych dysponował takimi instrumentami organizacyjnymi i technicznymi, za pomocą których będzie w stanie wyeliminować zagrożenia utraty, zmiany czy zniszczenia danych osobowych.
Za nieprzestrzeganie zasad ochrony danych osobowych ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną (art. 49 – art. 54).
Przykładowo, za niewłaściwe zabezpieczenie danych osobowych, czego konsekwencją jest ich zabranie przez osobę nieuprawnioną lub ich uszkodzenie czy zniszczenie, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Niemniej wskazać należy, że każda sprawa tzw. wycieku danych wymaga indywidualnej oceny, może bowiem zachodzić taka sytuacja, że zastosowane środki techniczne były wystarczające, a wyciek danych związany mógł być np. z kradzieżą.
Właściwe do ustalenia wszystkich okoliczności tego typu spraw są jednak organy ścigania, które albo z własnej inicjatywy, albo po zgłoszeniu im zdarzenia podejmują stosowne działania, bowiem to one są jedynymi właściwymi do ścigania przestępstw (art. 2 ustawy z dnia 20 czerwca 1985 r. o prokuraturze). To do nich, a następnie do sądów karnych, które na zasadach i w trybie określonym w ustawie z dnia 6 czerwca 1997 r. Kodeks postępowania karnego, prowadzą postępowanie karne mające na celu pociągnięcie do odpowiedzialności winnych naruszenia obowiązujących przepisów prawa.
Również do organów ścigania może zwrócić się każda osoba pokrzywdzona, która uważa, że zostały naruszone jej prawa do ochrony danych osobowych. Można też skorzystać z prawa wniesienia pozwu cywilnego z tytułu naruszenia dóbr osobistych, i jeśli sad uzna, że rzeczywiście poniosło się uszczerbek, to może przyznać odszkodowanie.

Co zaś do upubliczniania (będącej jedną z form przetwarzania) wykradzionych danych przez hakera, to wskazać należy, że takie działanie jest bezprawne. Zgodnie bowiem z art. 49 ust. 1 ustawy o ochronie danych osobowych, każdy „kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.
Przy czym odpowiedzialności tej podlega nie tylko osoba, która dane wykradła, ale również i ta, która wykorzystując możliwość dostępu do nich w jakikolwiek sposób je przetwarza, np. podaje dalej do publicznej wiadomości.
Warto dodać, że z praktyki GIODO wynika, iż banki są na ogół bardzo dobrze przygotowane do przetwarzania, w tym zabezpieczania danych swoich klientów, bowiem korzystają w tym celu z wysokiej klasy specjalistów oraz stosują odpowiedni sprzęt i środki.
Czy rzeczywiście i w przypadku tego banku tak jest – przekonamy się po jego skontrolowaniu przez GIODO.

Jeśli chodzi o zagrożenia dla osób, których dane są powszechnie dostępne, to może ono polegać m.in. na kradzieży tożsamości, czyli podszycia się pod taką osobę i działania w celu wyrządzenia jej szkody, jak np. zaciągnięcia w jej imieniu kredytu czy kupna towarów i usług. Generalną zasadą jest to, że dane są pozyskiwane najczęściej w celu osiągnięcia korzyści majątkowych, w sposób niezgodny z obowiązującym prawem.
Chociaż kradzież tożsamości jest przestępstwem, za które grozi odpowiedzialność karna, to samo pojęcie „kradzież tożsamości” nie jest spenalizowane w Kodeksie karnym, gdyż nie występuje samoistnie, a jedynie jako etap inicjujący i umożliwiający dokonanie przestępstwa.
W zależności od sposobu wyłudzenia i wykorzystania danych, zastosowanie mogą mieć zatem różne przepisy.
Przykładowo zgodnie z art. 190a § 2 Kodeksu karnego, podszywanie się pod inną osobę, wykorzystywanie jej wizerunku lub innych jej danych osobowych w celu wyrządzenia jej szkody majątkowej lub osobistej jest przestępstwem, za które grozi kara pozbawienia wolności do lat 3. Z kolei przepisy Rozdziału XXXIII Kodeksu karnego określają odpowiedzialność karną za przestępstwa przeciwko ochronie informacji, m.in. za przełamywanie albo omijanie elektronicznych czy informatycznych zabezpieczeń, a także za zmienianie zapisu istotnej informacji na informatycznym nośniku danych.
Dodatkowo karze podlega również zachowanie polegające na nieuprawnionym dostępie do informacji czy otwieraniu zamkniętego pisma. Karze podlega również osoba, która nie będąc do tego uprawniona, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią. W omawianym przypadku warto również wskazać na art. 270 § 1 Kodeksu karnego, zgodnie z którym ten, kto w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5. Z kolei jeśli ktoś posługuje się dokumentem stwierdzającym tożsamość innej osoby albo jej prawa majątkowe lub dokument taki kradnie lub go przywłaszcza, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 275 § 1 ustawy Kodeks karny).

Jednocześnie informuję, że osoby, które padły ofiarą kradzieży tożsamości powinny w pierwszej kolejności zgłaszać się do organów ścigania. To one bowiem, a następnie sądy karne są uprawnione do oceny, czy doszło do popełnienia przestępstwa, oraz do prowadzenia postępowania zmierzającego do wykrycia jego sprawcy oraz do kwalifikacji czynu przestępczego i wymierzeniu stosownej kary.

Ponadto osoby, którym skradziono dowód osobisty, paszport czy prawo jazdy, by zminimalizować ryzyko wystąpienia przykrych konsekwencji, powinny zgłosić ten fakt w banku, np. tym, którego są klientem lub tym, który przyjmuje tego typu zgłoszenia nie tylko od swoich klientów. Powiadomienie polega na złożeniu wniosku o zastrzeżenie dokumentu – dyspozycja taka jest potrzebna, aby bank wpisał zastrzeżenie do Centralnej Bazy Danych Systemu Dokumenty Zastrzeżone. System ten bowiem chroni osoby, które utraciły swoje dokumenty tożsamości, gdyż ogranicza możliwość ich późniejszego wykorzystania do celów przestępczych popełnianych w imieniu i na szkodę osoby, która dokumenty utraciła.

Jednocześnie informuję, że na podstawie liczby pism i skarg kierowanych do GIODO w ostatnim czasie, a także na podstawie doniesień medialnych ogólnie można ocenić, że zjawisko tzw. kradzieży tożsamości narasta. Ponieważ jednak kradzież tożsamości jest przestępstwem, to właściwe do prowadzenia tego typu spraw są przede wszystkim organy ścigania. Najprawdopodobniej to do tych instytucji wpływa najwięcej wniosków w tym zakresie.

Dwie ciekawostki:

  • Oświadczenie zaprzecza stwierdzeniu Razora/Polsilvera, jakoby incydent był przez niego zgłaszany do GIODO (a tak twierdził w swoim oświadczeniu ujawniającym kulisy ataku i zapowiadającym publikowanie danych klientów). Czyżby zgłoszenie utknęło w spamie z racji wysyłki poprzez Tor?
  • Wiadomo już dlaczego nie powstanie wyszukiwarka “poszkodowanych” osób, taka jak zagraniczne wyszukiwarki “zhackowanych kont”, gdzie podaje się swój e-mail i od razu wiadomo, czy jest on obecny w publicznych wyciekach. Przetwarzanie danych (zakładając, że ktoś je pobrał z linków od Polsilvera/Raza) jest, jak wykazuje GIODO, nielegalne.

Aktualizacja 21 czerwca 2015
Po kontrowersji w sprawie “nieotrzymania” przez GIODO zgłoszenia od włamywacza, postanowiliśmy poprosić włamywacza o treść wiadomości, jaką przesłał do GIODO, oraz GIODO o potwierdzenie, że taka treść do nich rzeczywiście nie dotarła…

W skrócie: e-mail od Raza jednak dotarł do GIODO.

A oto on:

Od: “” razor4@t.pl
Do: “” kancelaria@giodo.gov.pl
Wysłano: Wed, 15 Apr 2015 18:16:21 +0200
Temat: Fw: Odpowiedzialnosc banku

Witam.
Mam pytanie, jakie konsekwencje moglby poniesc bank do ktorego wlamano
sie przez blad z ich strony i wykradziono wszystkie poufne dane na
temat ich klientow, tranzakcji, kart platniczych, lokat, kredytow,
prywatnych danych (pesel, nr dowodu, adres zamieszkania, nr telefonu,
wszystkie dane jakie posiada bank). Do tego dodalbym ze bank mimo
wiedzy o tym nie poinformowal o tym klientow i nie podjal zadnych
krokow aby te informacje nie zostaly opublicznione.
Pozdrawiam

Tu odpowiedź GIODO:

rzeczywiście dotarł do nas ten email.
Obecnie sprawdzamy, czy się tym zajmiemy.

Nie wiemy niestety, czy wiadomość ta została przeoczona przez GIODO (sama w sobie w sumie nie zawiera żadnych konkretów — nie wskazuje nawet nazwy banku), czy w istocie wpadła do spamu i dopiero podana przez nas treść wiadomości pozwoliła na jej zlokalizowanie…

Aktualizacja 23.06.2015
Dziś w PR1 redaktor Marek Mądrzejewski przepytał nowego GIODO, Edytę Bielak-Jomę m.in. z konsekwencji dotyczących wycieku danych z Plus Banku.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

127 komentarzy

Dodaj komentarz
  1. Sorry ale bardziej wierzę w wersję hakera niż GIODO. IMO potraktowali jego list jako SPAM i tyle.

    • Nie mów o tym złodzieju haker, skończcie używać takiego określenia w stosunku do zwyczajnych bandytów.
      Ten człowiek o ile w ogóle to jest w posiadaniu danych kilkuset osób i to jest tragedia, a nie żadna radosna sprawa. Później ludzie narzekają na telefony i dziwne e-maile.

      Ten bandyta jest złodziejem i powinien stanąć przed sądem. Teraz próbuje oczyścić swoje imię wybiegami z fundacjami charytatywnymi ale to tylko mydlenie oczu.

      Jeżeli ten człowiek chciał być czysty to powinien zamieścić ogromną informację na stronie banku z wiadomością na temat rażącego zagrożenia bezpieczeństwa danych oraz zablokować możliwość logowania się na konto.
      W takiej sytuacji nikt nie poczuł by się zagrożony, a bank i tak stracił by swoją wiarygodność.
      Jednak złodziej chciał okraść bank i aby nie zostać społecznie wykluczonym obrócił swoje przestępstwo w farsę.

      Żaden szanujący się haker nie uzna tego postępowania za etyczne więc proszę jeszcze raz nie nazywać złodzieja hakerem bo to kpina.

    • Żadne hakowanie nie jest etyczne, a rozróżnianie włamywaczy na tych dobrych (hakerów) i złych (crackerów) jest sztuczne i co najwyżej używane tylko przez osoby, które się włamują na czyjeś konta, lub komputery. Sorry.

    • Kiedyś hakerem nazywany był ktoś o wybitnej wiedzy informatycznej, która nieżadko wykorzystywana była do łamania zabezpieczeń. Teraz każdy, kto przeczyta tutorial o Arduino, sam siebie tak nazywa. Moim zdaniem to słowo już dawno się rozmyło.

      A co do tego, że ten koleś jest zwykłym złodziejem i bandytą – zgadzam się. Ostatecznie to nie bank publikuje dane osobowe. Nie mówiąc już o wyciąganiu pieniędzy z cudzych kont.

    • @Jas & nie: witamy pracownikow Plus Banku.
      Przy okazji: ludzie sa ludzmi, a jezeli bank udostepnia pewne dane – kto by nie skorzystal niech pierwszy rzuci kamien.
      Teraz, zastanowmy sie kto jest zrodlem problemu.

      Pytanie: czy bank udostepnil dane? Owszem, przez zaniedbanie robiac je w ten lub inny sposob dostepnymi.
      Czy raz je udostepnil? nieee… raz jedynie upublicznil udostepnione przez bank dane, a to roznica.

    • @Czesio: witamy logikę onetu. “Każdy, kto ma inne zdanie niż ja, jest z ~~PiS~~ Plus Banku”. :]

      @nbzpcznk kiedy markdown w komentarzach?

    • @Czesio: serio? Czyli, jak włamywacz sforsuje Twoje drzwi, okno, czy studzienkę kanalizacyjną w domu i wyniesie Ci wszystkie cenne rzeczy, to Ty jesteś temu winny, bo upubliczniłeś swoje dobra poprzez niedostateczne zabezpieczenia?

    • @Czesio: Bank nie wywiesił przecież tych danych w gablotkach, do publicznej informacji. Ktoś ewidentnie włamał się na serwery banku, dokonał kradzieży i nic go nie usprawiedliwia.

      Niestety, przez takich ludzi musimy wszystkiego pilnować, zamykać… Złodziejska mentalność.

      BTW. Ta sama dyskusja toczyła się w temacie sieci WiFi.

    • @dexi: to żeś przy**bał jak łysy grzywką. Żadne hakowanie nie jest etyczne? A jak zhakuję sobie sam swój komputer, to też jestem nieetyczny, bo się sam przed lustrem nie zapytałem o zgodę? I taka osoba ma prawo głosu w wyborach…

    • Haker hakerem, można mieć do niego pretensję. Jednak pozostaje fakt, że cennej zawartości nie zostawia się na środku ulicy w kartonowym pudełku, z napisem “tu jest cenna zawartość”. Tak właśnie w moim odczuciu postąpił PlusBank. Sami sobie zepsuli wizerunek. Szkoda. Operator telefoniczny zaczął się bawić w bankiera. heh…

    • @WST: a skad tam, po prostu jak ktos ma tendencyjne spojrzenie, to sie skojarzenia same nasuwaja.

      @ASS: Excuse le mot, bzdurna analogia. MI nikt nie placi za przechowywanie danych czy pieniedzy. co innego, gdybym prowadzil nomen omen bank, a drzwi do skarbca zakupil na promocji w Biedronce razem z uzywana zasuwka do ToiToi.

      @Jas Fasola: jak powyzej. BANK pobiera dosc duza kase za trzymanie danych w bezpiecznym miejscu. Wniosek: ma za to placone i ma sie wywiazac z obowiazku. A sciemnianie ze nic sie nie stalo jest w tym przypadku po prostu bezczelnoscia.

      @rybaczkiowo: zapomniales jedynie dodac, ze za wystawienie tegoz kartonu Pan Prezes i inni Czlonkowie z Zarzadu biora niezla kase…

  2. Wiadomym jest że GIODO, nawet jeśli dostało maila od Raz’a, to nie przyznają się do tego. Wyszłoby na to że rzeczywiście olali sprawę.

    • Obawiam się, że możesz mieć rację…

    • Kwestia, czy GIODO kwalifikuje maile jako “pismo”. Następnym razem pana hakera poprosimy drogą urzędową ze stempelkiem do sekretariatu dostarczyć…

    • Zauważ, że niebezpiecznik bardzo sprytnie zapytał Giodo o zgłoszenie, a nie o pismo czy emaila.

    • Korespondencja z GIODO to proces sformalizowany:

      http://www.giodo.gov.pl/1520108/id_art/4004/
      http://www.giodo.gov.pl/493/

      jeśli wymogi formalne są spełnione, GIODO musi traktować korespondencję zgodnie z ustawą. Jeśli wymogi formalne nie są spełnione, to de facto formalnie, urząd nie otrzymał korespondencji. Nie sądzę, że owe wymogi zostały spełnione…

    • @acaria: Czyli jeśli wysłałbym do GIODO maila, że mają w budynku bombę i zaraz wylecą w powietrze to musieliby to olać i zdechnąć, bo pismo nie spełnia wymogów formalnych?

    • @cd_s

      Odpowiadając na pytanie: nie, nie musieliby tego olewać i zdechnąć. Urzędy działają na konkretnej podstawie prawnej (ustawa, zarządzenie, rozporządzanie etc.), w przypadku GIODO, ma on obowiązek odpowiadać na formalną komunikację wynikającą z ustawy o ochronie danych osobowych. Co przy tej skali działalności jest uzasadnione.

      Zapewne po otrzymaniu informacji o bombie, jak w każdej firmie, zostałaby ona przekazana stosownym komórkom i podjęte byłyby działania mające na celu weryfikację jej prawdziwości (tak zgaduję w przypadku GIOSO, bo nie mam nic wspólnego z tym ani innym urzędem). Czy tak się zadziało w przypadku maila dotyczącego PlusBanku, nie wiem, bo nie wiem czy coś dotarło do GIODO, czy urząd podjął działania, co było w mailu, czego oczekiwał piszący etc. Można opierać się jedynie na stwierdzeniu złodzieja. A tu mam znaczną niepewność co do prawdziwości jego stwierdzeń.

      Co się stało też możemy się jedynie domyślać. PlusBank ma sytuację kryzysową i czas pokaże czy przyjęta strategia była odpowiednia. PR ma co robić teraz, podobnie z obsługą klienta. Wizerunek tak czy inaczej został nadszarpnięty. Jak na razie przynajmniej bank sobie poradził z mediami mainstream-owymi, bo te jakoś się nie emocjonują a sytuacja jest bez precedensu. Jak mainstream milczy, to skala strat dla banku jest znacznie mniejsza czy to nam się podoba czy nie.

      Należy też pamiętać, że złym w całej tej sytuacji jest przede wszystkim złodziej, bo po pierwsze dokonał kradzieży (co nie znaczy, że przełamał zabezpieczenia) a po drugie, znacznie gorsze, w imię nie wiadomo czego naraża bogu ducha winnych klientów banku, na potencjalne straty wynikające z upublicznienia ich wrażliwych danych. To nie jest karanie banku tylko jego klientów.

      Mnie najbardziej interesuje czy organa ścigania sobie poradzą i jak skończy się inwestygacja. Nie mam nic wspólnego z tym PlusBankiem, ale to mógł być dowolny inny, a jako klient banków jestem żywotnie zainteresowany bezpieczeństwem zarówno moich pieniędzy (de facto zapisów księgowych) jak i danych osobowych. W cuda nie wierzę i nie spodziewam się kolosalnej różnicy jakościowej w tej materii między bankami. Dzisiaj PlusBank jutro może być inny…

    • Myślę że po prostu olali tego maila. Mail jest bardzo enigmatyczny, ogólnikowy, nic nie znaczy sam w sobie. Mogli to olać, i olanie takiego maila nic nie znaczy.
      Tak czy siak, Razor powiedział prawdę że się skontaktował, nie powiedział jednak wcześniej na czym ten kontakt polegał.
      Co do oficjalnego pisma, można wysłać zwykłym listem. Jest to trochę trudniejsze, bo trzeba zachować kompletną sterylność przy takiej wysyłce. Tutaj TOR nie działa :b
      ale czegoś takiego z kolei giodo by nie mogło zignorować, nawet jeśli treść byłaby lakoniczna.

  3. Winnego nie znajdziemy. A kto będzie płacić za ewentualne odszkodowania osób poszkodowanych? Oczywiście, że podatnicy

    • a ten bank jest panstwowy, czy tez moze bank nalozy kare na giodo?

    • No tak, wiadomo ty zapłacisz. Najgorszy gatunek – oburzeni podatnicy, którzy za bardzo nie wiedza co to sa te podatki i na co są przeznaczane, a może wcale ich nawet nie płacą. Nie przeszkadza im to jednak w byciu oburzonymi.

  4. To teraz Paz powinien na każdy z wykradzionych maili kontaktowych wysłać odpowiedni rekord, aby właściciel konta mógł samodzielnie pozwać Minus Bank.

  5. To może pan Raz screeny wrzuci lub udostępni niebezpiecznikowi/innemu zaufanemu źródłu konto z którego nadał wiadomość. Jeśli okaże się, że GIODO robi publikę w ch.. to soę zdziwię. Mimo wszystko raczej wątpię w uczciwość hakera, który robi z siebie teraz idealistę.

    • Hmm nie wierzysz hakerowi w informację o tym, że wysłał maila do GIODO, po tym jak okazało się, że prawdą jest jego atak na bank, do którego się przyznał? Nie rozumiem dlaczego miałby oszukiwać w sprawie tak błahej, jak wysłanie maila do GIODO, w sytuacji, gdy nie oszukał w sprawie włamania i kradzieży pieniędzy.
      Po prostu albo informacja trafiła do SPAMU, lub w jakiś inny sposób została wycięta z obiegu, albo zwyczajnie olana.

  6. W odpowiedzi GIODO jest napisane “GIODO nie otrzymał PISMA od hakera”. To, że GIODO nie otrzymał pisma, nie znaczy że nie został poinformowany przez hakera np. mailem.

    • w przypadku instytucji takich jak GIODO każda korespondencja ma charakter sformalizowany, tzn nawet mail jest traktowany jako pismo, dostaje numer sprawy, frafia do obiegu dokumentów i jest archiwizowany.

      Stąd czasem takie smaczki jak odpowiedź urzędu na maila pod postacią zeskanowanej kartki z wydrukowaną odpowiedzią (mail dotarł, został wydrukowany i nadano mu numer sprawy, napisana została odpowiedź, trafiła do właściwego katalogu korespondencji, a jej zeskanowana kopia do nadawcy)

  7. “Przetwarzanie danych (zakładając, że ktoś je pobrał z linków od Polsilvera/Raza) jest, jak wykazuje GIODO, nielegalne.”

    Już w innym artykule pod komentami ktoś mnie uświadamiał, ze pobieranie tychże paczek jest nielegalne jest za to paragraf. Prawnikiem nie jestem nie będę się sprzeczał, ale moja ciocia ma konto w plus banku chcę sprawdzić czy jej dane wyciekły i co nie mogę, mogę, a nawet powinienem aby ją ostrzec.

    • A ja powiadałam, że prawnikiem nie jestem, ale coś w tym stylu było. ;P Lepiej poszukać jaki to dokładnie paragraf i poszukać luki , która w razie czego pozwoli się jakoś wymigać.
      Obecnie te 500 kont to konta firmowe, Polsilver napisał, że najpierw będą wyciekały konta firmowe – więc o ile ciotka nie prowadzi jakiejś działalności, póki co nie ma się o co martwić… Głupio to brzmi, wiem.

      GIODO się wymiguje, bo zgłoszenie do służb, a służby nie przyjmą zgłoszenia bazującego na artykule w internecie i braku możliwości weryfikacji przez takiego zwykłego dyżurującego policjanta… no i braku popełnienia przestępstwa. – Wyciekły dane, ale nikt jeszcze ich nie wykorzystał do “kradzieży tożsamości”.
      Na bank i zabezpieczenia się człowiek nie poskarży, bo po zbadaniu sprawy przez GIODO pewnie wyjdzie, że wszystko było cacy, a hakier złamał zabezpieczenia nie do złamania.

      Ech, Polskie urzędy (wszelkiego rodzaju) są śmiechu warte. Szkoda, że tu śmiech się miesza z załamaniem…

    • Ktosiek: GIODO nie jest prokuratorem, żeby tak z automatu niuchać czy aby gdzieś nie doszło do przestępstwa, więc oczywiście że poszkodowany-szaraczek sam musi zgłosić ten fakt służbom. Ustawa o ochronie danych osobowych jest dostępna w sieci i nie jest napisana jakimś zawiłym prawnym bełkotem, więc żaden problem się zorientować w jej treści.
      “Wszystko było cacy, a hakier złamał zabezpieczenia nie do złamania” – bank miałby przerąbane, gdyby nie zabezpieczyli porządnie (stuprocentowo skutecznych zabezpieczeń nie ma). Jeśli to nie było “głębokie ukrycie” albo klucz pod wycieraczką, to oczywiście że wina leży tylko po stronie złodzieja.
      A co do zgłoszenia: próbowałeś zgłosić i odmówili przyjęcia, czy tylko “wydaje mi się, że i tak by nie przyjęli”? Skoro są podejrzenia popełnienia przestępstwa, czujesz się poszkodowany – zgłaszasz. Jeśli odmawiają – zgłaszasz na nich do wyższej instancji. A jeżeli siejesz totalny defetyzm, to po co w ogóle oddychasz?

    • Sprawdzać czy dane Cioci wyciekły możesz, ale nie wszystkie sposoby sprawdzenia są legalne. Ostrzec Ciocię powinien przede wszystkim bank jak tylko pozyskał informacje, że jej dane mogły wyciec. Natomiast jeżeli Ty lub Ciocia macie podejrzenie, że coś jest nie tak – interweniujecie w banku, odpowiednich instytucjach, organach ścigania itp. itd.

      Samodzielnie nie masz prawa zajrzeć do tej bazy nawet jeżeli wiesz możesz uzyskać do niej dostęp. Tak jak z grami czy filmami udostępnionymi nielegalnie w Internecie – to że wiesz skąd i potrafisz je pobrać, to nie znaczy, że masz prawo to zrobić…

    • Zasadniczo, to pobierając dane osobowe z internetu utrwalasz je na swoim komputerze, czyli je przetwarzasz w myśl ustawy (art. 7. pkt 2 UODO). Ogólnie, żeby przetwarzać dane osobowe, musisz spełniać którąś z przesłanek wymienionych w art. 23. ust. 1. (a pobierając paczkę wyciekniętych danych żadnej przesłanki nie spełniasz), więc teoretycznie pobrać paczki legalnie nie możesz.

    • @ja, piszę teoretycznie, sama konta w Plus Banku nie mam, więc nie mam co zgłaszać. Ale że dostęp do ToRepublic mam, to śledzę info tu i tam, próbując czasem coś wyprostować, rzucając cytatami.
      Co do mojej opinii o GIODO – główny komentarz niżej (gonsos) przedstawia to, o co mi chodzi. Skoro już ma pilnować tych danych, niech coś z tym robi.
      Zabezpieczenia oczywiście jakieś musiały być, ale co po stalowych drzwiach, które ciężko wyłamać, skoro ściana jest ze sklejki? Polecam kolejny komentarz niżej (Rasti) o tym jak wyglądają kontrole GIODO. Czy zauważą ścianę ze sklejki podczas zapowiedzianej kontroli Plus Banku? Czy może została już zasłonięta (w końcu hakier siedział tam przez 3 miesiące, a z bankiem kontaktował się od końcówki marca; lub dopiero zostanie – od momentu zapowiedzenia do przeprowadzenia kontroli trochę może minąć)?

      Oddycham, bo mogę. Mogę generalizować, wiem – to jest rzecz ludzka – ale jak tu nie generalizować, jak się słyszy lub samemu widzi jak wszelkie organy państwowe działają?
      Maluczcy nie mają czasu, często wiedzy i po prostu ochoty żeby się użerać.
      Tak, dalej sieję defetyzm, bo taka już jestem. Głosić swojej opinii mi nie zabronisz, oddychać z powodu takiego podejścia tym bardziej nie. ;P

      @Marek, głupoty piszesz – multimedia, dane i oprogramowanie to zupełnie inne kategorie. W przypadku filmów można ściągać, ale nie udostępniać (stąd torrenty są be) – wszystko w ramach dozwolonego użytku własnego… chyba że podpadasz pod jakąś obcą jurysdykcję.

    • @ktosiek
      Może porównanie danych do filmów nie było najszczęśliwsze,
      ale zauważ, że napisałem “grami czy filmami udostępnionymi nielegalnie”,
      więc nie mówimy tu o przypadku użytku własnego, który jest dozwolony prawem … :-p

      Zakładam, że co do zasadniczego sensu mojej wypowiedzi, tzn. że tej bazy danych nie możesz sobie legalnie pobrać nawet w celu sprawdzenia czy są tam Twoje lub Twojej cioci dane to się zgadzasz?

  8. Czyli jesteśmy organizacją która chroni dane osobowe, ale jak co do czego, to sam sobie pozywaj i walcz. My tylko tak ogólnie mówimy. Nosz kur..

    • Przeczytaj ustawę. GIODO może co najwyżej przeprowadzić kontrolę, po której nakaże poprawę. Trwają prace nad europejskim rozporządzeniem o ochronie danych osobowych, które ma dać GIODO możliwość nakładania kar finansowych rzędu pół miliona euro, ale to najwcześniej w przyszłym roku.

    • @Jan: ale oczywiście Unia zła i niedobra. A jak trwoga, to do… GIODO? ;)

  9. GIODO ma takich informatyków, że oblałem się zimnym potem. Mieliśmy kontrolę. Przyjechały 2 czy 3 babeczki, które prosiły o różne dane. Jedna z nich przedstawiła się jak spec od informatyki. 60 lat, ledwo pisała na klawiaturze jednym palcem. Zapytała o hasło do programu, a z racji tego, że wygenerował je KeePass miało tam coś koło 40 znaków. Zapisała to, ale już nie zapisała czy je pamiętam… Cykr na wrotkach…

  10. Wielka szkoda, że dr. Wojciech Wiewiórowski już nie jest GIODO. Mieliśmy w nim prawdziwego rzecznika naszego bezpieczeństwa i praw. Słyszałem też jego wypowiedzi (np. nt. ACTA i pokrewnych), gdzie żałował, że może wypowiadać się tylko jako urzędnik państwowy, bez możliwości krytyki.
    Wielokrotnie osobiście odpowiadał na pytania na linkedin – nie sprawiał wrażenia urzędnika nastawionego na restrykcje wobec przetwarzających dane osobowe. Jak jest teraz – powyższe chyba daje do myślenia…

  11. Wydaje mi się, że GIODO kłamie, jak ostatnio wszyscy…

    • jak ty zyjesz z takimi problemami?

    • Normalnie… kłamie jak wszyscy.

  12. 1 mln. do zapłaty, hah :p, a było hakerowi te 200 tysięcy czy ileś zapłacić na te domy dziecka i przy okazji mieć wiele lepszą opinie..

    • jaka lepsza opinie skoro i tak juz wszyscy wiedzieli? jaka mieli gwarancje ze jakis tam Raz, Dwa, Polsilver czy Gilette wywiaze sie z obietnic? z duzym prawdopodobienstwem mozna przypuszczac, ze za wlamaniem stoi ktos kto tam wczesniej pracowal.

    • Szczerze to na miejscu banku wolalbym zaplacic milion kary niz 200 tys. dla zlodzieja. Dla nich obie kwoty i tak sa smiesznie niskie. Co to jest milion zlotych dla banku?

    • Myślenie: co to dla banku mlion złotych, jak obracają miliardami jest błędne. Bank obraca pieniędzmi klientów, ten milion musi wydać z zysków. Te zaś dla małego banku mogą wynosić kilka milionów, więc milion w tą czy w tamtą jednak robi różnice.

      To tak jak by mówić że dla właściciela parkingu strata samochodu do drobiazg, w końcu ma ich jeszcze kilkadziesiąt…

    • A zacząć powinni od wydania kasy na porządne pentesty i wymianę IT na najnowsze rozwiązania spełniające dzisiejsze standardy bezpieczeństwa. Trudno, żeby zapłacili hakerowi, bo jaka gwarancja, że da on kasę domowi dziecka i że nie sprzeda danych, które i tak wyciekły. Przecież na dom dziecka bank mógłby zapłacić sam bez czyjegokolwiek pośrednictwa. Niestety teraz ten bank czekają milionowe wydatki na wymianę systemów, szkolenia z bezpieczeństwa IT itp. Być może jedynym wyjściem będzie sprzedaż banku komuś, kto dobrze zapłaci, zmieni markę i rozumie dzisiejsze realia cyberbezpieczeństwa. Zresztą do konsolidacji sektora bankowego i tak dojdzie a potencjalnym kupcem kilku banków i to nawet nieco większych od Plus Banku będzie PZU (pisali o tym choćby na PRNews).

      Przy okazji warto dodać, że na Zachodzie firmy organizują zawody typu bug bounty. Hakerzy zamiast łamać prawa mogą się legalnie wykazać, sporo zarobić jeśli przełamią zabezpieczenia i tym sposobem firmy zyskują wiedzę, co należy załatać a hakerzy stają się dobrze opłacanymi specami od bezpieczeństwa bez potrzeby ukrywania się przed wymiarem sprawiedliwości. U nas ciężko będzie jednak o taką współpracę, bo tacy jak Polsilver/Raz wyrządzili wielką szkodę środowisku hakerskiemu, o czym pisał choćby Maciej Samcik na swoim blogu Subiektywnie o finansach. Tacy ludzie zamiast być docenieni za swoje umiejętności będą traktowani na równi z bandytami dokonującymi napadów. Dlatego też ten, kto chce działać na legalu nie może nazywać siebie hakerem i zamiast tego okreslać się mianem pentestera. Słowo „haker” jest raczej już na stałe nacechowane skrajnie negatywnie i nic tego nie zmieni.

      Warto tez wspomnieć, że takie wydarzenia to woda na młyn tych, którzy chcą ograniczyć wolność i swobodę w internecie (ACTA, PIPA a od pewnego czasu TTIP itp.). Społeczeństwo obawiające się cyberzagrożenia już się nie sprzeciwi takim posunięciom tak, jak to było w przypadku protestów anty-ACTA. Ostatecznie ludzie wybiorą bezpieczeństwo za cenę swobód a politycy chcący lepiej kontrolować społeczeństwo będą pełni szczęścia. Efektywne bezpieczeństwo oczywiście niewiele może przy tym wzrosnąć, ale kontrola nad obywatelami wzrośnie na pewno.

    • Przestańcie wybielać PlusBank. Nie mieli zapłacić hakerowi żadnemu, tylko na dom dziecka. Poza tym była bardzo duża szansa (w sumie dalej chyba jest) że gość dotrzymuje obietnic. Jak na razie dotrzymuje.

    • Hakier obiecywał, że za to 200k poda nawet wszystkie dziury, dzięki którym się do systemu dostał.
      A że został zlany, to dotrzymuje gróźb.
      Proste.

      1M kar bardziej się opłaca od 200k?
      Gdyby bank go nie zlewał, wszystko byłoby załatwione po cichu… A próbował uderzać wysoko (członkowie zarządu) już od końcówki marca. Dostał jedną jedyną odpowiedź “W przedmiotowej sprawie skontaktuje się dedykowana kancelaria prawna po świętach.” i dalej znów olewka.
      Jeszcze po pierwszej medialnej nagonce (z danymi tylko Solorza) mogli 200k za wszystkie dziury zapłacić.

  13. Błagam, usuńcie tą kursywę bo się czytać nie da!

    • Jaki „zły duch” jest w kursywie?

    • Zawsze możesz przekopiować artykuł do edytora tekstu i sobie odpowiednio sformatować lub ustawić czcionkę na sztywno w przeglądarce. Możesz również zmodyfikować stronę korzystając z różnych addonów, np. z firebuga.

  14. Apropos ciekawostek:
    (1) Sprawa jest prosta – pisma nie było, choć informacja pewnie była przekazana. Bo pismo to papier przez pocztę przesyłany.
    (2) suma kontrolna peselu to już nie dane osobowe. Udostępnienie strony robiącej hash z podanego przez odwiedzającego numeru pesel i odpowiadająca TAK/NIE w jaki sposób miała by naruszać art. 49 ust. 1 ustawy o ochronie danych osobowych ?

  15. Przypominam, że dowód można zastrzec w dowolnym banku (no, w każdym większym), nawet jak nie ma się nigdzie konta. Z drugiej strony zawsze słyszałem, że fakt utraty dowodu trzeba złożyć na policji. Policjant dyżurny stwierdził, że skoro nie ukradli (bo wypadły mi dokumenty), to nic nie trzeba zgłaszać. Na pytanie co z bankami, pokazał palcem na plakat gdzie mgliście było wyjaśnione co dokładnie zrobić :) Na szczęście dla mnie dokumenty znalazł listonosz w skrzynce pocztowej, kategorycznie odmówił brania pieniędzy za tę uprzejmość :)

  16. Hm, a znacie to : “Polacy nic się nie stało”. To sie nazywa zamiatanie pod dywan. Lub jak kto woli, odwracanie kota ogonem. Zly jest ten, który pozyskał dane, ale nie ten, kto dopuścił do ich uzyskania. Żenada.

  17. Info wpadło do spamu i nic na ten temat nie wiedzieli.

  18. Kłamiesz.

  19. “Szanowni Państwo,
    uprzejmie informuję, że GIODO nie otrzymał żadnego pisma od hakera z informacjami dotyczącymi włamania do systemów Plus Banku. ”

    Drodzy chłopcy z Niebezpiecznika… Gryzipiórki khm… doświadczeni prawnicy z wieloletnim stażem nie kiwną palcem jak nie wpłynie formalne zgłoszenie. Wysłanie pisma faksem, nie jest zgłoszeniem, do puki nie wpłynie fizycznie pismo. Każda inna forma zgłoszenia jest ignorowana! Dla nich mail z informacją, że wykradziono i opublikowano dane w internecie nie jest zgłoszeniem i mają to w dupie. Teraz ruszyli tyłki, bo się za duży szum medialny zrobił. Zapewne kontrola wykaże, że wszystkie wymagane prawem procedury były zachowane, więc wszystko w banku jest ok.

    ps. Napiszecie coś na temat włamania w Bundestagu?

  20. zenada to sa takie komenatrze, nie wiem ale sie wypowiem. przestan czerpac wiedze z demotywatorow.

  21. Czytając komentarze nierzadko czuje się jakby pochodziły żywcem z Onetu. Spora część komentujących ma pojęcie o systemach i bezpieczeństwie IT, ale o prawie i porządku publicznym, o podstawowych “życiowych” kwestiach nie wspominając już gorzej. Może warto byłoby wstać zza komputera od czasu do czasu? Jak widzę teksty typu “GIODO kłamie”, “niech Raz udostępni bezpiezcnikowi maila do GIODO” czy stwierdzenia, że bank już ma pozamiatane i najlepiej żeby został sprzedany, bo teraz to już umarł w butach to mam wrażenie, że gumki od dresowych spodenek ściskają wam jednocześnie pęcherze u mózgi… dorośli faceci/kobiety (a przynajmniej tak przypuszczam) a takie pierdoły z siebie wypluwacie, że aż wstyd i nie wiadomo czy czytając człowiek powinien się śmiać czy płakać. Pozdrawiam.

  22. @ ktosiek
    Ależ doszło do przestępstwa, dane klientów zostały nielegalnie przetworzone.
    ‘Co zaś do upubliczniania … „kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.’

  23. Jest jeszcze gorzej, na szczęście główne media zaczynają o tym głośno mówić http://www.bankier.pl/wiadomosc/Banki-placa-hakerom-za-milczenie-3361939.html
    Banki są dziurawe jak ser szwajcarski

  24. Co prawda strona trzecia, nie posiadająca upoważnienia do przetwarzania danych osobowych poszkodowanych klientów nie może stworzyć wyszukiwarki, ale takową może zrobić Bank. Ostatecznie audyt bezpieczeństwa i analizy powłamaniowe mogą dostarczyć informacji, które można zestawić (Bank może) z umieszczonymi bezprawnie danymi klientów w internecie i po wprowadzeniu przez zainteresowanego np. PESEL-u lub REGON-u uzyskać informacje czy dane zostały bezprawnie opublikowane czy nie. Nic więcej. Rozsądna organizacja, w przypadku potwierdzenia wycieku danych danego klienta, umieściła by mu osobisty komunikat w bankowości elektronicznej z informacjami co dalej… Wtedy nie ma potrzeby budowania wyszukiwarki.

    • haker mógłby udostępnić pełną bazę zawierającą np MD5 z “PierwszeImie_Nazwisko” i wtedy hostowanie takowej (i zrobienie na jej bazie wyszukiwarki) nie łamałoby prawa.

    • Gdybym był klientem tego banku to za istnienie takiej wyszukiwarki bym im urwał testiculos :)
      Bank to może po zalogowaniu wyświetlać ofiarom komunikat + wysłać papierową korespondencję, ale wyszukiwarka pozwala na enumerację i byłaby strzałem w stopę.

    • ale d o tego trzeba przyznać że do wycieku doszło a bank jak zacięta płyta wszystkiemu zaprzecza.

  25. Coś wam powiem, wygląda to na niezły dowcip jakiegoś kolesia. Wszystko ładnie spreparowane, a wy się jaracie.

    • Wszyscy o tym piszą, a nigdzie takich danych nie ma. LOL

    • Kochana redakcjo nie musicie publikować tego komentarza tylko zwróćcie uwagę czy rzeczywiście te informacje wszędzie rozgłaszane są prawdziwe, czy tylko niejaki “RAZ ” czy jako mu tam nie robi sobie rozgłosu, pokażcie mi te dane co niby wykradł skoro je udostępnił, link do strony bo nie wiem czy mam się bać czy nie.

      Pozdrawiam redakcję Niebezpieczni-ka.

    • Taaa… na pewno tez sa dowcipem hasla do serwerow czystym tekstem dostepne w internecie. To na 101% dowcip Solorza, czy jak on sie teraz tam nazywa (gubie sie juz w jego zmianach nazwisk).

    • Kolego, niezgodne z prawem o ile mi wiadomo jest udostępnianie linków do takich rzeczy. Poza tym masz niejeden komentarz że baza jest. Istnieje i jest prawdziwa.
      Ja jako szary informatyk mogę Ci to potwierdzić. Wystarczy odwiedzić odpowiednie miejsca i wszystko można przeczytać

  26. Z tym zajęciem dodatkowym dla hakera to żeś walnął, w ogóle mógłby robić w wolontariacie jeszcze i np. pomagać bankom wykrywać dziury, mógłby w ogóle pojechać do Afryki i tam budować szałasy w wioskach, albo kopać rowy pod kanalizację.
    Chłop pewnie teraz ma sporo na głowie, a Ty gadasz aby może zrobił taką bazę z MD5 aby każdy mógł sprawdzić czy jest na liście, a może mógłby w ogóle nie wykradać tych danych i nie byłoby problemu.

  27. GIODO ma najwidoczniej dużo pracy – od pół roku nie został zarejestrowany żaden nowy zbiór danych osobowych (według wyszukiwarki na stronie) – nie mają czasu na jakiś hakierów.

    • Nie muszą…wystarczy, ze podmioty przetwarzające DO powołują ABI i wnioski o rejestracje nowych baz ograniczają się tylko do danych wrażliwych.

    • @mkowalczyk bzdury gadasz. Poczytaj ustawę potem komentuj.

  28. Analizy powłamaniowe… jak gość tam buszował 3m-ce to na serwerach zapewne jest pozamiatane i po włamie nie ma wielu śladów…

  29. Na antyweb jest art., że plus bank odpowiedział, że zabezpieczenia robiła jedna z najlepszych firm w PL, niech się pochwalą co to za firma te zabezpieczenia im robiła ;-))))

  30. Propo wysyłki poczty z sieci TOR. Poczta do GIODO mogła zostać zablokowana ze względu na zalecenia CERTu. Kilka miesięcy temu przyszło zalecenie CERT.GOV.PL aby wzmocnić polityki na firewallach i uwzględnić blokadę z puli adresowej sieci anonimizującej, proxy i tor (jeśli to możliwe). Część administratorów zapewne wdrożyło tą politykę i dlatego ta forma wysyłki poczty może się nie udać.Zwracam uwagę jeszcze na jeden drobiazg. W 2014 i 2015 było kilkanaście/dziesiąt informacji o podłożonych ładunkach w różnych urzędach. Wiadomości przesyłane były poprzez sieci anonimizujące i tor. Konsekwencją powyższej polityki jest możliwość, że ostrzeżenie o ładunku nigdy do urzędu nie dojdzie.

    • Zaiste genialne. Nie mogą przysłać maila ze straszeniem, nie będą straszyć, nie ma sprawy.

  31. Od 1 stycznia 2015 sa nowe przepisy. Wystarczy powolac ABIego i nie trzeba rejestrowac zbiorow u GIODO (za wyjatkiem tzw. danych wrażliwych)

    • W tym kraju to zdaje się nowe są tylko przepisy. Jak tak dalej pójdzie, to zostaniemy się tylko z przepisami i bandą meneli. ;-)

  32. Jak sami twierdzicie banki obracają miliardami.
    “200k to nic dla ich”, więc nic by się nie stało jeśli by wpłacili na te domy dziecka.
    Jeśli haker by ich okradł, wówczas mieli by opinie średnią:
    Zaufali hakerowi który ich oszukał.

    Jeśli by nie oszukał, mieli by lepszą(happy end):
    200k na dom dziecka, dowiedzenie się o lukach w ich systemie, zabezpieczmie damych klientów.

    Z drugiej strony tak jak ktoś wyżej pisał, “po cichu”..
    Mogą zapłacić audytorą którzy być może znajdą luke.

    Jednak co z publikacją danych?
    Więc albo było zapłacić (ryzyk-fizyk) albo nasłać jakieś służby co z trudnością go namierzą.
    // mam nadzieję że będzie kolejny wpis ws. tego na niebezpieczniku.
    Coś czy ujeli hakera czy coś ;-).

    • Bozio. Jeśli by wpłacili na dom dziecka nawet, to jest to oczywista zachęta dla każdego nawet największego gimbusa z kompem za 500 zł, że można zarobić na szantażu. Moim zdaniem PlusBank działa sensownie – odczekał, aż gimbus opublikuje, przez co potwierdzi, że ma dane i będzie mógł wreszcie być potraktowany poważnie przez panów policjantów. Bo takich “ofert” to pewnie banki dostają tony.

    • Eeee… a bank to nie ma tzw. specjalistow czasem, ktorym placa… nie, juz nawet nie za to, zeby sie ktos NIE wlamywal, a za to ze w przypadku info o wlamaniu sa w stanie sprawdzic gdzie i co zostalo zassane?
      no, moze za wiele oczekuje, w koncu bank to powazna instytucja i ma inne wazne rzeczy na glowie, jak np. przeliczanie spreadu franka co 10 sekund…

  33. Ps. Post wyżej miał być odpowiedzią do mojego pierwszego postu.
    Jednak przycisk Reply coś dodał jako nowy.

  34. Ale o czym Wy tu… ?
    Przecież ha… tfu! ten złodziej Raz/Pol, ukradł dane, przepraszam, ale czego on się spodziewał jak napisał do prezesów banku z radosnym komunikatem “hej, ukradłem Wam dane”? Co innego, jakby nie ukradł danych i wówczas, nie będąc złodziejem napisał do nich “hej, macie chyba lukę bezpieczeństwa, dajcie swoim specom taką instrukcję, niech sobie sprawdzą, że można wejść”. Taki komunikat byłby neutralny, albo wręcz przychylny, więc odebrany pewnie byłby inaczej (obym się nie mylił, ale to nie ma nic do rzeczy, bo), tymczasem inwazyjny komunikat – “okradłem Was, dawajcie kasę” może być przez prezesów odebRany tylko w jeden sposób: wszedł nam w szkodę – zniszczyć go.
    A złodziej Pol/Raz co by teraz nie robił próbując nazwać to próbą dogadania się nie zmieni charakteru tego pierwotnego komunikatu.
    Kropka ;)

    • wez sie obudz… gdyby napisal ze ma wiedze ze jest luka, to by taka informacja byla zlana jeszcze bardziej cienim strumieniem przez wszystkich, poczynajac od prezesa, przez czlonkow z zarzadu, a na rudej bezzebnej z okienka konczac.
      To samo mozna powiedziec o przekroju poziomym, tj. ze wiadomosc zostalaby zlana porownywalnym strumieniem przez wszystkie zainteresowane (a przynajmniej takie ktore powinny byc) instytucje.
      W przyplywie pogardy ktos by mogl wysmazyc: uwazamy ze nikt nie wykorzystal wiedzy w zwiazku z czym uznajemy informacje za bezzasadna, a pieniadze naszych klientow sa niezwykle bezpieczne, tak jak ich dane.

  35. Szkoda, że nie został poruszony jeden z ciekawszych wątków:
    niewątpliwei doszło do naruszenia bezpieczeńśtwa danych osobowych.
    Czy Ustawowy Adminsitrator tych danych zrealizował juz swój obowiązek i zgłosił do GIODO ten fakt? Jeżeli się nie mylę, to od niedawna w ustawie o dancyh osobowych funkcjonuej wymaganie doniesienie a na siebie samego do GIODO w przypadku incydentu z bezpieczeństwem zbioru danych. Może jakiś spec od DO się wypowie?

  36. Zapewne wykradł je zirytowany pracownik ;)

  37. Pytanie do klientów plusbanku. Czy zastrzeżenie wszystkich kart to była standardowa zagrywka w ostatnich dniach, czy Wam takie coś się nie zdarzyło?

  38. Bo haker miał pisać pisma… Normalne że mejla wysłał, a znając polskie urzędy to pewnie nikt tego mejla nie zobaczył nawet.

  39. Wydaje mi sie, że bank nie może tak po prostu wydać 200k na spłatę okupu. Później musiałby się z takiego wydatku jakoś wyspowiadać np. przed KNF.
    Czy zapłata okupu jest kosztem po stronie banku i można ją odliczyć od podatku? ;-)

  40. Ustawa o prawie autorskim i prawach pokrewnych,Art. 23. Dozwolony użytek osobisty , ciekawe na ile takie bazy danych kwalifikują się j/w w szczególności jeżeli chodzi o indywidualne powiadomienie takich “poszkodowanych ” o zdarzeniu w celu obrony i dochodzenia praw np. z karty praw podstawowych oraz KK chroni osoby “ratujące” dobro o znaczeniu szczególnym dla społeczeństwa,itd.itp. Oczywiście włam to włam i KK obowiązuje. Na szczęście ułomności prawa w tym interpretacyjne podlegają ocenie najpierw policjantów ( z pewnych powodów trzeba mieć dużą wiarę ich ocenę ) i na końcu pozostaje ocena Sądu ! Tak że zwykły użytkownik internetu może ??? spać spokojnie :) . Akcja z GIODO raczej polega na prowokowaniu włamywacza w celu jego ujawnienia się ( wielki brat czuwa ). :)

  41. W ustawie o ochronie danych osobowych takiego wymogu nie ma, dopiero przygotowywane prawo unijne przewiduje wprowadzenie takiego obowiązku. Natomiast w Prawie telekomunikacyjnym jest obowiązek zgłaszania incydentów związanych z naruszeniem bezpieczeństwem danych osobowych, ale obowiązek ten dotyczy tylko przedsiębiorców telekomunikacyjnych.

    • To obowiązek jest w złym miejscu. Kupując telefon nie musisz podawać danych osobowych i pewnie większość nie podaje. W Bankach ten obowiązek jest i nie ma obowiązku zgłaszania takich incydentów? Chore to państwo.

    • @Xn
      prawo telekomunikacyjne dotyczy telekomunikacji i danych w sieciach telekomunikacyjnych przetwarzanych, a nie informacji o tym, kto kupił telefon…
      prawa nie tworzy się “na zapas” i nie reguluje się wszystkich możliwych sytuacji. normy prawne powstają, gdy okazuje się, że są potrzebne. i bardzo dobrze!
      teraz okazuje się, że ludzie powinni wiedzieć o incydentach dotyczących ich danych, dlatego tworzone jest takie prawo. a że w takiej sytuacji prawo będzie zawsze dwa kroki za przestępcami? trudno, wolę to, niż regulowanie wszystkiego na zapas.
      z tą diagnozą państwa, to się niektórzy za bardzo śpieszą. widocznie chore są wszystkie państwa w ue… a może na całym świecie?

  42. “Ponadto osoby, którym skradziono dowód osobisty, paszport czy prawo jazdy, by zminimalizować ryzyko wystąpienia przykrych konsekwencji, powinny zgłosić ten fakt w banku”

    Pytanie: dlaczego mam zastrzegać dokument tożsamości w banku, skoro to państwo a nie bank jest jego wydawcą?
    Dlaczego nie wystarczy zastrzeżenie dowodu np. w urzędzie gminy?

    • Zaraz…
      Rzeczywiście chciałbyś, żeby systemy “państwowe” były tak silnie zintegrowane z bankowymi?
      “Młodym gniewnym” wydaje się to naturalne, ale praktyka wskazuje raczej na unikanie takiej współpracy – z gruntu godzącej w obywatela.
      Najpierw – DO jak numer więźnia jak w Konzentrations Lager. Później (dopisz sobie sam)…
      Sieć powinna _diametralnie_ zmienić postrzeganie osoby jako indywidualnego człowieka.
      Finis civilizatiae…

  43. Z doświadczenia wiem, że giodo nigdy tak szybko nie odpowiada na korespondencję. Na 100% nie w tydzień. Są tak obłożeni, że odpowiedź dostaje się po miesiącu.

    Ukradli moje dane – co teraz jak żyć – gdzie ten rozdział? Podpowiem: a) *zgubić* dowód osobisty, wyrobić nowy, aby się nie zgadzał numer przy braniu pożyczki. b) Na podstawie ustawy o zmianie imienia i nazwiska – z ważnych przyczyn (a ta jest niewątpliwie ważna) – zmienić jedno albo drugie. c) W bankach nigdy nie podawać prawdziwego adresu zamiaszkania. Jeżeli podałeś/podałaś i jest prawdziwy i wynajmujesz – zmienić adres zamieszkania. Telefon i e-mail się szybciej zmienia.

  44. Polsilver opublikował kolejną paczkę, spełnił groźbę czy może go przymknęli ;-)

  45. no mam nadzieję, że giodo na takie wiadomości nie odpowiada. nic z tego maila nie wynika. brzmi jaki głupie pytanie nastolatka – “co się stanie jeżeli”. ani to nie jest zawiadomienie o nieprawidłowości, ani nie zawiera konkretnej informacji, ani nie spełnia wymagań pisma do organu.

  46. ten e-mail to żadne zgłoszenie sprawy do giodo tylko pytanie, co by było gdyby.

  47. Bo do GIODO trzeba wysyłać zawiadomienia z poziomu specjalnej strony, gdzie widnieje formularz do którego należy też wpisać potwierdzenie zapłaty na ich konto. Po prostu zgłaszanie nie jest darmowe. Też się łudziłem, że wysłanie czegoś na e-mail “kancelaria” zostanie rozpatrzony – niestety, ale nie, nawet odpowiedź nie przyszła. Przykre, ale prawdziwe.

    • GIODO mi odpowiedział na zgłoszenie mailowe. Odpowiedź dostałem na maila oraz tradycyjne listem poleconym. Warunek jest jeden – zresztą stosowany w innych instytucjach też – należy się podpisać i podać swoje dane adresowe.

  48. W sumie to list z GIODO jest poprawny. PISMA nie otrzymali. Dostali e-maila…

  49. Dać włamywaczowi 1 mln kary, wejść na majątek a to co zabraknie ściągać do końca życia z pensji.
    Oczywiście po tym jak odsiedzi te 3 lata. Albo więcej bo dokonał kilku przestępstw.

    • i jeszcze dac mu jedna cele z tymi, ktorzy umozliwili mu te dzialania poprzez zaniedbanie swoich zawodowych obowiazkow/ktorzy unemozliwiali skuteczna ochrone poprzez ciecie kosztow na zabezpieczenia.
      Bedzie mial zkim w pokera w celi lupac…

    • do czesia –
      Rozumiem Czesiu że jak ktoś w tamwaju patrzy przez okno to kradniesz portfel i krzyczysz że jesteś bohaterem bo nie złapali jak kradniesz?
      Wygląda że piszą tu sami złodzieje czekający na okazję. Gratulacje :)
      A włamać da się wszędzie, kwestia czasu i umiejętności ale trzeba być złodziejem żeby to zrobić.
      Nie pozdrawiam

    • @Robert: Robercik, mieszasz pojecia. Poprawna sytuacja: jezeli jadac tramwajem, wynajmujesz Pana Miecia, ktory ma Cie pilnowac aby Ci porfelika nikt nie zajumal, to powiedz mi: wysiadajac z tegoz tramwaju i stwierdzajac dziure w okolicach po portfelu: masz Ty do Pana Miecia pretensje, mieszasz go z blotem, zadasz oddszkodowania i wynajmujesz na jego miejsce Pana Wiesia, czy blozgasz na zlodzieja a do Miecia mowisz: no, stary, tym razem sie nie udalo, popraw sie na nastepny?

  50. Nasz hakier chyba się przestraszył i dał sobie spokój z dalszym szantażem, albo w końcu zrozumiał, że publikacja danych niczego winnych osób to zła zagrywka i w ten sposób nie zostanie Robin Hoodem:) ja mam nadzieję, że to już koniec sprawy.

  51. JA to widzę inaczej.
    Im więcej informacji tym bardziej postrzegam go jako Nowoczesnego Robin Hooda :))

    • Ciekawe czy jak ciebie ktoś okradnie, to też będziesz tak sądził… Podobno koleś ukradł już ponad 1mln zł, czemu tych pieniędzy nie przeznaczy na biedne sieroty?;>

    • No właśnie – podobno… “Instytucja” tego nie potwierdziła :))

      Jak pamiętam Robin Hood okradał bogatych i dawał biednym (podobno)

  52. Zastanawiam się jaką rolę spełnia niebezpiecznik, vox populi czy vox vox fures?
    Po Waszych publikacjach ktoś może wysnuć wniosek, że polsilver włamał się do PB tylko po to, żeby obnażyć słabe punkty zabezpieczenia, potem próbował – bezskutecznie – całą sprawą zainteresować firmę, i dopiero po tym, jak go “olali” rozpoczął szantaż i opublikował dane. Nic bardziej mylnego! Zwykły, kolejny złodziej, któremu się po prostu nie udało ukraść więcej niż chciał. Za kim stoi niebezpiecznik, za złodziejem czy jego ofiarami?

    • Też się zastanawiam. Oczekiwałbym, aby takie serwisy jasno i dobitnie piętnowały bandytyzm a nie dodatkowo jeszcze szturchały ofiarę czy gloryfikowały złodzieja. Mam wrażenie, że to nie do końca jest określone w przypadku tego serwisu. W kolejnym newsie dostaje się LOT. Jakoś nie czytam, że bandyta spowodował znaczące straty i to nie tylko po stronie LOT, ale przede wszystkim po stronie niewinnych pasażerów, którzy dzięki bandyckim działaniom znaleźli się w trudnej sytuacji…

    • Dobra panowie, przestancie chrzanic.
      Lamenty, ze koles skopiowal jakas kase od banku (tak – skopiowal, bo danych elektronicznych nie mozna “ukrasc”). W tym konkretnym przypadku winny jest bank i bedzie musial zwracac pieniadze klientom – jesli jeszcze tego nie zrobil. Tak – wiem, ze mimo wszystko powoduje to pewnego rodzaju “straty” zarowno po stronie banku, jak i jego klientow.
      Natomiast ciekawym jest, ze nikt z Was nie lamentuje tak na same banki, ktore codziennie okradaja swoich “klientow”. Chocby faktem, ze pozyczaja (daja kredyty) z oprocentowaniem pieniadze, ktorych REALNIE nie maja. Nie tylko fizycznie ale rowniez elektronicznie. Po prostu generuja dodatkowe cyferki i “pozyczaja” je kowalskiemu a nastepnie ten buli od tego zlodziejski % przez kolejne lata (a czesto cale zycie). Tutaj nikt z Was geby nie otworzy. Ach, zapomnialem, ze z 80% (tak – statystyka z dupy) osob w tym kraju nawet nie zdaje sobei sprawy z faktu, ze bank moze pozyczac pieniadze, ktorych realnie nie posiada. Niby nie w nieskonczonosc ale wystarczajaco duzo.

      Co do przykladu @acarii, ktory sie bulwersuje, ze takie akcje uderzaja w zwyklych obywateli. Owszem – ale co tu jest dziwnego ? Nawet zwykly protest na ulicy uderza przede wszystkim w niewinnych przechodniow/kierowcow a nie w elity rzadzace. Czy to oznacza, ze nie powinnismy urzadzac protestow. Oczywiscie zaraz uslysze, ze owszem – powinnismy, ale w innej formie. I to sa z regoly slowa ludzi, ktorzy w zadnym protescie nigdy nei uczestniczyli – bo maja zbyt wyjebane. Ale za to oburzone komenty w internetach pisac potrafia…

    • @Maro
      Odnoszę wrażenie, że naoglądałeś się jakichś demagogicznych filmików w Internecie i już nie starcza Ci wyobraźni na samodzielne “rozpracowanie” systemu bankowego.
      Masz rację, obecnie żaden bank w żadnym kraju nie operuje fizycznym pieniądzem. Nikt nie czeka aż klient przyniesie worek pieniędzy aby te pieniądze pożyczyć innemu klientowi. Jeśli chcesz ten temat zgłębić, myślę że w przeciętnym technikum ekonomicznym są zajęcia z podstaw bankowości – nie trzeba się od razu spinać na studia w tym zakresie.
      Co zaś do Twego liberalnego podejścia do kolesia, co skopiował … Ciekaw jestem jaki byłby Twój stosunek nie tyle do skopiowania co do zamiany jednego znaku w rejestrach bankowych dotyczących Twojej kasy. Ktoś by dla jaj zamienił znak + na – (czytaj “ma” na “winien”) … Niby niewinny żarcik a jak wiele w Twym życiu może zmienić.

  53. email to nie jest pismo – hacker powinien wyslac pismo, najlepiej listem poleconym za zwrotnym poswiadczeniem odbioru…

  54. GIODO???
    Dajcie spokój. Nie wiem po co ten urząd. Mała próbka

    Czy na podstawie ustawy o ochronie danych osobowych spółdzielnia mieszkaniowa może żądać od swoich członków informacji o osobach z nimi zamieszkujących, z podaniem ich imienia i nazwiska, stopnia pokrewieństwa oraz nr PESEL?

    Nie, zagadnienie to należy bowiem rozpatrywać na gruncie przepisów prawa, szczególnych wobec ustawy o ochronie danych osobowych, czyli na podstawie których działają spółdzielnie mieszkaniowe.

    I co? ano nic. Spółdzielnia ma to głębko w d…. i robi dalej jak chce a GIODO chce ode mnie ….znaczków skarbowych na zgłoszeniu.

    Czy może być numer PESEL na biletach miejskich
    Nie wydaje się, aby niezbędnym do wypełnienia celu, w Jakim dane przetwarzane są w związku ze świadczeniem usługi transportu miejskiego na obszarze gminy, było zamieszczenie na kartach miejskich tak szczegółowej informacji o osobie, jak jej numer PESEL.

    Historia ta sama…
    Nie chce mi sie więcej przykładów podawać.

  55. w uzupełnieniu do poprzedniego mojego komentarza.
    Przytoczone opinie są ze strony GIODO
    http://www.giodo.gov.pl/353/id_art/3250/j/pl/
    http://www.giodo.gov.pl/394/id_art/2046/j/pl/

  56. no i gdzie reszta danych panie haher?

  57. Dopiero jak podano treść wiadomości odnalazła się u GIODO… Jakie to wygodne.

  58. ..no i co tam u “naszego” pana hakiera? opublikował kolejne?

    • Nie opublikował, bo już zdobył to co chciał – atencję :) jednak biedne dzieci nie były dla niego ważne ehhh, a ludzie niczym pelikany łykały całą akcję.

  59. Dlaczego “hackerzy” nie używają polskich znaków diakrytycznych…?

  60. zamiast pomagać innym, to tylko hakują banki, szkoda tych ludzi, ja hakowałem tylko konta, ale tym, którzy na zasłużyli, ale to w grach przeglądarkowych :D

  61. Najbardziej podoba mi się odpowiedź GIODO:

    “Obecnie sprawdzamy, czy się tym zajmiemy.”

    Szkoda że wcześniej nie sprawdzili czy warto w ogóle to sprawdzać :)
    Manus manum lavat. Jak widać każdy kryje każdego.

Odpowiadasz na komentarz Wosiu

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: