14:53
15/3/2022

Strona internetowa Konfederacji pozwalała na pobranie danych osobowych użytkowników aplikacji Konfederacji, wraz z ich numerami PESEL. Wystarczyło zmieniać kolejne wartości identyfikatora w URL. Po zgłoszeniu błędu, Konfederacja zablokowała dostęp i poinformowała, że choć dane były możliwe do pobrania, to na szczęście dla użytkowników, nikt ich masowo nie pobierał.

Atak sponsorowany przez niezabezpieczone API

O wycieku danych poinformował nas Czytelnik Kacper, który kilka dni temu postanowił się przyjrzeć stronie internetowej konfederacja.pl. Na stronie tej opartej o WordPressa znalazł interesujące API, które udostępniało coś, co wyglądało na dane osobowe:

Co byście pomyśleli widząc taki URL? Czy zaczęlibyście zmieniać cyfry na końcu adresu, żeby wyświetlać dane kolejnych osób?

No to powiemy Wam, że w ten sposób wyświetlilibyście dane kolejnych osób. Tysięcy osób. W niektórych przypadkach zakres udostępnionych danych był większy o dodatkowo adres e-mail.

Ogólnie zestawy ujawnionych danych obejmowały:

  • PESEL,
  • imię i nazwisko,
  • numery telefonów,
  • e-mail (nie w każdym przypadku)
  • username,
  • daty urodzenia,
  • województwa,
  • powiat i gminę (te ostatnie nie były zapisane w plikach JSON jako nazwy, ale jako identyfikatory możliwe do ustalenia)

Kacper zgłosił nam sprawę nie wiedząc, czy ujawnianie danych w taki sposób jest przez autorów strony zamierzone czy nie. W polityce w końcu wiele osób działa w sposób jawny, upubliczniając swoje dane na listach poparcia i podając swój PESEL. Z drugiej strony, tak szerokie udostępnianie danych wydawało się nieco dziwne. Warto też dodać, że dane dotyczą organizacji politycznej, a zatem mogą mieć charakter danych szczególnej kategorii w rozumieniu RODO.

Wedle pozyskanych przez nas informacji, maksymalną wartością identyfikatora, który zwracał dane było 22997. To może sugerować, że w bazie były dane kilkudziesięciu tysięcy osób, o ile identyfikatory zaczynały się od zera i każdy z nich reprezentował użytkownika. Wiele wskazuje na to, że zarejestrowanych użytkowników w bazie faktycznie było tysiące, bo jak wynika z tego artykułu, już 2 lata temu w samym tylko okręgu bydgoskim było aż 45 niezależnych klubów sympatyków Konfederacji (zakładamy tu, że nie były to kluby jednoosobowe). Napisanie skryptu pobierającego błyskawicznie te wszystkie rekordy wydawało się aż nadto oczywistym pomysłem, ale wedle naszej wiedzy przynajmniej Kacper tego nie zrobił.

Szybka Reakcja Konfederacji

Najpierw napisaliśmy w tej sprawie na adres e-mail przeznaczony dla kontaktu z prasą, ale …otrzymaliśmy tzw. zwrotkę o problemach z doręczeniem.

Znaleźliśmy więc numer telefonu do szefa biura, Tomasza Grabarczyka, który po odebraniu zgłoszenia obiecał zająć się sprawą. I faktycznie, po kilku minutach oddzwonił do nas poseł Jakub Kulesza, który przekazał, że podjęto już konkretne działania m.in. kontakt się z firmą zewnętrzną odpowiedzialną za obsługę IT. W wyniku tego, dostęp do tych danych został zablokowany.

Jakub Kulesza poinformował nas także, że Konfederacja przygotowuje oświadczenie w tej sprawie i zgłosi sprawę do UODO oraz poinformuje osoby, których dane można było pozyskać w ten sposób. Obiecał zweryfikować, czy dane faktycznie zostały przez kogoś pobrane w sposób masowy (zapewne przez analizę logów).

Danych nie pobrano masowo

Problem zgłosiliśmy jeszcze przed weekendem. Dziś (15 marca), otrzymaliśmy obszerniejsze oświadczenie dotyczące tego incydentu. Wynika z niego, że nie doszło do masowego pobrania danych, a dane należały do zarejestrowanych użytkowników aplikacji Klubów Konfederacji.

Szanowny Panie Redaktorze,

w pierwszej kolejności pragniemy podziękować za profesjonalną reakcję oraz poinformowanie nas bezpośrednio o zagrożeniu i podatności na wyciek danych.

(…)

Uzyskane od Państwa informacje pozwoliły nam zabezpieczyć dane użytkowników poprzez natychmiastowe wyłączenie aplikacji i naprawienie wykrytej luki bezpieczeństwa. Błąd w konfiguracji został usunięty, a logi dostępowe zostały sprawdzone. Podjęliśmy również niezbędne kroki prawne. Zostało wysłane odpowiednie zgłoszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz zawiadomienie do wszystkich 30 użytkowników, których dane zostały odczytane. Serwis zostanie ponownie uruchomiony dopiero po przeprowadzeniu zewnętrznego audytu bezpieczeństwa. Dokonamy też gruntownego przeglądu w zakresie naszych procedur związanych z przetwarzaniem danych osobowych. Po wykonaniu audytu część danych osobowych, w tym numer PESEL, zostaną trwale usunięte z naszej bazy danych i nie będą wymagane przy rejestracji nowych użytkowników, aby ograniczyć przetwarzane przez nas dane osobowe.

Poniżej przekazujemy odpowiedzi na Państwa pytania.

  1. Czy udostępnienie danych w taki sposób jest zamierzone? Czy ma podstawę prawną?

Udostępnienie danych było niezamierzone.

  1. Jeśli to incydent ochrony danych, to czy logi serwera, który udostępnia te dane, zostały lub zostaną sprawdzone pod kątem ich ewentualnego masowego pobierania?

Zostały sprawdzone wszystkie logi dostępowe z okresu od uruchomienia aplikacji, aż do jej wyłączenia w wyniku wykrycia incydentu. Z dostępnych danych wynika, iż nie doszło do masowego pobrania danych.

  1. Czy wiadomo jakiej grupy ludzi dotyczy ten wyciek tzn. czy są to działacze, sympatycy, osoby zajmujące jakieś funkcje? Czy po prostu użytkownicy jakiejś funkcji społecznościowej na stronie Konfederacji?

Zdarzenie dotyczyło zarejestrowanych użytkowników aplikacji Klubów Konfederacji.

  1. Czy numery PESEL zostały podane przez te osoby przy jakiejś rejestracji, czy zostały zaciągnięte do bazy z jakiegoś innego źródła?

Dane te zostały podane podczas rejestracji.

  1. Czy będzie wiadomo jakiej dokładnie liczby wyciek dotyczy (my tego nie sprawdziliśmy żeby nie pobrać za dużo, choć mamy pewne przypuszczenia).

Zostały sprawdzone wszystkie logi dostępu z okresu od uruchomienia aplikacji (01.08.2020 r.) do wyłączenia aplikacji po wykryciu luki (10.03.2022 r.). Z analizy logów wynika, że z wykorzystaniem wskazanej przez Państwa luki bezpieczeństwa doszło do dostępu do danych dokładnie 30 użytkowników. Jedyne nieautoryzowane przez nas zapytania, które zwracały dane użytkowników były wykonywane z 4 różnych lokalizacji i miały miejsce w dniach 6, 7, 9 i 10 marca 2022 r. Z pierwszej lokalizacji doszło do zapytania dokładnie 4 użytkowników, z kolejnych dwóch doszło do zapytania 1 użytkownika, a z ostatniej lokalizacji wysłane zostały zapytania o 28 użytkowników. Łącznie było to 30 unikalnych użytkowników. Pierwsze zapytania wyglądają na wykrycie podatności, kolejne na próbę podzielenia się odkryciem, a ostatnia grupa zapytań wygląda na próbę sprawdzenia ilu użytkowników liczy baza danych. Inni użytkownicy nie byli odpytywani w całym okresie funkcjonowania aplikacji.

Podałem Konfederacji swój PESEL! Co robić? Jak żyć?

Po pierwsze poczekaj na ewentualne powiadomienie o wycieku. Za pomocą tego “niezamierzonego błędu konfiguracyjnego” można było pobrać Twoje dane, ale nie jest pewne, czy ktoś pobrał akurat Twój rekord.

Ze względu na ujawnienie numerów PESEL możesz rozważyć takie środki zaradcze jak te, które opisaliśmy w tym artykule. Zastanów się też, czy w jakimś miejscu używałeś tej samej nazwy użytkownika, telefonu lub e-maila, co w systemie Konfederacji. Jeśli tak, miej na uwadze, że ktoś może w ten sposób powiązać Twoje poglądy polityczne, których mogłeś nie ujawniać, z pozostałymi Twoimi profilami, co może to będzie dla Ciebie kłopotliwe, ale nie musi.

W takich sytuacjach warto założyć najgorsze i po prostu uznać, że zakres danych z tego wycieku od dziś należy traktować jako publicznie dostępny i znany każdemu.

Przesłanie specjalne do polityków (każdej partii)

Przypuszczamy, że ten artykuł przeczytają nie tylko członkowie Konfederacji, ale także posłowie innych ugrupowań mających wpływ na kształt polskiego prawa. W związku z tym chcielibyśmy skorzystać z tej okazji 😈 i zwrócić uwagę na kilka kwestii, które są w Polsce do zrobienia i przysłużą się wszystkim, niezależnie od poglądów politycznych.

  1. Przydałoby się w Polsce wreszcie jakieś rozwiązanie typu credit freeze, czyli możliwość zastrzeżenia przez obywatela, że nie życzy sobie zaciągania na niego kredytów. Wiemy, że stworzenie czegoś takiego wymaga współpracy międzysektorowej i wielu dyskusji, ale może w końcu warto się za to wziąć? Wycieków będzie tylko coraz więcej, a nie mniej.
  2. W Polsce mamy poważny problem z wykorzystywaniem numerów PESEL do rzeczy, do których nie są przeznaczone. Wiele firm i instytucji traktuje PESEL-e jako tajne numery i wykorzystuje je do autoryzacji różnych działań związanych z kontem użytkownika. Tak nie wolno! Każdy może poznać PESEL innej osoby i w ten sposób, podając go w rozmowie telefonicznej, uwierzytelnić się i autoryzować zmianę w kontekście kogoś innego lub pozyskać jego dane. Znamy masę takich przykładów, bardzo groźnych dla prywatności i bezpieczeństwa Plaków. Najwyższa pora coś z tym zrobić. Przykładowo, po tym incydencie Konfederacja nie będzie już przetwarzała PESEL-ów w kontekście swojej aplikacji. I w sumie dobrze, bo po co? No ale chodzi raczej o to, żeby przetwarzanie i wyciek PESEL-a nie było dla nikogo problemem. Bo znajomość czyjegoś PESELu nie powinna być dla tej osoby ryzykiem, a obecnie jest.
  3. W Polsce przydałoby się coś w stylu tzw. “listy Robinsona” (DO NOT CALL), czyli wymogu sprawdzenia przez wszelkiej maści marketerów, czy dany numer telefonu nie znajduje się w rejestrze osób, które nie życzą sobie kontaktów marketingowych. I karanie za każdą taką próbę na numer z tego rejestru.
  4. Są pewne problemy z Profilem Zaufanym, których ciągle nie naprawiono (Oszuści przejmują Profile Zaufane w celu wyłudzenia pożyczek. Strach pomyśleć co jeszcze mogliby zrobić). Są też problemy z wadliwymi systemami e-administracji, które miewają wpadki z bezpieczeństwem i nie zgłaszają tego do PUODO. Gdyby jakiś polityk chciał się tym zająć to możemy podpowiedzieć gdzie znaleźć sobie problemy do rozwiązania.

 
Na koniec, przypomnijmy, opisywane na naszych łamach wycieki danych ruchów okołopolitycznych. 9 lat temu wpadkę zaliczył działacz ONR, 8 lat temu partie Janusza Korwina-Mikke. Wyciek danych na swoim koncie mają także zwolennicy Patryka Jakiego i ostatnio sympatycy Szymona Hołowni. Nie wspominając już serialu pt. afera Dworczyka.

Jeśli więc chcecie skorzystać z aplikacji tej czy innej partii politycznej albo wymieniacie z nią korespondencję e-mail, to zastanówcie się, czy warto podawać swoje pełne dane. Jak widać, są osoby, które infrastrukturze IT różnych partii się przyglądają i znajdują w niej luki.

Przeczytaj także:





Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

42 komentarzy

Dodaj komentarz
  1. WordPress nigdy nie zawodzi

    • Przecież to nie wina WordPressa, a kwestia wystawienia zbyt dużej ilości danych na publiczny endpoint.

  2. Lepsze byłyby powiadomienia PESEL – obowiązkowe informowanie o przetwarzaniu numeru PESEL – banki, służba zdrowia, urzędy – do jakiegoś centralnego systemu powiadomień i z niego informacja (sms i/lub mail) do właściciela numeru PESEL. W informacji kto i w jakim celu przetwarza.

    A blokada kredytów swoją drogą by się przydała – i domyślnie powinna być włączona.

    • Najlepsze byłoby przestanie traktowania PESELu jako danej w jakikolwiek sposób niejawnej. PESEL jest unikalnym identyfikatorem, ale nie może być wykorzystany jako jakikolwiek element niejawny – autoryzujący (typu klucz, hasło etc.) Wiele osób ma wprost jawne PESELe (np ujawnione w KRS)

  3. Bardzo dziękuje za artykuł oraz pomoc w naprawieniu tego błędu :-) Sam bałem się odezwać do Konfederacji, a tak to udało się zapobiec dalszym problemom.

    Serdecznie pozdrawiam i spieszę szukać dalszych niespodzianek!

    Pozdrawiam,
    Kacper Sieradziński

  4. Poplecznicy Konfederacji często głoszą hasła o tym, jacy to oni są mądrzy, inteligentni i “trzeba myśleć”. No i się wydało, jak to się myślało podając PESEL w jakiejś podrzędnej aplikacji/witrynie.

    • A czym się wg ciebie różni podanie peselu ( i danych) na stronie kontra podanie peselu ( i danych) na terenowych listach poparcia jakiejś inicjatywy gdzie łapacze podpisów zaczepiają na ulicy. Powinno się zabronić wpisywania zbierania szczegółowych danych przy popieraniu ustaw głosów poparcia itd. Więc to nie problem popleczników konfederacji. Sam wiele razy odmawiałem wpisania się na listy poparcia z tego względu że zbierają za dużo danych a osoba dopisująca się do listy widzi poprzednie wpisy.

    • Rachmistrzowi od spisu to co innego :-)

  5. mozecie dopytac, czy w tym api były też dostepne dane osbó które NIE rejestrowałay sie do “Klubów Konfederacji”, ale braly udział w prawyborach do wyborów prezydenckich?

  6. Wolny rynek zweryfikował konfederatów

  7. Hahahahahahahahaa!!!!!

  8. A to już wychodzi na jaw myślenie szurów z KOnfy.

  9. No cóż do założenia konta gdziekolwiek trzeba inteligencji a nie YouTube i ” włącz myślenie ” wy nie macie czego włączać Konfederaści bo wy macie pustostan umysłowy, co już niejednokrotnie wam udowodniono.

  10. Coz… w ogole mnie to nie dziwi. Kilkukrotnie próbowałem wypisać się z list mailingowej sympatykow Konfederacji, bezpośrednio pisząc do członka, ktory te wiadomości wysylał (przewodniczący wojewódzkiego okręgu) – bezskutecznie. Zeby bylo smieszniej nadal dostawalem wiadomosci z linkami do prywatnych zebran. Wiadomosci przychodzily do momentu, w ktorym zablokowalem adres email.

    Prawo do bycia zapomnianym? Zapomnij.
    Ochrona danych osobowych? W ogole mnie nie dziwi ten fakap.

    Nie wiem jak ta partia mialaby rzadzic na szczeblu centralnym jezeli nie radzi sobie juz lokalnie.

    • Nie ma czegoś takiego jak lista mailingowa sympatyków Konfederacji, Konfederacja nie ma swoich struktur, a każda z partii ją tworzących swoje struktury ma na poziomie okręgów wyborczych, a nie województwa.

      Pytanie w takim razie co, gdzie i od kogo dostawałeś i czy na pewno była to Konfederacja, a nie jakiś scam lub organizacja z którą nią pomyliłeś.

    • Myślisz się, jest coś takiego jak lista mailingowa sympatyków Konfederacji. Jest to lista członków klubów Konfederacji. Członkowie klubów to nie struktury, a właśnie sympatycy.

    • Chyba wiem co za maile dostaję. Prezes Regionu Śląskiego nie brzmi jak struktura wojewódzka? Tak, żeby nie było “ale to nie maile od Konfy” – Korwin jest częścią Konfederacji, a maile dotyczą całości zgromadzenia, więc z mojego punktu widzenia jest to tożsame.

      Żeby nie być gołosłowny – https://i.ibb.co/HYZ6ZnV/pan-prezes.jpg

  11. A wiadomo czy to był jakiś błąd niezałatany w buddypress i wszystkie WP z tym systemem są dziurawe, czy po prostu konfa coś namotała we wtyczce i wyciekło?

    • To raczej był custom field który nie został wykluczony z API. Nie widziałem tam żadnej podatności buddypressa.

    • Nie konfa sama w sobie tylko firma dostarczająca produkt. Czyżbyś lewy był ? Bo typowe modus operandi ;p

  12. “Kacper zgłosił nam sprawę nie wiedząc, czy ujawnianie danych w taki sposób jest przez autorów strony zamierzone czy nie.” Udawany naiwniak.

  13. Niebezpieczniku, warto przemoderować komentarze, bo wylał się zbędny ściek. Jak widać reakcja Konfederacji okazała się wzorowa (kilka minut), pod względem prawnym wszystko prawidłowo, a zastosowane procedury mogą być przykładem dla innych partii. Wina po stronie zewnętrznych autorów dodatku. Życzyłbym sobie takiego profesjonalizmu częściej w polskiej polityce.

  14. > Jeśli więc chcecie skorzystać z aplikacji tej czy innej partii politycznej albo wymieniacie z nią korespondencję e-mail, to zastanówcie się, czy warto podawać swoje pełne dane.

    W internecie są dwie zasady: jeśli jest jakaś tematyka, to gdzieś znajduje się pornos z tej kategorii.
    I druga: kłam. Wszędzie. Zakładając że wszystko co wkładam w internet kiedyś wycieknie, wolę żeby wyciek był bezwartościowy.

  15. Czy zawsze można wierzyć, jeśli ktoś napisze “z analizy logów wynika…”? Nie jest tak, że większość przypadków to ściema, że w ogóle coś logują?

    Niebezpieczniku, jak za pomocą 28 zapytań doszliście, że jest 22997 rekordów?

    • Wystarczy dobrze się wstrzelić w ID rekordu, który już nie istnieje, bo jest za wysoki, potem w wysoki ID, który jeszcze istnieje, a potem zawężać przedział binarnie. To nie jest trudne, nawet antykonfederata może na to wpaść.

    • Odpowiedź brzmi: wyszukiwanie binarne. Zawsze strzelasz w połowę przedziału i odrzucasz lewą lub prawą część. W ten sposób w 27 zapytań (przy górnym, dość optymistycznym, oszacowaniu na 40 milionów rekordów. Przy 1 milionie schodzimy do 21 prób).
      1) ?id=20000000 ->brak -> [1…19999999]
      2) ?id=10000000 ->brak -> [1…9999999]
      3) ?id=5000000 ->brak -> [1…4999999]
      4) ?id=2500000 ->brak -> [1…2499999]
      5) ?id=1250000 ->brak -> [1…1249999]
      6) ?id=625000 ->brak -> [1…624999]
      7) ?id=312500 ->brak -> [1…312499]
      8) ?id=156250 ->brak -> [1…156249]
      9) ?id=78125 ->brak -> [1…78124]
      10) ?id=39062 ->brak -> [1…39061]
      11) ?id=19531 ->jest -> [19531…39061]
      12) ?id=29296 ->brak -> [19531…29295]
      13) ?id=24413 ->brak -> [19531…24412]
      14) ?id=21971 ->jest -> [21971…24412]
      15) ?id=23191 ->brak -> [21971…23190]
      16) ?id=22580 ->jest -> [22580…23190]
      17) ?id=22885 ->jest -> [22885…23190]
      18) ?id=23037 ->brak -> [22885…23036]
      19) ?id=22960 ->jest -> [22960…23036]
      20) ?id=22998 ->brak -> [22960…22997]
      21) ?id=22978 ->jest -> [22978…22997]
      22) ?id=22987 ->jest -> [22987…22997]
      23) ?id=22992 ->jest -> [22992…22997]
      24) ?id=22994 ->jest -> [22994…22997]
      25) ?id=22995 ->jest -> [22995…22997]
      26) ?id=22996 ->jest -> [22996…22997]
      27) ?id=22997 ->jest -> [22997…22997]

    • Dzięki! :) Tak to jest jak się oleje studia…

  16. Sugestie 1,2 i 3 są wspaniałe i mimo średniego wieku, pewnie ich nie dożyję niestety :(

    Kolejna irytująca sprawa zahaczająca o tematykę powiązaną to “damy panu zniżkę za zgody marketingowe” a jak nie to “płać pan więcej”. Taka opłata od braku nękania.

    Moim zdaniem to w przyszłości będzie karalne. UPC np. tak robi. Mają niby najlepsze ceny na rynku, a pod koniec kreatora okazuje się, że wcale tak tanio nie jest, jak się nie odda duszy, wszystkich danych i nie przepisze nerki.

    Taka polityka firmy sprawia, że ludzie kombinują, potem zakładają numery wkładają kartę do telefonu zapasowego, wyciszają go i wkładają do szuflady. A żeby był numer po taniości to zgadzają się na zgody marketingowe na inny numer, który wkładają do zapasowego telefonu zapasowego… :| zgubiłem się.

  17. Może warto wspomnieć jak się przed takim “wyciekiem” zabezpieczyć, bo samo rest-api to ficzer nie bug :). Najprościej pobrać i zainstalować np wtyczkę https://wordpress.org/plugins/disable-json-api/ i odpowiednio ja skonfigurować.

    Z drugiej strony samo ID jest używane w WP do wszystkiego więc wartość +20k nie oznacza, że było 20k użytkowników tylko baza posiada 20k np wpisów różnego rodzaju.

    • “Z drugiej strony samo ID jest używane w WP do wszystkiego więc wartość +20k nie oznacza, że było 20k użytkowników tylko baza posiada 20k np wpisów różnego rodzaju.”

      Tylko w bazie danych WordPressa użytkownicy, posty, podstrony, itp. to osobne tabele. Każda z własnym polem ID.

  18. Hmm, serwer pocztowy też wyłączyli z tego powodu, czy niezależny problem? Widzę, że Niebezpiecznik też trafil na to, co ja.

    Niedawno pisałem akurat do nich w zupełnie innej sprawie i mail siedział w kolejce kilka dni,
    bo “connection refused”, był też jeden przypadek nierozwiązania rekordu MX.

    Przerutowałem na inny serwer, bo myślalem, że IPka blokują, to samo. Po kilku dniach ich serwer przyjął, dostałem odpowiedź, więc poczta już im działa.

  19. “Przydałoby się w Polsce wreszcie jakieś rozwiązanie typu credit freeze, czyli możliwość zastrzeżenia przez obywatela, że nie życzy sobie zaciągania na niego kredytów.”

    Serio?! To by się przydało?! A może jednak prostsze rozwiązanie polegające na tym, że jeśli przestępca używając moich publicznie znanych (patrz OSINT) danych pójdzie do banku i wyłudzi z banku pieniądze to wystarczy moje oświadczenie, że ja nie mam nic z tym wspólnego i od tego momentu bank bierze całą odpowiedzialność, że pozwolił się oszukać i jest to problem banku, aż do momentu kiedy ewentualnie bank wykaże, że kłamałem i to jednak ja umowę z bankiem podpisałem i teraz oszukuję.

    Zdaje się, że nawet teraz tak jest, że w sądzie wygrywam taką sytuację, tylko przez powszechną (w różnych mediach jak Wasze) retorykę, że taka sytuacja to problem mój (klienta), a nie banku, to banki “z automatu” przerzucają odpowiedzialność na klienta.
    Ok, może, nie przerzucanie odpowiedzialności przez banki zaczęło się przez retorykę mediów, a odwrotnie, ale teraz jedno napędza drugie.

    Gdyby wszystkie poważne media stały twardo na stanowisku, że przestępca okradł bank, a nie klienta to ta sytuacja diametralnie by się poprawiła.

    • Przestepca okrada bank i owszem, zwlaszcza jesli to bank czegos niedopilnuje (bo moze byc tez tak, ze prawo uniemozliwia mu poprawna weryfikacje) natomiast twierdzenie, ze skoro cos jest wina i problemem banku oznacza ze nie jest to problemem klienta, poniewaz bank z jakiegos powodu niewykorzysta olbrzymiej przewagi swojego kapitalu (w ustroju kapitalistycznym) prawa, kontaktow czy doswiadczenia w swojej domenie (kwestje finansowo prawne) zeby zrobic klienta w trabe bo w koncu duzo latwiej oskubac przypadkowego goscia ktory juz powierzyl ci swoje pieniadze niz zlodzieja kicajacego gdzies anonimowo po rajach podatkowych…
      A zanim ktos sie odezwie z tym jak to nieuczciwy bank zbankrutuje bo klienci przejda gdzies indziej bo tak teoretycznie dziala kapitalizm – zapytam, w ktorym dokladnie z tych teoretycznych modeli kapitalizmu panstwo z podatkow obywateli splaca problemy finansowe wynikajace z absurdalnej niegospodarnosci…

  20. Konfederacja kłamie, ja już ten zero day znałem od przynajmniej sierpnia 2020 roku.

  21. ej a co z tym sterowaniem pociągami dzis?

  22. Jak dla mnie maksymalna wartość identyfikatora równa 22997 wskazuję, iż jest to prowokacja policji z Warszawy :)

  23. Takie rzeczy sie jeszcze na tym swiecie dzieja?

  24. Kuce od Krula – i fszystko jasne.

  25. Drogi niebezpieczniku, może spróbujmy zebrać podpisy pod ustawą wprowadzającą credit freeze? Czyta was sporo ludzi, a rozwiązanie poprze każdy rozsądny człowiek.

  26. Jakoś faszystów i putinowskich zwolenników nie szkoda.

  27. Chcialbym doniesc na kilku zwolennikow konfederacji ktorych udalo sie mi znalesc:

    Jefferson Davis
    Alexander Hamilton Stephens
    Judah P. Benjamin
    Stephen M. Mallory
    John H. Reagan
    Robert Toombs
    Robert E. Lee
    Thomas Jackson

    :P

Odpowiadasz na komentarz mikepl

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: