8:29
25/9/2017

Po 3 złote za rekord (z możliwością negocjacji ceny przy większych zakupach). Takie ogłoszenie ukazało się na polskim forum w Torze:

Skąd pochodzą rekordy, oto jest pytanie. Ale skoro są to te same informacje dot. klientów różnych banków, obstawiamy jakiegoś pośrednika, być może z branży kredytowej lub windykacyjnej? Co łączy tylko te 4 banki? Warto zauważyć, że loginów i haseł brak — pytanie czy na podstawie informacji z pliku nie da się zrobić resetu haseł / numerów telefonów przez infolinię?

Co do sprzedawcy, jedną sprzedaż ma już zrealizowaną a i ta transakcja należy do pewniejszych, bo sprzedawca jest otwarty na escrow, czyli usługę pośrednictwa w sprzedaży, co oznacza, że w skrócie: sprzedawca otrzyma pieniądze, a kupujący wykradzione dane, po potwierdzeniu że i wpłata i dane są poprawne. Potwierdzenia dokonuje niezależny zaufany użytkownik forum.

To ogłoszenie generuje ciekawy dylemat. Czy polskie banki, niczym Facebook i Amazon, powinny skupować takie wykradzione bazy danych? A nawet jeśli podejmą decyzję na tak (zostawmy na razie etykę), to czy takie działanie będzie w świetle prawa nie narazi ich na odpowiedzialność?

Przeczytaj także:

86 komentarzy

Dodaj komentarz
  1. I znowu mBank… Strasznie dużo info o tym banku ostatnio…

    • Ciekawe czy znów zaczna kombinowac ze u nich wszystko cacy tylko news jest stronniczy

    • wszystko wskazuje na to, że wyciek pochodzi z jakiejś innej firmy, niż te banki (za mało rekordów, kilka banków…), i że winy nie ponosi mBank. więc o co chodzi, i co mBank ma “kombinować”?

  2. Z którego forum pochodzi ten post?

    • To jest z dark webu…

    • Odpowiedzieć, że forum jest z dark webu, to jak na pytanie “z jakiego subreddita pochodzi post” odpowiedzieć, że z forum w internecie.
      Post jest z Hydra albo Torepublic. Wygooglaj polskie fora w dark web, podłącz się i poszukaj.

  3. […] Kwoty na rachunkach z baz są od min 10 000 zł do kilkuset tysięcy […]

    Moje dane są bezpieczne :v :p

    • Poniżej dolnej czy powyżej górnej graincy? ;)

    • Co ci sie w skodzie nie podoba?

  4. “Bezpiecznego dnia” – dobre :)

  5. Moze z jakiegos US, albo innego GUS?

  6. Mam konto w CA – do resetu haseł/numerów raczej nie wystarczy, zawsze mnie pytają o dodatkowe produkty (kredyty, karty kredytowe, lokaty – co ciekawe również o takie, których się nie ma) a także rzeczy typu “imię babci po stronie mamy”

    • 90% ludzi bedzie mialo jedno konto w zł i jedno konto oszczednosciowe.

  7. Jakimś tropem co do źródła wycieku może być zdanie: “Kwoty na rachunkach z baz są od min. 10 000 zł”. Jeśli przyjąć, że sprzedawany jest cały wyciek (a nie tylko ciekawsze/potencjalnie bardziej dochodowe konta), to znaczyło by to, że nie są to raczej konta “przeciętnego zjadacza chleba”, co też odrobinę zawęża możliwe źródła.

    • Zdziwiłbyś się, ile tacy zjadacze chleba mają pochowane po takich właśnie skarpetach. Najwięcej ci, którzy nawet na tym chlebie będą dziadować, ale grosz do grosza skrupulatnie, z zaaferowaniem jakiego nawet Smeagol by im pozazdrościł, muszą odłożyć.

    • Przepraszam, ale kogoś posiadającego 10 000zł uważasz za jakiegoś bogacza? Ja raczej nazwałbym kogoś takiego ‘klasą srednią” jeżdżącą skodą i robiącą zakupy w bidronce.

    • Oferant mógł wyciąć wszystko o balansie poniżej 10000, żeby bazy były więcej warte, a wektor aktaku trudniejszy do określenia na podstawie ich zawartości.
      Dla kont, na których jest ledwie kilkaset złotych szkoda sobie zawracać głowy, skoro można zainteresować się większymi, więc po co te małe skupować, a zatem i po co sprzedawać.

  8. Jak dla mnie to raczej wyjebka. Cena jest za niska jak na prawdziwie, wartościowe dane bankowe.

    • przeciez daje escrow

    • Najzabawniejsze w escrow w takich miejscach jest to, ze zlodziej musi zaufac innemu zlodziejowi ktory robi za posrednika w transakcji i ja potwierdza. Co jednoczesnie tez neguje twierdzenie, ze dane sa na wylacznosc kupujacego skoro i tak posrednik musi potwierdzic ich autentycznosc przed finalizacja transakcji.

    • Zakładanie, że wszyscy tam są złodziejami nie jest bezpodstawne, ale to równie dobrze pośrednikiem może być taki Saul Goodman.
      Pośrednik raczej weryfikuje tylko płatność i dostarczenie danych i/lub ich mały wycinek. Jak zamawiasz tam dragi, to pośrednik nie przychodzi z tobą wziąć działkę, żeby potwierdzić, że rzeczywiście dostarczono co trzeba, tylko wypuszcza pieniądze od ciebie do sprzedawcy jak tylko ty potwierdzisz otrzymanie zamówienia.
      W razie problemów z dostarczonym zamówieniem lub jego niedostarczeniem stanowi mediatora/sędziego w sporze.

  9. Jest kwota rachunku, więc nie wiem czy to pośrednik, bo skąd by miał takie dane? Może poczta? Albo jakiś bank oferujący płatność za rachunki bez zakładania konta?

    • Może jakaś podróba obrotomierza? Sam podajesz im dane, jak dzwonią z ofertą darmowego kredytu na miljardy złotych monet z kolejnego burner-a, to potem lata po sieci, i nawet nie wiesz kto cię puknął w czoko.

    • Z drugiej strony te kwoty jakieś za duże…

    • Jak najbardziej może to być pośrednik kredytowy, może ktoś ze sklepu udostępniającego sprzedaż na raty. Wystarczy że bierze wyciąg/stan z konta do oceny zdolności kredytowej. Wiele osób pewnie ma dostęp do takich dokumentów, wystarczy że ktoś to sobie spisze.

  10. Oczywiście, że powinni skupować. Skoro dopuszczają do możliwości, gdy dane ich klientów mogą trafić do niepowołanych rąk, powinni w ten sposób wziąć odpowiedzialność. O żadnych dylematach moralnych nie może tu być mowy, bezpieczeństwo klienta powinno być bezwzględnym priorytetem.

    • Z drugiej strony wykupienie bazy danych to swojego rodzaju wspieranie kryminalistów i zachęta do kolejnych włamań. Sprawa nie jest tak oczywista.

    • Jak wyżej.
      Plus oczywiście nie muszą składać oferty oficjalnie jako bank ;o)

    • skoro dane są z kilku banków, to zapewne nie banki są źródłem wycieku danych, więc to nie ich odpowiedzialność.

    • Co gdyby sprzedawca nie oferował escrow?
      Też powinni kupić?

    • Kupienie nie usuwa tego z rynku…

      Natomiast powinni kupić, żeby na tej podstawie wytropić źródło wycieku. Same się te dane nie wrzuciły w internety.

    • “Z drugiej strony wykupienie bazy danych to swojego rodzaju wspieranie kryminalistów i zachęta do kolejnych włamań.”

      A może to motywacja dla banku do położenia większego nacisku na zabezpieczenie wrażliwych danych?

  11. Próbowali ostatnio naciągnąć telefonicznie starszą osobę w mojej rodzinie wypytując o dokładnie takie dane … (ew. o te których im brakowało) pod pretekstem “Zakrojonej na szeroką skalę kradzieży pieniędzy z rachunków bankowych” … myslałem że to bardziej akcja polegająca na “zasugerowaniu” właścicielowi rachunku przelewu na wskazane konto celem ochrony pieniędzy przed kradzieżą…. ale własnie co ciekawe nie sugerowali przelewu sugerowali wycieczkę do banku w celu zablokowania rachunku lub wypłacenia pieniędzy … więc może chodziło tylko o zebranie danych … choć za 3zł… aż mi się nie chce wierzyć, że ktoś by dzwonił…. (przedstawiał sie jako policjant) … z drugiej strony może liczą że te same dane sprzedarzą wielokrotnie .

    • Typowa metoda na wnuczka/policjanta, zgłoś to na policję!

  12. Wysłałem pytanie do ING. Zobaczymy co mi odpowiedzą.

    • Zapytałem, odpisali.

      Z przeprowadzonej przez nas analizy wynika, że dane, o których mowa w publikacjach prasowych nie wyciekły z systemów naszego banku.
      Jednocześnie zapewniamy, że przywiązujemy najwyższą wagę do bezpieczeństwa i ochrony danych osobowych klientów. Nasi eksperci na bieżąco monitorują sytuację oraz są w stałym kontakcie z policją w celu wyjaśnienia tej sprawy. Zgłosiliśmy zawiadomienie o podejrzeniu popełnienia przestępstwa organom ścigania.

    • dane nie wyciekły z ich systemu, ale czy są prawdziwe czy nie ?? to już nie napisali

    • @takisobie a skąd mają wiedzieć, czy dane są prawdziwe, skoro tego nie kupili?

  13. Wygląda jakby popłynęło z jakiegoś banku spółdzielczego.

    pnc

    • Skąd ten wniosek?

  14. Obstawiam jakąś firmę typu zewnętrzne call center outboundowe, które namawia do uslug na zlecenie banku. W tym przypadku może chodzi o jakieś inwestycje.
    Taka tam hipoteza.

    • Myślisz że takie call center ma tak pufne dane jak pesel? Pracowałem w Orange i nie miałem dostępu do niczego co było by niezbędne do zawarcia umowy (nie miałem nawet adresu było tylko miasto)

    • @Tomasz to zależy która

    • @Tomasz to zależy które CC i który system, w niektórych CC masz dostęp do WSZYSTKICH możliwych danych, włącznie z danymi osobowymi, kwotami za rachunki (PV, PS) i inne rzeczy.

  15. Przypomina mi to mój telefon do banku jak wyręczałem ojca w jego sprawie, bank zaczął mnie weryfikować i znałem odpowiedzi na 10 szczwgółowych pytań, a poległem przy 11: ile ma pan lat? Szybko odjąłem rocznik z peselu od 2017, ale tatko był przed urodzinami… i bank mnie pożegnał xd

    • Mi podobnie przypomina to telefony od T-Mobile i Play.
      Czy mam do czynienia z Janem Kowalskim, blabla, a na koniec “Proszę podać swoje hasło abonenckie”, a ja za każdym razem “Jakim prawem, to przecież to Wy do mnie dzwonicie, a nie ja do Was?” i nigdy nie podaję i oj oj nie będę mógł skorzystać z mega super oferty…

  16. To nie wygląda na coś legalnego. Chyba tu trzeba dużej ostrożności – może nawet zgloszenia, jak ktoś wcześniej napisał…

  17. Hmmm

  18. mBank już wcześniej zgłosił sprawę na policję: http://wyborcza.pl/7,156282,22420526,dane-klientow-czterech-bankow-z-polski-wykradzione-i-wystawione.html

  19. Czy to jest dla klienta ING jest zagrożenie?
    Moga z takimi danymi wziąć kredyt?

  20. Właśnie zadałem pytanie mBank czy dane są bezpieczne. Odpowiedź mniej więcej “Pana kasa jest zabezpieczona przez BFG do wysokości 100tys euro”
    0 konkretów na pytanie czy dane wyciekły.

    • BFG? Takie cudo z Quake’a 3? To bym się nie przejmował ;)

  21. hmm.. wygląda jakby była to baza transportu bank-gemius :) o czym pisałem już kilkakrotnie… ale jak widać ani to ani wizyta smutnych panów z GIODO specjalnie nie poprawiła funkcjonowania mbanku :)

  22. faktycznie… troszkę dziwnie niska cena… jak na takie dane… ale prawdopodobnie mógł być to fake aby zmusić “zainteresowanych” do odpalenia KLUCZA zamieszczonego przez właściciela ogłoszenia – w zależności w jakiej formie był on przygotowany ( zgaduj zgadula – brak info na ten temat) nie zdziwił bym się gdyby zrobił on “nowy zamek” w systemie “klienta”

  23. Malutka ilość tych rekordów. Gdyby ktoś rzeczywiście haknął bazę było by ich o wiele więcej.

  24. A może te dane wyciekły w wyniku korzystania z płatności poprzez Sofort i/lub Trustly?

  25. Chyba, że wyciek ze skarbówki, ponoć przelewy powyżej jakiejś kwoty są monitorowane.

  26. “Czy polskie banki, niczym Facebook i Amazon, powinny skupować takie wykradzione bazy danych?”
    imo powinno być podejście jak USA do terrorystów. Nie zapłacą okupu bo to powoduje tylko kolejne próby dokonania jakichś porwań itp :)

  27. Nie łączy tych banków przypadkiem ten sam system transakcyjny, którego dostawcą jest firma na A… ?

    • Nie wiem czy akurat te ale istnieją banki, które korzystają z takich samych systemów informatycznych (np. BOŚ, BGK, GBS/Gorzów, BS/Barlinek). Zdradzają ich wspólne szczegóły, takie jak dziwaczne opisy transakcji “doks.z cz.b.p.”, podobne druki wpłat, niemal identyczny system “CORPO” albo nawet numeracja samych rachunków bankowych wg tego samego schematu (z numerem “modulo” klienta).

  28. Mniej niż 4 tys rekordów – nie wygląda imponująco. Może to z bazy jakiegoś sklepu? Wzięci klienci tylko wybranych banków, a sugestia że to dane z banków jest dla zmyłki/podkręcenia atmosfery? :) A kwoty na kontach losowe..

  29. uf, jak dobrze, nigdy nie miałem 10k na koncie od kilku lat, a umowa o pracę jest..

  30. Może jakieś pośrednictwo kredytowe oferujące produkty tych banków? Pełno takich bud, na każdym rogu.

  31. Ja rezygnuję z usług mBank. Zamierzam wystąpić o zaświadczenie o zamknięciu konta. Przenoszę kartę kredytową i lokaty do PKO BP, który wydaje się najbezpieczniejszy (za magazynem “Global Finance”). Coś za dużo tych ataków i ZERO konkretnej informacji jak sobie z tymi atakami radzą. Zero doniesień o pojmaniu przestępców. Można podejrzewać, że bank nic z tym nie robi. Na początku miesiąca w imieniu mBank wysyłano fałszywe potwierdzenia przelewu, w których był link do ransomware szyfrującej dyski, teraz pisze się o wyciekach danych. Już nie wiadomo co jest prawdą. Czas zamknąć konta w tej instytucji. Bank to ma być bezpieczeństwo, a nie ciągły ból głowy co tam się dzieje. Pozdrowienia dla mBank. Zacznijcie publikować konkretne informacje o tym co robicie z przestępcami którzy mieszają w Waszych systemach.

    • “Na początku miesiąca W IMIENIU mBank wysyłano fałszywe potwierdzenia przelewu, w których był link do ransomware szyfrującej dyski(…)Bank to ma być bezpieczeństwo, a nie ciągły ból głowy co tam się dzieje.”

      https://c1.staticflickr.com/6/5014/5543864653_5ac1097dce_b.jpg

    • Nu tak…
      Bank ci wysyła wirusy a później nie pisze co zrobił ze swoimi pracownikami czy dostali jakąś premię czy biedują.

    • Przenieś kasę do skarpety, na pewno będzie bezpieczniejsza.

  32. Dobrze że jestem na minusie – spokojnie browarka sączę;)

  33. Może kontomierz?

  34. Da się sprawdzić, czy jest się na liście?

    • Tak, jak kupisz

  35. To “zajawka” …prawdopodobnie macanie na zrobienie “Szumu” i “Panic” w Systemie Bankowym …a raczej w IT Sec w tych Bankach …teraz Tam jest “Ogień” :-D

    • hehe dobrze powiedziane!!. chłopaki z IT teraz “przez miesiąc” będą przeglądać logi

  36. To jest zaciągane z aplikacji mobilnych banków .

    • Skąd ten wniosek?
      Mówimy o danych z appek banków, wykradzionych przez jakiś skrypt na telefonie, nie same oficjalne apki banków?

  37. Kwoty od min. 10 000zł? Jak dobrze być biednym

  38. Jak to dobrze, że mam konto tylko w jednym z tych banków i na dodatek takie “pomocnicze” na którym saldo waha się między -10 zł (jak pobiorą jakąś prowizję) a 500 zł. :)

  39. bez przesady, 10 tysi to chyba raczej większość kont zawiera (gdy robotę po szkole zaczynalem to miałem mniej niż dychę, ale wystarczą 2 lata nawet na opcji bida żeby odłożyć tyle bez większego problemu). Więc zastanawiam się po co sprzedawać takie dane od tak małej kwoty przecież do niczego się to nie nada. Od 100tys hmm 500 tyś to jeszcze jeszcze , chociaż 100 tys to i tak jakaś część narwanych może mieć.

  40. Wychodzi na to ze baza zostala juz zakupiona. Do klientow ING Bank Slaski wydzwaniaja ludzie wyludzajacy loginy hasla i kody sms do kont.

  41. Dziwnym trafem kilka tygodni temu Credit Agricole miało dziwne problemy z danymi. Od jakiegoś czasu przychodzą mi wyciągi bankowe na umowy zamknięte kilka lat temu. Ponoć wynika to z przywracania bazy. Dziwne bo BIKu nie figurowałem z umową i kartą kredytową jeszcze 2 lata temu a obecnie znowu mam i to z przed 5 lat.

  42. albo pracownik bankowy, ktory czesto zmienial prace:) wystarczy sprawdzic kazdego kto mial dostep do tych danych, potem liste kazdej instytucji zestawic, wyjdzie kto mial dostep do wszystkich danych;)

    • Albo wyjdzie kilku, w tym nie wiadomo który haknięty, albo sterta osób związanych z budową jakichś API dla tych banków, albo audytorów, albo (werble) inne nieadekwatne babole. Swoją drogą powodzenia w przekonaniu tych banków do udostępnienia takich zestawów danych jednemu podmiotowi do porównania. Czasem nawet pojedynczy bank nie jest w stanie we własnych strukturach z całą pewnością stwierdzić, kto u nich do czego zagląda.

      Zdejmij czapkę, schowaj lupę, odeślij Watsona do domu.
      Równie dobre jak sugestia, żeby sporządzić listę wszystkich aplikacji zainstalowanych/załączników otwartych na wszystkich urządzeniach wszystkich osób w tej bazie – przecie powtarzająca się apka/załącznik pewnie została użyta w ataku. W panoptikonie wszystko widać jak na dłoni.

      I od razu przepraszam za disik.

  43. Filtr na kwotach sugeruje, że wyciekło od “naganiacza” na usługi/inwestycje.
    Albo… oferta dla bandziorów: włamy, szantaż dla okupu, porwania niewykluczone.
    Jeszcze gorzej, gdy ktoś miał konta i porozkładane pieniądze właśnie w tych 4 bankach…

  44. Obstawiam pośrednictwo kredytowe typu Nummus, KredytOK albo Banknot.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: