14:40
5/5/2010

Pan Waldemar wpisał w Google nazwisko jednego ze swoich dłużników. Wyskoczył mu plik, który zawierał pełne dane ponad 1 000 firm, jak się okazało też dłużników, ale PKO BP. Pan Waldemar zgłosił PKO BP ten fakt …i został przez bank oskarżony o złamanie zabezpieczeń bankowych i próbę szantażu.

Pliki Klientów Obejrzysz...

“Haker” niewinny

Dziś jest już po śledztwie, na komputerach pana Waldemara biegli sądowi nie znaleźli żadnych śladów umyślnego przełamywania zabezpieczen bankowych, oskarżenie było bezpodstawne. Pan Waldemar zamierza dochodzić odszkodowania, bo jak sam mówi w wypowiedzi dla TVN24:

Nie miałem sprzętu. Prace, które miałem zlecone musiałem robić de facto dwa razy, bo sprzęt zabrano. Musiałem kupić na nowo sprzęt, nowe licencje na oprogramowanie

…a więc jak wszyscy podejrzani o przestępstwa komputerowe, Pan Waldemar stał się ofiarą bezsensownego prawa, które w Polskich warunkach interpretowane jest nie jako zabezpieczenie dowodów elektronicznych, ale ich zarekwirowanie (bo tak jest, mówiąc w skrócie, taniej i wygodniej).

Dlaczego baza PKO była dostępna publicznie?

Przedstawiciel banku, Marek Ryczkowski w wypowiedzi dla TVN24, wyjaśnia (pogrubienia moje):

Ten plik został zabezpieczony w tak zwanym głębokim ukryciu, jak to mówią informatycy. Jak się okazało po czterech latach za pomocą wyszukiwarki można było do tego pliku dotrzeć. Udało się to jednej osobie

Macie pomysł, co oznacza “głębokie ukrycie”? ;-)

P.S. Warto przypomnieć podobną wpadkę banku PEKAO S.A. (nie PKO BP), przez którą tysiące CV osób aplikujących na staż wystawiono na widok publiczny. Zaindeksowała je także wyszukiwarka internetowa, a dokumenty można było pobrać nawet po ich skasowaniu i usunięciu Google’owego cache’a…


Przeczytaj także:

59 komentarzy

Dodaj komentarz
  1. taa.. jaki wniosek? jak już znajdzie się takie dane najlepiej wysłać anonima:)

  2. Zdarza się. A o polskim “prawie” można encyklopedię napisać.

  3. Głębokie ukrycie, to pewnie w Deep Web ukryli ;).

  4. Oto cenna rada dlaczego nie warto pomagać w takich sprawach policji. Na wszelki wypadek polecam (zawsze) robić backupy by można było pracować nawet gdy policja “zabezpieczy” sprzęt i mieć duplikat każdego istotnego elementu komputera by szybko go sobie odbudować. Głębokie ukrycie… pewnie /var/www/pkobp/cos/tam/nie/do/odgadniecia/dluznicy.pdf. Zamiast “glebokiego ukrycia” pewnie fajniej by zadziałał .htaccess lub chmod.

  5. “Macie pomysł, co oznacza “głębokie ukrycie”? ;-)”

    Oznacza, że Pan się w ogóle nie zna, coś tam słyszał od informatyków, którzy też specjalnie bystrzy nie byli.

    Dwie dodatkowe rzeczy. z tego co było opisywane przez pokrzywdzonego:
    – “bank” stał się “agresywny” wtedy kiedy Pan wspomniał coś o nagrodzie,
    – dostępne było dużo więcej danych niż w przypadku PEKAO SA.

  6. Głębokie ukrycia zapewne oznacza, że:
    a) szafa stała na szarym końcu serwerowni
    b) serwer miał naklejkę “PORN’ by nikt nie domyślił się, że są tam dane wrażliwe
    c) plik znajdował się w ścieżce /admin/install/manual/docs/old/really/old

  7. (…) “… kocham Cie Polsko ! …” (…) Niebezpiecznika też kocham ale juz bez sarkazmu :D

  8. “Ten plik został zabezpieczony w tak zwanym głębokim ukryciu, jak to mówią informatycy.”

    Znając skilla polskich przedsiębiorstw “głębokie ukrycie” znaczy PPM->właściwości->fajeczka przy “Ukryty” xD Czemu zawsze wypowiedzi przedstawicieli firm muszą być tak żałośnie śmieszne?

  9. Czy głęboko nie jest tutaj synonimem “analne” ? Bo takie podejście jest tak bardzo z dupy, że po prostu człowiekowi aż zwieracz ściska…

  10. Najczęściej informatycy nie są winni temu. IT udostępnia usługę Biznesowi, Biznes korzysta z niej, nie zawsze świadom jej działania, (np. że jest takie coś jak robot Googlowy, który może wejść i zindeksować, przecież plik tylko “leży” sobie na zasobie sieciowym), nie zawsze wszystko konsultując.
    Od ryzyka w firmach są specjalne działy, zespoły. Koleś z IT nie musi znać wszystkich dokumentów, przeglądać plików, nie powinien decydować czy to jest wrażliwe, tajne czy co tam jeszcze. Biznes mu zleca, IT działa.

  11. @Borys: właśnie chciałem powiedzieć, że pewnie znajdował się w “pupie”…
    a może po prostu w /var/www/scisle_tajne/pupa ;)
    Głębokie ukrycie… pamiętam, że coś około początków XXI wieku wyciekły dane agentów którejś z agencji wywiadowczych przez wyszukiwarkę.
    Pliki zostały umieszczone na stronie o “głębokim ukryciu” (hahah) do której nie prowadził żaden link.

  12. “via Tomasz Kowalczyk”? Coraz więcej imienników. ;]

  13. @Rafał: a jak bank znajdzie informację, że może ci capnąć stówę z konta, to ci ją capnie, a nie wyśle anonima. :>

  14. […] debtor and accidentally found a file with list of over 1000 debtors of PKO BP (Polish bank), more here (unfortunately only in Polish). First he was accused that he obtained this file illegally by […]

  15. Czytałem o tym wczoraj na TVN666 i też mnie właśnie zaintrygowała
    technika stosowana przez polskich informatyków
    Tak zwane “zabezpieczenie przez głębokie ukrycie” lol
    Może ktoś powinien na ten temat jakąś prelekcje poprowadzić
    aby szersze grono mogło poznać tajniki owej techniki ;D

  16. przeszukajcie kompy 13-latków w/g plików *.avi czy *.mpg
    jak już dojdziecie do niezłej kolekcji PEWNYCH FILMÓW, to to jest właśnie głębokie ukrycie ;)

  17. Cóż, nie chciałbym nawiązywać do filmu “Głębokie gardło”…

  18. “głębokie ukrycie” to po prostu Polska wersja techniki “Deep Throat” którą dokładnie przedstawił Gerard Damiano na konferencji w ’72.

  19. Czy przypadkiem PKO nie powinno się teraz gęsto tłumaczyć w prokuraturze dlaczego nie dbają o dane osobowe?

    Człowiek chce być dla firmy miły, to go oskarżają.
    Wniosek z historii płynie taki, że jak się coś takiego znajdzie to info należy wysłać(anonimowo) do mediów i na policję żeby zajęła się niechlujstwem firmy.

  20. Pliki w “głębokim ukryciu”, klienci w “głębokim poważaniu”… ot wspaniały bank. A temu panu życzę powodzenia, nie dość że im pomógł to jeszcze mają do niego pretensje o własną głupotę.

  21. Z tego wynika, że zamiast być pomocnym lepiej być praworządnym, zgłosić fakt ujawnienia danych GIODO i przy okazji rzucić info jakiemuś dziennikarzowi lubującemu się w sensacjach. Od dziennikarza pewnie wyciągnąłby trochę grosza za ciekawy temat, a tak trafił na kolesia z banku, który kasy płacić nie chciał i wiedział jak zaszkodzić temu panu.

  22. @zzz1986@o2.pl 2010.05.05 16:45 | #

    Czy przypadkiem PKO nie powinno się teraz gęsto tłumaczyć w prokuraturze dlaczego nie dbają o dane osobowe?”

    Ja tam się nie znam, ale wniosek końcowy (tak jednym uchem trochę słuchałem) był taki, że gdyby facet był na tej liście, to mógłby do prokuratury (czy do GIODO, niech się wypowie jakiś specjalista) złożyć wniosek. A tak, sprawa się rozmyje, bo osoby (a w zasadzie firmy) będące na liście raczej nie wiedzą, że ich dane pociekły sobie (a to one mogłyby się procesować z bankiem).

  23. Przy okazji dwa wnioski:
    – warto sobie ustawić w google alerts zapytania związane ze sobą,
    – tv dość nieudolnie ukrywa dane (vide przypadek dokumentów udostępnionych przez byłego prezydenta opisywany tutaj), nazwisko niby zasłonięte, ale już link w google widoczny.

  24. Głębokie ukrycie? Zaczynam mieć obawy, że nasze pieniądze ten bank trzyma w podobnym głębokim ukryciu, znaczy: w starej skarpecie.

  25. Kurcze troche lat już pracuje w branży IT zajmując się też zabezpieczeniem danych ale o zgrozo – cytuje: “Ten plik został zabezpieczony w tak zwanym głębokim ukryciu, jak to mówią informatycy” nie mam zieeelonego pojecia co autorowi miał na myśli…
    ;)

  26. Jak miło było dziś przeczytać cały artykuł w ulubionym czytniku rss :)
    Tak, jednak ktoś zauważył :D

  27. “Głębokie ukrycie” – polskie tłumaczenie “security by obscurity”
    Pan Przedstawiciel chciał się poczuć jak tłumacze Szklanej Pułapki, no:)

  28. Dobry zwyczaj nie udostępniaj, jeszcze lepszy odłącz od neta. Kto normalny trzyma takie dane na komputerze, który google może bez problemu zindeksować? Zawinił oczywiście człowiek, a teraz się wymigują od odpowiedzialności.

  29. Ech, te potworne, korporacyjne molochy … zero wdziecznosci. Ewidentne naduzycie i proba odwrocenia kija w druga strone.
    Pan Waldemar powinien POZWAC PKO S.A za tak bezpodstawne dzialania, choc domyslam sie, ze wspomniane roszczenie odszkodowaniowe jest wlasnie pozwem

  30. “Głębokie ukrycie” – to w języku bankowca może oznaczać że komputer z bazą danych znajdował się w skarbcu do którego mają klucze jedynie dwie osoby – dyrektor i skarbnik. Że podłączony do internetu i zindeksowany przez Google, Yahoo, GigaBlast, i inne roboty, to już inna historia.

  31. A ja proponuję wyciągnąć z tego przykładu nieco inne wnioski. Jeśli ktoś próbuje robić komuś “niezamówione i darmowe audyty bezpieczeństwa”, to może się liczyć później z pewnymi dość uciążliwymi konsekwencjami. Nawet jeśli sprawa wydaje się dość absurdalna, jak w tym przypadku, to zawiadomienie o podejrzeniu popełnienia przestępstwa musi zostać “przetworzone”. Warto mieć to na uwadze dla własnego spokoju.

  32. Mi przychodzi na myśl termin głębokie gardło, ale głębokie ukrycie ? ;) I to jeszcze z indeksowaniem w wyszukiwarkach ;)
    Ciekaw jestem czy tak chętnie jak chcieli wyciągnąć konsekwencje od Pana Waldemara też wyciągną je od osoby odpowiedzialnej za tak rażący brak kompetencji, szczerze wątpię.

  33. Tak na prawdę jak zawsze nie jest znany szczegółowy obraz sprawy. Z drugiej strony przy założeniu, że faktycznie nie odbył się bardzo ładnie ujęty “niezamówione i darmowe audyty bezpieczeństwa” tylko użytkownik znalazł swoje /nie w tym wypadku/ nazwisko w takim pliku – to ciekawy jest problem co z takim fantem robić. Teoretycznie najlepszym rozwiązaniem byłoby zgłoszenie faktu wycieku danych na Policję w celu zawiadomienia o przestępstwie. Ale zaczynamy wtedy dochodzić do absurdalnych rozwiązań i wniosków. Dlatego mnie ciekawi najbardziej, dlaczego bank podjął takie, a nie inne kroki. Wiedzieli coś czego my nie wiedzieliśmy? Czy po prostu dla ochrony wizerunku zapobiegawczo tak mają wykreowane procedury…

    • Jeśli Pan Waldemar, co nie stoi w artykule, ani w wypowiedzi bankowców, poprosił o “rekompensate finansową” za swoje trudy związane z przygotowaniem zgłoszenia, to pstryczek w nos mu się należy. Vide Pan B. i H-owy hosting ;)

  34. @Piotr Konieczny:
    Jak w takich sprawach zwykle bywa, nie dowiemy się jak dokładnie było. Więcej (trochę) szczegółów było w reportażu tvn, ale nie mogę go znaleźć na stronie. Widocznie jest w głębokim ukryciu…

  35. ha!! nic nie ukryje się przed pająkami googla!!

  36. @bns

    Za dane wrażliwe odpowiada właściciel tych danych. Właścicielem jest z reguły ten, kto je zebrał i stworzył. Jest on pierwszą osobą, od której oczekuje się wyceny wartości tych danych i troski o ich bezpieczeństwo. Zadaniem informatyków jest natomiast przetwarzanie danych zgodnie z procedurami i standardami bezpieczeństwa. Oczywiście takowe muszą istnieć, a cały personel musi być świadomy ich istnienia. I głównie za to odpowiada dział bezpieczeństwa. A całą opisaną sprawą oczywiście powinno zainteresować się GIODO.

  37. Może to ‘głębokie ukrycie’, to cos takiego jak ‘hidden volume’ w TrueCrypt. Jakis pracownik podmonował katalog, gdy grasował tam robot google i go przypadkiem zaindexowało…

  38. A wy jeszcze debatujecie co to oznacza?? :D
    Ktoś już tu wspomniał, a i ja na 99% jestem przekonany że to poprostu Security through obscurity.
    Wiem że ciężko w to uwierzyć ale w polskim banku jest wszystko możliwe :P

  39. […] w home.pl przypomina trochę “głębokie ukrycie danych”, czyli niedawną wpadkę i tłumaczenia PKO BP. W tym przypadku jednak, to nie Home.pl jest winne upublicznienia danych swoich klientów, ale oni […]

  40. […] “informatyków” opiekujących się stroną i serwerem to perełka na miarę “głębokiego ukrycia” […]

  41. […] dziury w serwisach internetowych często zdarzają się tym największym i kojarzonym z działką IT Security (por. udane ataki na Google). Błędy XSS, którymi ostatnio wszyscy tak mocno się […]

  42. […] wrażliwych danych w publicznie dostępnej części serwisu, czyli nasze swojskie “głębokie ukrycie“, jak to pięknie określił kiedyś rzecznik PKO BP, może zdarzyć się […]

  43. […] Internet” – pamiętam, że podobnego terminu użył przedstawiciel PKO, gdy ktoś przypadkowo znalazł wyciąg nazwisk z bazy ich klientów w wyszukiwarce :P Ja odpowiedziałem, że taki termin nie istnieje, ale może jednak powinienem posłuchać się […]

  44. […] to wyrażenie, które znaleźliśmy w wypowiedzi rzecznika PKO BP, kiedy to jeden z internautów zauważył na serwerach banku listę dłużników w katalogu dostępnym dla każdego i zindeksowanym przez wyszukiwarki […]

  45. Przecież oczywiste, co to jest głębokie ukrycie. Wstawiają pliki do folderu /dupa na serwerze i wtedy pliki są ukryte głęboko w dupie.

  46. Po co mi 7000, jak jest 9000:)
    http://www.job-magazine.com/%5Bcensored%5D

  47. […] TVN, na którym widać słynne już słowa wypowiedziane przez rzecznika PKO BP w kontekście tej afery. Jeśli chcecie się spotkać z głębokim ukryciem twarzą w twarz, przewińcie do […]

  48. Nauka uczy jednego: ze nigdy nikogo niczego nie nauczyla!

  49. […] przez jednego z pracowników poprzez udostępnienie danych kart w pliku znajdującym się w “głębokim ukryciu”? Alternatywą jest “głuchy telefon” na linii VISA -> Bankowa Infolinia -> Klient. Być […]

  50. To straszne, co z “głębokim ukryciem” zrobiła Wikipedia –
    http://pl.wikipedia.org/wiki/G%C5%82%C4%99bokie_ukrycie :/. Teraz
    mamy gwarantowane, że termin ten wejdzie do użytku jako coś
    poważnego, nie mówiąc już o tym, że pewnie niektórzy potraktują to
    jako faktyczną metodę zabezpieczeń…

  51. […] plików w tzw. “głębokim ukryciu”, choć kuszące i proste, nie jest dobrym […]

  52. Czy ktoś wie jak zabezpieczyć się przed zarekwirowaniem sprzętu? Również zostałem bezpodstawnie oskarżony, a dochodzenie mojej winy zajęło 3 miesiące policji. Przez ten czas również nie miałem komputera.

  53. […] pozostawiony na publicznie dostępnym serwerze był bezpieczny, bo pozostawał w tzw. “głębokim ukryciu“. Chyba pora wprowadzić do użytku sformułowanie “głębokiego szyfrowania” […]

  54. […] umysłowe oraz moralne dzieci”, ale też niestety udostępnia w internecie, w tzw. “głębokim ukryciu” plik zawierający ponad 8000 rekordów z danymi nauczycieli biorących udział w akcji. […]

  55. […] Nie trzymaj kopii bazy danych (ani innych wrażliwych logów) w “głębokim ukryciu“ […]

  56. […] bank. Kilka miesięcy temu Razowi udało się włamać do Plusbanku, a 4 lata temu miał miejsce wyciek danych (także dłużników) banku PKO BP. To wtedy rzecznik tego banku użył kultowego dziś sformułowania, że dane znajdowały się w […]

  57. […] jednym z hostów, na które wskazuje inna domena (już nieaktywna) znajdują się “schowane w głębokim ukryciu” backupy baz danych […]

  58. dobrze, że nie znaleziono tam skanów dowodów osobistych. Można by potem wziąć pożyczkę.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: