8:51
15/6/2015

Wykradzione dane klientów Plus Banku zostały udostępnione w internecie. Opublikowano dane osobowe (imię, nazwisko, adres zamieszkania i adres e-mail, numer dowodu, PESEL) oraz wartości sald łącznie z historią transakcji. Jest to olbrzymia pożywka dla internetowych oszustów wszelkiej maści. Przedstawiciele Plus Banku wciąż jednak udają, że problemu nie ma, a dane klientów nie zostały wykradzione. Obawiamy się, że w tym przypadku wielokrotne pomijanie tego faktu nie sprawi, że stanie się on nieprawdą…

“Nic się nie stało, klienci nic się nie stało!”

To że Plus Bank próbuje w oficjalnych komunikatach uspokoić klientów i nie wspomina o kradzieży ich danych (oraz co gorsza — ich upublicznieniu) było by dla nas jeszcze w pewien sposób zrozumiałe, gdyby bank postanowił aktywnie działać na własnym podwórku i zaczął prać brudy w swoim gronie. Można przecież skontaktować się z klientami wewnętrznym kanałem i przekazując im smutną wiadomość poradzić “co teraz” (kilka rad opublikoWaliśmy w naszym piątkowym artykule opisującym opublikowane dane). To się jednak nie dzieje i niestety nawet w prywatnych rozmowach z klientami, pracownicy Plus Banku nie przyznają się do wpadki. Choć są poinformowani o włamaniu, przedstawiają jego niezgodny z rzeczywistością przebieg, samą udaną kradzież danych nazywając “próbą ataku“.

Milczenie w sprawie wątku kradzieży danych osobowych klientów jest dość zabawne w kontekście otwartej komunikacji Plus Banku z klientami na oficjalnym fanpage. Wiele komentarzy dotyczących włamania do banku i jego skutków znika (a piszący je są banowani). Reszta “trudnych pytań” pozostaje bez odpowiedzi:

plusbank-facebook

Jeden z niedoszłych klientów Plus Banku, zaniepokojony tym, że ktoś pozna historię jego transakcji, wysokość zgromadzonych środków, PESEL, numer dowodu osobistego i adres zamieszkania postanowił, za namową Facebookowych doradców Plus Banku skontaktować się z infolinią. Otrzymaliśmy na naszą redakcyjną skrzynkę nagranie rozmowy. Opisujemy jej przebieg poniżej.

Pracowniczka banku zapytana o medialne doniesienia na temat kradzieży danych klientów, informuje naszego czytelnika i tym, że miejsce miała “próba włamania” która została “udaremniona”, a bank posiada teraz “wzmocnione zabezpieczenia”, natomiast środki klientów są “całkowicie bezpieczne”.

Na pytanie wprost — “czy dane klientów wyciekły?” — pracowniczka twierdzi, że “żadnych takich informacji nie mamy”. Czytelnik pyta więc, czemu infolinia na początku rozmowy informuje o konieczności zmiany hasła? Okazuje się, że to standardowa praktyka w Plus Banku, która odbywa się co kwartał (czy któryś z klientów może nam to potwierdzić?)

Pracownica banku komentuje też doniesienia medialne, wskazując że opublikowanych danych nie ma tam, gdzie rzekomo zostały opublikowane. Prosi też o ich przesłanie. Czytelnik twierdzi, że próbował zwrócić na to uwagę pracowników banku na Facebooku, ale jego posty zostały skasowane a dostęp do fanpage banku został zabanowany.

Jeśli pracownicy infolinii są na bieżąco informowani o sytuacji (a nie wyobrażamy sobie, aby w przypadku takiego incydentu zespół kryzysowy nie był w stałym kontakcie z osobami odpowiedzialnymi za kontakt z klientem) to z tej rozmowy rysuje się dość przerażający opis. Plus Bank albo nie był w stanie pobrać danych swoich klientów z sieci Tor albo świadomie nie informuje klientów o zakresie i skutkach włamania.

Związek Banków Polskich mówił, że “danym osobowym klientów Plus Banku nic nie grozi”

Niejako na marginesie, bardzo zadziwiła nas także wypowiedź Przemysława Barbicha ze Związku Banków Polskich. ZBP do tej pory w większości przypadków przekazywał bardzo rzetelne, pomocne i wyważone eksperckie opinie, jednak w wypowiedzi dla PR1 padły następujące słowa (nie chce nam się wierzyć, że to co przeczytaliśmy w materiale radiowej Jedynki to oficjalne stanowisko ZBP):

Klienci [Plus Banku] mogą być pewni, że ich danym osobowym także nic nie grozi. Natomiast haker, który rzekomo dokonał włamania do systemu banku, może być pewny, że zostanie ujęty przez organy ścigania

Ponieważ Przemysław Barich mógł nie być w pełni poinformowany o incydencie przez przedstawicieli Plusbanku, a sama jego wypowiedź pochodzi z czasu przed opublikowaniem przez Raza danych klientów w internecie, poprosiliśmy ZBP o oficjalne stanowisko w sprawie włamania.

W odpowiedzi zostaliśmy odesłani na tę stronę, która przyznaje, że łupem włamywaczy padły dane klientów Plus Banku. Doatkowo znajdziemy w niej następujące informacje:

W jednym z banków odnotowano incydent, w wyniku którego doszło do kradzieży informacji poufnych związanych z użytkownikami internetowego systemu transakcyjnego. Trwają działania podjęte przez organy ścigania, których celem jest wykrycie sprawców tego incydentu oraz sposobu. (…) Należy przy tym zaznaczyć, że pieniądze klientów ulokowane w bankach zawsze były, są i będą bezpieczne, gdyż oprócz podejmowanych przez banki działań, również tych z udziałem organów ścigania, funkcjonują rozwiązania prawne, które gwarantują klientom banków bezpieczeństwo zdeponowanych przez nich środków finansowych.

ZBP niestety nie odpowiedział na nasze pytanie, które brzmiało tak:

Co grozi danym osobowym klientów Plus Banku, które zostały wykradzione z serwerów Plus Banku a następnie opublikowane w internecie? Przypominamy, że dane te to, Imię, Nazwisko, PESEL, numer dowodu, adres zamieszkania, adres e-mail, wysokość zgromadzonych środków, historia transakcji ujawniająca obrót, dane kontrahentów oraz często rodzaj nabywanych dóbr.

O komentarz do tej sprawy poprosiliśmy również KNF. Odpowiedzi bardzo szybko i konkretnie udzielił rzecznik KNF, Łukasz Dajnowicz:

Indywidualnych spraw nadzorczych dotyczących poszczególnych banków KNF komentować nie może ze względu na ustawowy obowiązek zachowania tajemnicy nadzorczej z art. 10a Prawa bankowego. Komentarz jest więc ogólny, dotyczący rynku:
Każdy istotny incydent IT w instytucji finansoweje jest wyjaśniany przez KNF w trybie nadzorczym, analizujemy m.in. czy instytucja finansowa zarządza ryzykiem zgodnie z rekomendacjami KNF. KNF oczekuje, że wnioski z tej sprawy zostaną wyciągnięte przez całą branżę.
Klienci poszkodowani w wyniku zdarzenia z winy banku mają prawo do rekompensaty, a w przypadku sporów prawnych z bankiem jest możliwość skorzystania z centrum mediacji sądu polubownego przy KNF.

Dodatkowo, Łukasz Dajnowicz uzupełnił, że:

O sankcje za nieprawidłowości przy ochronie danych osobowych można pytać GIODO; cel nadzoru ze strony KNF to przede wszystkich ochrona depozytów składanych w bankach, weryfikacja czy banki właściwie zarządzają ryzykiem.

KNF wskazało nam także odpowiedni formularz, który klienci Plus Banku mogą wykorzystać do złożenia skargi prez internet:

http://www.knf.gov.pl/dane_wspolne/Serwis_konsumenta/pomoc/skarga_na_bank.jsp

Aktualizacja 18:00, 15 czerwca 2015
RMF informuje, że Plusbank zaczął zastrzegać karty części klientów. Do banku wkroczy też kontrola GIODO.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

150 komentarzy

Dodaj komentarz
  1. Ale siejecie panike…. To zlodzieje powinni sie martwic i glowkowac co robic, a nie ofirary.

    A sami dobrze wiecie, ze takie dane jak Imię, Nazwisko, PESEL, numer dowodu, adres zamieszkania, adres e-mail to se mozna szybko zdobyc.

    • Plus Bank employee detected!

    • Chętnie się dowiem jak łatwo zdobyć ;)

    • @Piotrek
      W razie jakichkolwiek pytań proszę skontaktować się z infolinią

    • No można szybko zdobyć, właśnie dzięki takim wyciekom…

    • Z tą różnicą, że żeby zdobyć czyjeś dane, musisz zainteresować się danym gościem.
      Tu masz tak, że interesujesz się gościem, bo masz jego dane.

      Taka subtelna zamiana kolejności, a zobacz jak znacząca ;)

    • co za ściema. ktoś w tym banku popisał się niesamowitą głupotą. zamiast zapewnić hackerowi nietykalność i umowę na czas nieokreślony, postanowili się z nim zetrzeć. I oto mamy skutek. fatalny PR.
      ten hacker dla banku jak widać jest więcej wart niż cała zgraja zatrudnionych bezpieczników. jak można nie skorzystać z takiej okazji aby złapać wykwalifikowaną kadrę? regularna rekrutacja ma znacznie gorszą skuteczność.

    • przelewy (kto nam płacił, a komu my), transakcje kartą (czyli gdzie byliśmy i w jakim sklepie) też?

    • Do adresu dodaj sobie dokładne informacje o tym ile ktoś ma kasy na koncie, ile zarabia miesięcznie itd…uważasz, że to nie jest problem? Żartujesz sobie?
      Nie wspominając już o tym, że jeśli wyciekły dane jakiejś firmy to może to zostać wykorzystane przez konkurencję. No ale z trollem lub po pracownikiem plus banku to nie ma sensu dyskutować…

    • Witam, ulatwiam panu zdanie i podaje Panu moj adres email (wannabepro@gmail.com). Czy uda sie Panu zdobyc moj adres zamieszkania i PESEL?

    • hehe no i co z tego, ze ktos ma czyjes dane>?! I co z nimi zrobi, ok. kredytow nabierze, utrudni komus zycie, ale to ciagle jest przestepstwo i to, ze ktos takie dane udostepnia to nie znaczy, ze sobie je bierzesz i zaraz lecisz chwilowki brac…
      Dorosnijcie troche… jak znajdujecie noz w kuchni to od razu lecicie mordowac?

    • Skoro dla Ciebie takie utrudnienie życia to drobnostka, to podaj nam tutaj szybciutko swoje dane – imię, nazwisko, dokładny adres, PESEL i numer konta.
      Chyba, że … rodzice nie założyli Ci jeszcze konta.

    • @lik pewnie te dane nie są wrażliwe. Ale dla mnie upierdliwe byłoby wyjść z pracy na jeden dzień żeby złożyć sprawę w sądzie o to, że ktoś nabrał na mnie kredyt. Bez problemu to wyjaśnię. Ale będę musiał wyjść z pracy na jeden dzień. Może więcej. Dla mnie to jest spora strata czasu, nerwów i pieniędzy. Nie potrzebuję tego. Jeżeli płacę bankowi pieniądze to oczekuje, że należycie się zajmie moimi pieniędzmi i danymi.

      Ja widzę tutaj takie problemy:
      Dzięki takiej liście jestem w stanie poznać dokładnie ile zarabia mój współpracownik i mój kierownik. Na tej podstawie jestem w stanie określić dokładnie ile moje stanowisko dla pracodawcy jest warte. To jako pracownik.
      Teraz jako właściciel sklepu. Jeżeli znajdę na liście konkurencyjny sklep patrzę ile w tym sklepie zostawiają klienci. Na tej podstawie mogę dokładnie dostosować swój sklep pod zarobki innego sklepu.
      Grając na giełdzie mogę spojrzeć jakie firmy w ostatnich dniach kupiły inne i na tej podstawie odpowiednio zagrać przeciwko tym firmom.
      No i bardzo nie chciałbym żeby niektóre osoby dowiedziały się ile dokładnie zarabiam. To jest moja tajemnica i bardzo nie chciałbym żeby się niektórzy dowiedzieli.
      Oczywiście to są moim zdaniem dosyć poważne problemy w przypadku wypłynięcia danych o transakcjach :)
      Ale to tylko kolejne przykłady na to jak takie dane są niebezpieczne :) Pozdrawiam :)

    • @ sejfowykwas – i tym sposobem chcesz uczyć ludzi, że przestępstwo popłaca? To co, zatrudnić mają włamywacza w firmie produkującej zamki albo drzwi jak uda mu się je sforsować? Złodzieja samochodów w firmie produkującej auta? Przemytnika w straży granicznej? To byłby niebezpieczny precedens tylko zachęcający ludzi do popełniania przestępstw, zwłaszcza gdy o pracę niełatwo.

    • @M.
      >Chętnie się dowiem jak łatwo zdobyć ;)
      Włamując się do Plus Banku, oczywiście ;)

    • @Joanna: ale to nie byłby żaden precedens. Tak się robi od dawna, tylko nie zawsze nagłaśnia… bo w sumie nie ma się czym chwalić ;)

    • Marku z adresu wannabepro@gmail.com:

      Twój numer telefonu to 511415*** oraz 501395***, masz inny adres m4r**@yahoo.pl. Podać Ci więcej Twoich danych ? :)

    • @lik: podaj imię i nazwisko, PESEL, adres zamieszkania, datę urodzin i numer konta bankowego.
      Nie podasz? Przecież to nie jest tak, że zaraz ktoś te dane wykorzysta do wzięcia chwilówki czy coś. A dzieci masz? Można je porwać dla okupu, jeśli suma pieniędzy na twoim koncie będzie odpowiednia. I wiesz, policja będzie mnie ścigać, bo to przestępstwo, ale pytanie jest inne: jak zmieni się twoje zasrane życie jeśli ktoś pozna te dane i porwie twoje dzieci? Mało idiotów na tym świecie chodzi? Życzę ci, naprawdę ci życzę, żeby ktoś ci zrobił jesień średniowiecza w dupie, bankowa łajzo.

    • Nie rozumiem o co cała ta afera. Przecież takie dane można kupić w każdym sklepie z danymi osobowymi.

    • Marku z adresu wannabepro@gmail.com:

      malinka ładnie napisał, a to mój 3 min research
      TEL: 511415*** 501395*** m4r**@yahoo.pl
      studia zaoczne, jakoś w lutym 2014 dostałes prace, fan Tibii, World of Warcraft, Starcraft 2,
      Gliwice, 22 grudzień 199*, moda włoska,
      miales pudelko po akordeonie xD
      o wazniejszych rzeczach nie bede pisal. nadal myslisz, ze internet nic o Tobie nie wie?

    • @Eryk @malinka
      To co, może krótki news/howto jak profilować po e-mailu? Wielu osobom otworzy oczy :-) Dajcie znać, z chęcią opublikujemy.

    • “Rock-paper-scissors World Champion” tzn wannabepro@gmail.com chciałem powiedzieć :}
      github, stackoverflow, reddit, początkujący streamer ?? Konto w LoL-u na 30 poziomie od dawna nie ruszane :(

      btw sprzedałeś to konto na battle-necie którym tak spamowałes na forach?

    • Hej @malinka @Eryk @pan_lol
      Pare rzeczy trafionych – pare chybionych – tak juz to bywa jak sie wspoldzieli swoj internetowy nick z kims blizej nie znanym.

      Tak czy siak – dzieki za pinga – czas posprzatac stare konta ;) Na szczescie zarowno maile jak i nr telefonu to tzw. second grade’y na ktore i tak przychodzi multum spamu. Ale odpowiednio szukajac mysle ze pewnie udaloby sie nawet znalezc te aktualne ;)

      Dobranoc! I dzieki za pozytywne zaskoczenie ;)

    • @Marek
      Pozytywne? Ja bym się popłakał.

    • @Piotr Konieczny, z przyjemnością :)

    • Swoje wiem o doxowaniu, ale bardzo chętnie przeczytałabym artykuł o podejściu innych, jak malinki i eryka!
      …głównie po to, żeby się przed takim podejściem zabezpieczyć. Hieny :P :D

  2. Właściwie skąd wiadomo że dane które wyciekły są prawdziwe i pochodzą z tego banku?

    Nie twierdzę że nie, ale raczej nikt oprócz banku nie jest w stanie zweryfikować czy dane które wyciekły nie są zmyślone

    • myślę, że ofiary, których dane udostępniono tez mogą takie informacje zweryfikować ;)

    • Dane są wymyślone, a plus bank to najlepszy bank na świecie! Żadnego włamania nie było, a te dane to wygenerował skrypt napisany w paincie! No przecież to oczywiste!

    • Nie w paincie – Emacsem przez sendmail!

  3. Szanowny Niebezpieczniku i użytkownicy,

    W takim razie należy użyć najpotężniejszego narzędzia jakim jest internet i portale społecznościowe i “rozpalić” wreszcie to ognisko tak, aby PB w końcu się doigrał! Jeszcze jak kasa zniknęła to pół biedy, ale takie dane personalne to już jest zbrodnia.

    Nie, no to już jest jakiś ponury żart i należy to napiętnować! Do roboty Panowie! Ja bym stamtąd jak najszybciej zabrał kasę i zlikwidował konto. Bank na MySQL w dzisiejszych czasach!!!

    • gdzies cos usluszales na temat MySQL od innego eksperta, nie wiesz o co chodzi ale chetnie zabierzesz glos.

    • Chyba żartujesz, informacja w internecie jest od kilku dni.
      Tylko że tak naprawdę ludzi to nie interesuje. Ludzie świadomi przeczytali i komentują, reszta ma to gdzieś. Bank to wie i ma to w dupie. W tej sprawie nic się nie zmieni.
      Polacy to durny naród, niestety…

    • A co ci MySQL zrobiło?

    • @BloodMan

      Mnie osobiście nic, ale spoko, przecież nic się nie stało!

    • Nie ma nic złego w prawidłowo skonfigurowanym MySQL’u.

      Inna sprawa, że backend bazodanowy bankowości elektronicznej absolutnie nie powinien być podpięty bezpośrednio z poziomu tej śmiesznej aplikacji w PHP. Jedna buła w skrypcie, i wszystko leży otworem, takie dane wystawia się na frontend jakąś middleware’ową aplikacją, która ma drugą nogę w niedostępnej w zewnątrz sieci, i tam dopiero siedzą bazy.

      Zresztą sam sposób oklepania wyjątku na błąd połączenia z bazą sugeruje brak ogarnięcia osób, które to pisały – pluje hasłem…

    • @Artur: stało się. Wyciekły dane, bank dał dupy z PR i niech cierpi. Popieram.

      Ale co masz do MySQL, oprócz tego (jak ktoś zręcznie ujął) nasłuchałeś się czegoś ;)
      Nie ma niczego złego w MySQL oprócz tego że nie do wszystkiego się nadaje. Ale to 99% oprogramowania tak ma.

    • Co do burzy w społecznościówkach to nie wiem co tu robisz skoro nie zauważyłeś. Natomiast bank “Udaje greka” i leci w człona tak bardzo że aż chyba do rosji na szkolenie pojechali….

      A co do mysql – to już nie wiem po co się wypowiadasz jak się nie znasz. Dobra baza, ale jak kretyn obsługuje to nie poradzisz…. To samo ze wszystkim innym, więc też nie rób awantury że windows to g…. bo na twoim jest tona wirusów….

    • @Artur
      By zakończyć durny flame na MySQL: http://www.mysql.com/customers/industry/?id=68

      Konfiguracje dowolnego programu można spie…/popsuć.

      http://www.dba-oracle.com/t_hackers_breaches_horror_stories.htm

    • W kwestii MySQL – ciekawy jestem, czy mają licencję komercyjną na nią =p

    • up

    • @ panowie powyzej

      MySQL nie wspiera w 100% modelu ACID, radze doczytac. Jesli juz ma byc open source, to tylko Postgres.

    • Nigdy nie rozumiałem większej popularności MySqla nad Postgresem, przecież to jak niebo a ziemia.

    • @Hodowca Bananow: pomijajac standardowy flame postgres vs mysql, mysql jest acid compilant: silnik innodb jest a od ktorejstam wersji jest to domyslny silnik w mysql.

      Mit wzial sie stad ze wczesniej domyslnym silnikiem byl myIsam ktory jest dobry do trzymania duzej ilosci danych do ktorych nie jestesmy zbytnio przywiazani :)

    • Skąd w ogóle info że bank stał na MySQLu? Bo wzmianki o PHP są już w ogóle z kosmosu wzięte – serwis transakcyjny jest napisany w Javie, nawet nagłówki to potwierdzają. Czyżby ktoś chciał błysnąć mądrością, ale nie odróżnia serwisu transakcyjnego od zwykłej strony informacyjnej banku?

  4. Chyba nie rozdmucha nikt tego ogniska, bo właściciel ma za dużo pieniędzy na wodę do ugaszenia.

  5. Każdy kto podejrzewa że jego dane mogły być ujawnione , może wnosić do prokuratury o zbadanie sprawy ! jest to bezpłatne i tak powinno się zrobić ! prokurator wezwie stronę – bank do złożenia wyjaśnień po pewnymi rygorami , a nie jak w prasie . Jestem zdania że trzeba tak zrobić bo jeżeli chodzi o dane osobowe to jest to ścigane na wniosek pokrzywdzonego a nie z urzędu. Nie wiem jak jest z tajemnica bankową. W mediach nic nie osiągniecie bo mogą twierdzić że białe jest czarne – propaganda . TYLKO PROKURATURA !!!! ale na proces bym nie liczył , wiecie jak to jest z sądami … trzeba by prezesowi udowodnić brak należytej staranności , np zatrudnienie informatyka za 5 zł na godzine lub wskazać inne okoliczności … zaniedbania, zaniechania, brak aktualizacji, a to tylko odważni biegli …

    • i GIODO + KNF

    • Ocyp; GIODO – moja subiektywna ocena – towarzystwo wzajemnego klepania sie po plecach – byłem na szkoleniach i korespondowałem, KNF – to że instytucja ma w nazwie słowo Nadzór nie oznacza to co myślisz, bo gdzie idą urzędnicy pracować po stazu w Komisji, no tak na logike. Jak pracownik “robi cie w konia” to zgłaszasz to związkom zawodowym ? :) GIODO nie jest organem poszkodowanym , a tylko osoba poszkodowana może zgłosić sprawę prokuraturze ( wiem z korespondencji z GIODO ). Tylko jak się dowiedzieć że jesteś poszodowany skoro bank dezinformuje ! Trzeba dopytać prawnika np. Pana Jarka ? czy Polska nie łamie karty praw podstawowych obywateli ( prawo do informacji ) – osób fizycznych pozwalając na “dezinformacje” w sprawie no bo może powiadomili te 500 osób, grożąc jak operatorom strony “Zaufana Trzecia Strona”. Jeżeli jakiś cieniutki haker miał dostęp do danych to wyobraźcie sobie co mają wyspecjalizowane jednostki. Ten haker to pewnie sam szatan i bedzie siedział długie lata, jak go złapią :). bankowi zrobią fige z makiem. W sprawie jak w sprawie Stonogi jedno jest pewne , te dane są już niezarządzalne.

  6. @Tadeusz Lolecki

    Chcesz mi powiedzieć, że serwer na Apache używa innej bazy danych? Proszę Cię … Sam możesz to sprawdzić, ale ja Ci nie powiem jak! ;-D

    • Daemon httpd nie ma nic do bazy używanej przez aplikację.

      W PHP w którym to napisano nie ma żadnego problemu żeby spiąć się na przykład z DB2, albo MSSQL’em.

    • Ja nie wiem co ma Apache do bazy danych – na moje nijak to się ma do siebie poza tym, że 90% społeczności PHP używa LAMP/MAMP/WAMP bo to najpopularniejsze rozwiązania dostępne ad hoc. Za Apache możesz postawić wszystko – to tylko webserwer i nie determinuje tego co jest dalej. Ja tam do MySQL nic nie mam – siedzę przy PostgreSQL niezależnie od tego, czy z przodu mam Apachea czy Nginxa :) To czy mają MySQL w głównym systemie bankowym to poza deweloperami wie tylko ten cały Raz, który dostał się do ich serwera :)

      Co do zamej infolini – no nie bądźmy tacy radykalni – mamy Poniedziałek – bum był w Piątek – czy naprawdę ktokolwiek tutaj uważa, że osoba z infolini czyta niebezpiecznika i wiedziała o tym włamie? Przyszli w Poniedziałek, dostali wytyczne, że na pytania o włam odpowiadać, że jest OK, chyba, że się stanowisko zarządu zmieni i tyle. Zarządzanie kryzysowe działa poza pracownikami BOK – oni są bogu ducha winni i wiedzą tyle co muszą – nic ponad :). Poza tym jest takie fajne przysłowie – im mniej wiesz, tym lepeij śpisz ;)

    • @Artur

      Ja dla przykładu znam serwer na Apache który używa inny… tak naprawdę znam sporo serwerów na Apache które używają innych baz danych. Pewnie się nie znam ale bazę danych dobiera się przeprowadzając analizę wymogów bezpieczeństwa/obciążenia itp. a nie tym że nazwa jednej zaczyna się na M a druga np. na O. Dlatego bardziej by mnie zastanawiało, czy ktoś taką analizę przeprowadził i czy mają support do bazy inny niż lokalny admin.

    • * im mniej wiesz, tym krócej siedzisz

  7. Taka prawda – 1/4 jest świadoma co się stało. 3/4 przeczytało artykuł/usłyszało o tym ale nie zdaje sobie sPrawy z powagi sytuacji. Plus Bank to wykorzystuje mówi, że żaden wyciek nie miał miejsca i w sumie to tyle. Parodia.

  8. Jak ostatnio sprawdzałem, to nawet info nie było na ich stronie

  9. ciekawe czy historia o ” włamywaczu “jest prawdziwa :) czy po prostu dali “otwarty” dostęp do danych a teraz ratują szefa … no bo ofiarą jest bank, a nie klienci !!! klientów jest dużo są rozdrobnieni wiec … można mieć ich w nosie …. ciekawe jaka jest odpowiedzialność banku za wprowadzenie swojego klienta w błąd co do sposobu zarządzania jego danymi … może GiODO coś powie, no bo jest to nienależyte wywiązanie się z umowy tj. przechowywania danych , czy po włamaniu bank ma obowiązek zachowania nalezytej staranności w prowadzeniu działalności gospodarczej i powiadomienie klientów …

  10. Szokujące dla mnie jest to, że wszyscy odpowiedzialni – bank, ZBP, KNF konsekwentnie ignorują fakt, że wyciek danych osobowych w powiązaniu z informacjami finansowymi spowodował realne zagrożenie dla zdrowia lub nawet życia (o majątku nie wspominając) klientów (przynajmniej tych zamożniejszych). Dla nich się liczy bezpieczeństwo depozytów, a to że wystawili swoich klientów bandytom na widelcu – no problem.

    • A dla mnie szokujący jest fakt, że zanika umiejętność czytania ze zrozumieniem :/
      Co ma KNF do danych osobowych? NIC!
      Stoi jak byk na końcu artykułu:
      “Dodatkowo, Łukasz Dajnowicz uzupełnił, że:
      O sankcje za nieprawidłowości przy ochronie danych osobowych można pytać GIODO; cel nadzoru ze strony KNF to przede wszystkich ochrona depozytów składanych w bankach, weryfikacja czy banki właściwie zarządzają ryzykiem. “

    • @ja
      Czytanie ze zrozumieniem to dobra rzecz, polecam Ci to.

      Gdzie napisałem, że KNF ma coś do danych osobowych?
      Napisałem, że wyciek danych osobowych i powiązanych z nimi danych finansowych stworzył realne zagrożenie dla zdrowia i majątku klientów Plus banku.
      Tymczasem bank, ZBP i KNF jak zaklęte opowiadają o bezpieczeństwie depozytów i kompletnie ignorują bezpieczeństwo klientów.
      Nie chodzi mi więc o same dane osobowe, ale BEZPIECZEŃSTWO FIZYCZNE I MATERIALNE KLIENTÓW.

      Nie oczekuję więc, że KNF zajmie wyjaśnianiem naruszenia przepisów dot. danych osobowych (to jest działka GIODO), ale moim zdaniem powinien interweniować kiedy jeden z banków naruszył bezpieczeństwo klientów i w dodatku próbuje to zatuszować.

      Jeżeli masz wątpliwości co do jakie powinni zająć stanowisko, to proponuję, żebyś przeczytał ze zrozumieniem Ustawę o nadzorze nad rynkiem finansowym, na podstawie której działa KNF. Tam w rozdziale 1, Art. 2 jest napisane, że:
      “Celem nadzoru nad rynkiem finansowym jest zapewnienie prawidłowego funkcjonowania tego rynku, jego stabilności, bezpieczeństwa oraz przejrzystości, zaufania do rynku finansowego, a także zapewnienie ochrony interesów uczestników tego rynku również poprzez rzetelną informację dotyczącą funkcjonowania rynku…” itd.
      Czy w przypadku Plus Banku zapewniono bezpieczeństwo, przejrzystość i zaufanie do rynku?
      Jeżeli nie, to panowie z KNF powinni moim zdaniem zareagować na fakt, że bank tuszuje lub conajmniej bagatelizuje w mediach sprawę i w ten sposób zwiększa zagrożenie dla klientów utrzymując ich w nieświadomości.

      Jeszcze a propos czytania ze zrozumieniem, czasami warto sprawdzić czy to co przeczytałeś jest zgodne z prawdą, ponieważ jeżeli nie – to Twoje rozumienie pomoże jedynie piszącemu sprowadzić Cię na manowce.
      To, co rzecznik KNF napisał że “cel nadzoru ze strony KNF to przede wszystkich ochrona depozytów składanych w bankach, weryfikacja czy banki właściwie zarządzają ryzykiem.” ma się nijak do nadrzędnego celu określonego w ustawie, która ich obowiązuje.

  11. Na ile (nie)legalne jest pobieranie tych danych z sieci i wysyłanie ludziom maila z informacją, że Plus Bank “wyciekł” ich dane i żeby zawijali kasę i uciekali?

    • powiedział bym, że bardzo nie legalne :P
      chociaż temat dobry na niebezpieczniokowy wykład z prawa

  12. Zaużcie jakiś anty fanpage, poinformujcie znajomych itd. Niech to się rozniesie.

    • “zaużcie” -> “załóżcie”, sorry :D

    • O_o Nooooooooo

  13. To, że bank za niedopilnowanie bazy będzie odpowiadać to zrozumiałe – w końcu zaniedbanie.

    Ale co z kłamaniem z premedytacją i zatajaniem informacji przed klientami? za takie coś chyba już osoba na wyższym szczeblu która podjęła tą decyzję powinna pójść siedzieć.

  14. Ciekawe czy oszuści są tak wredni. Tą sytuację mogą przecież wykorzystać do phishingu. Wysłać ludziom wskazówki w załączniku co zrobić w ich sytuacji (czy coś w tym stylu)…

  15. a może rzeczywiście ten haker nie udostępnił tych danych – ktoś z piszących to zweryfikował?

  16. Skoro wyciekły m.in. adresy e-mail, a bank nie umie, to może jakiś dobry duszek zrobi “mailing uświadamiający”? :>

  17. Nie każdy ma BTC, zaproszenie, GPG, klienta Tor i inne zabawki potrzebne żeby założyć konto na ToRepublic. Tak więc bank i nadzór będą się wypierać że nigdzie takich danych nie można dostać publicznie. Aż w końcu ktoś kiedyś umieści dane w miejscu naprawdę ogólnodostępnym (do którego można “wejść przez Google”) i co wtedy? Dalej Plus Bank będzie rżnąć głupa???

    • z ciekawości, jaką cześć BTC trzeba wpłacić, żeby założyć tam konto?

    • Obecnie jest to 0.016444 BTC.

  18. “Pracownica banku komentuje też doniesienia medialne, wskazując że opublikowanych danych nie ma tam, gdzie rzekomo zostały opublikowane. ”
    Pewnie wkleili cebulkowy adres do zwykłej przeglądarki – strona się nie wczytała, więc nie istnieje – proste :D

  19. Z innej beczki: ktoś zapomniał o certyfikatach na https://asystent.plusgsm.pl (cert date invalid) oraz na https://plusgsm.pl (bad_cert_domain)

  20. Jestem klientem banku jak mogę legalnie sprawdzić czy hakerzy moje dane też udostępnili? przecież to masakra jest. Tory Srory mogę być nietechniczny, moje dane mogą latać po sieci, a ja co żyję w nieświadomości? masakra.

    • Możesz wkleić linka do materiałów, który jest adresem w sieci Tor, na stronie https://onion.to – to Ci pozwoli przegladać strony w sieci Tor bez instalacji Tor-brwoser-bundle czy samego Tora.

      Najpierw jednak musisz znaleźć tego linka.

    • Nie jestem pewna czy ToRepublic nie ma blokowania onion.to… no i temat jest tam, gdzie niezalogowany nie zajrzy.
      500 ‘wyciekniętych’ kont to różnego rodzaju konta firmowe (maluczkim jeszcze Polsilver życia nie chce popsuć). Baza i fragmenty kodu są regularnie zdejmowane z różnych hostingów… ale kto już ściągnął, ten już ściągnął.

  21. Kłamią i oszukują klientów że nic się nie stało. Nie potrafią nawet napisać prawdziwego oficjalnego oświadczenia. A na Facebooku, nawet mój komentarz dość kontrowersyjny, pomimo że nie jestem klientem też został usunięty i zostałem pozbawiony możliwości komentowania postów. To tylko pokazuje że Plus Bank będzie celowo próbował uciszyć całą sprawę i udawać że nic się nie stało. Co się w tej Polsce porobiło.

    Warto tez zainteresować się Polsilverem = “Razorem”, bo być może zostanie złapany a my nic o tym nie będziemy wiedzieli.

    Może niebezpiecznik skontaktuje się z nim ponownie i zapyta o jakieś dalsze jego plany?

  22. Ciekawy jestem,czy każdy użytkownik który korzysta z TOR-a będzie miał w najbliższym czasie gości w domu – wiadomo jakich? Ci którzy korzystają niech się lepiej nie przyznają:)

    • Znaczy kogo? Święty Mikołaj do mnie wpadnie? Nie za wcześnie?
      Za dużo hamerykańskich filmów się naoglądałeś :D

  23. Ma ktoś dostęp do tego wątku na ToRepublic? Czy dane nadal wyciekają, czy Raz zaprzestał na pierwszej transzy?

    • Brak info od momentu wycieku danych, jednak w poście z linkami do paczek:
      “Co tydzien, mniej wiecej w piatek wieczorem bedzie publikowany fragment bazy plusbanku zawierajacy informacje o okolo 500 kontach. Na poczatku beda to konta firmowe, później prywatne.”
      (Z czego tylko 100 będzie dostępnych publicznie, reszta dla zaufanych użytkowników.)
      Polsilver także grozi, że z czasem może powiększyć paczki lub publikować je częściej, “bo przy takim tempie opublikowanie wszystkiego trwaloby prawie 3 lata”.

    • Napisał że bedzie udostępniał w piatek wieczorem. Jeśli nie ma jakiegoś mechanizmu publikacji z opoźnieniem i ma zamiar to robić ręcznie, to taka informacja chyba dość znacznie uprości działanie służb..

  24. http://plusbank.pl/aktualnosc/komunikat-zwiazku-bankow-polskich-dot–ataku-hakerskiego-na-bank

    reka reke kryje, cicho o wycieku danych osobowych

  25. Tis but a scratch…

  26. A nie wydaje się Wam możliwe, że to pracownik banku ujawnił te dane i szantażuje pracodawcę, a włamania faktycznie nie było?

  27. Kazdy klient którego dane wyciekły może sprawdzić. A przynajmniej na podstawie próbki jednego konta(swojego).

  28. Szanowny niebezpieczniku,
    “Co grozi danym osobowym klientów Plus Banku, które zostały wykradzione z serwerów Plus Banku a następnie opublikowane w internecie? Przypominamy, że dane te to, Imię, Nazwisko, PESEL, numer dowodu, adres zamieszkania, adres e-mail, wysokość zgromadzonych środków, historia transakcji ujawniająca obrót, dane kontrahentów oraz często rodzaj nabywanych dóbr.”

    Moim zdaniem tym danym grozi co najwyżej ujawnienie :)
    A tak na serio, ZBP ma umiarkowane kompetencje, aby rozwodzić się nad potencjalnymi skutkami ujawnienia danych osobowych. To raczej do GIODO.
    Z resztą, w ubiegłym tygodniu osobiście słyszałem jak Prokurator Generalny mówił, że ujawnienie danych osobowych + numery kart kredytowych etc. to nie problem, więc o co ten hałas … ;)

  29. Pracowniczka? To facet w takim razie to pracowniczek?

    • Nie mędrkuj tutaj tylko więcej czytaj, to Cię takie słowa nie będą dziwiły ;>

      http://sjp.pl/pracowniczka

    • W zaufanym źródle: http://sjp.pwn.pl/slowniki/pracowniczka.html

      sjp.pl jest wytworem społeczności, której niekoniecznie można ufać.

    • @Chris

      Być może. Natomiast ja korzystam z SJP od dawna i chyba nie natrafiłem jeszcze na błąd. Ewentualne dylematy są często dość sprawnie rozwiązywane w komentarzach.

      BTW, już któryś raz spotykam się z oburzeniem wobec wyrażenia “pracowniczka”. Ale pojęcia nie mam skąd się ono bierze…

    • @Chris Warrick

      a nieprawda… to oficjalny słownik języka polskiego, nadzorowany przez Radę Języka Polskiego, czy jak to się tam nazywa – czyli organ który decyduje co jest a co nie jest poprawną polszczyzna.

    • @manto

      Coś mi się nie wydaje… sjp.pl to słownik społecznościowy (swoją drogą posiadający taką samą ułomność jak Wikipedia – czyli błędy, mniejsza rzetelność, łatwość szybkiej zmiany, anonimowość) którego żadna Radę Języka Polskiego nie nadzoruje (chyba, że w sensie, że członkowie RJP udzielają się czasami tam prywatnie). Proszę podaj jakieś źródło, jeśli obstawiasz przy swoim :-)
      Z sjp.pl korzystam jak gram w scrabble/literaki, bo jest łatwiej. Ale do dokumentów oficjalnych używam tylko PWN.

  30. “Plus Bank albo nie był w stanie pobrać danych swoich klientów z sieci Tor albo świadomie nie informuje klientów o zakresie i skutkach włamania.”

    jest jesczze trzecia możliwość:
    Plus Bank pobrał dane z sieci Tor i wszyscy w banku sa przekonani, że dano odzyskano i są juz bezpieczne
    ;D

    • :D

    • Łącznie z informatykiem, który myśli dodatkowo: “przecież zmieniłem hasło do MySQL po włamaniu to skąd on ma te dane?” :D

    • u made my day!

  31. Rezygnuję. Tyle w temacie. Marka spadnie na łeb/szyje

  32. Rozumiem piętnowanie banku, jest zrozumiałe. Dziwię się natomiast, że w ogóle nie piętnujecie tego hakera za nielegalne upublicznianie danych, za szantaż finansowy. Po upublicznieniu danych, zmienił zdanie i stwierdził by przeznaczyć kasę na cel charytatywny. Trochę za późno na szlachetność. Nie sądzicie? To najbrudniejsze metody ze wszystkich możliwych. Twierdzi, że przesłał informacje do różnych instytucji nadzorujących, a tych informacji w żaden sposób nie da się zweryfikować. Nie wierzę też, że żadne media nie napisałyby o tym bez upubliczniania danych. Po prostu gościu chciał wyłudzić pieniądze, jak mleko już zostało rozlane to się tłumaczy. Nie wiem, czy ktokolwiek ze specjalistów zabezpieczeń poparły by takie zachowanie i go nie piętnował, bo pokrzywdzeni są najbardziej klienci, a dopiero bank.

    • Pytaliśmy o rzekome zgłoszenia incydentu przez Raza do KNF – nie mogą udzielić komentarza w tej sprawie. Pytaliśmy też ZBP o to samo — także brak odpowiedzi.

  33. Każdy kto chce sprawdzić czy jego dane wyciekły niech wpisze tutaj swoje dane – imię, nazwisko, adres, pesel, login, hasło, nr telefonu itp. a ja będę wam sprawdzał i napiszę tutaj czy wyciekły czy nie.

    • Może jeszcze podać nr karty kredytowej, CSC i pin do niej?

    • Zapomniałeś jeszcze o wpłacie BTC na podane konto, przecież musisz mieć kasę żeby te dane “wykupić” :)

  34. W serwisie Trójki mówili, że GIODO zapowiedziało kontrolę u nich. Była też wypowiedź pana Koniecznego.

  35. Drugi rekord za połówkę , trzeci za złotówkę ;)

  36. Niestety ale przecietni ludzie maja takie rzeczy gleboko w d*pie. W moim otoczeniu wszyscy sie ze mnie smieja gdy mowie o tematach zwiazanym z bezpieczenstwem. Dla nich skimming, hacking, malware itp to tylko wymysl nerdzikow w okularkach, ktorzy naogladali sie za duzo filmow. Mysle, ze wiekszosc ludzi olewa tematyke security wlasnie z tego powodu. Bank powie, ze byla proba wlamania i wszystko jest OK, to szare masy uwierza, ze wszystko jest OK. No bo przeciez ten nerdzik w okularkach znowu wymysla jakies glupy! Filmow sie no-life naogladal i teraz straszy ludzi!

  37. Cytujac pewnego polityka: “ciemny naród wszystko kupi”

  38. Byłem klientem PlusBanku czy powinienm zastrzec i wymienić dowód osobisty?

  39. Po serwisie o 17 mają coś więcej w Trójce mówić. Ale fajerwerków chyba nie będzie

  40. Czy przypadkiem KNF nie powinien reagować na złamanie ustawy prawo bankowe (Dz.U. 1997 Nr 140 poz. 939) w związku z ujawnieniem tajemnicy bankowej w której skład wchodzą dane transakcji i dane osobowe lub identyfikacyjne stron transakcji?

  41. Bank przecież sam się do tego przyznaje, do tej pory nie powstała żadna anty teza więc to musi być prawda.

    Skoro firma jest osobowością, to przecież nie można jej urazić mówiąc wszystkim że jest ofiarą. Wolność kończy się tam gdzie się zaczyna.

  42. lik – podaj proszę swoje imię, nazwisko, PESEL, adres zamieszkania i wyciąg z kont wraz z historią ostatnich 30 transakcji – skoro uważasz, że to nie boli wklejaj śmiało lub zamilknij z pisaniem głupot

  43. W tej chwili właśnie w wydarzeniach na TVP2 mówią o wycieku danych. “Dane klientów są zagrożone, można pobrać je z internetu” chociaż co ja się produkuje jak Piotrek Konieczny sam o tym mówi w fragmencie wydarzeń ;-)

  44. Ja to mam pytanie czy ktoś już potwierdził ten wyciek? Bo jakoś nie widzę tu ani zrzutów, a niebezpiecznik się tak jara, więc niech się wysil i pokaże przynajmniej zamazane dane potwierdzające ten fakt.
    Ja nic z tego nie mam mi się nie chce szukać to nie mój problem, ale z chęcią przeczytam opinię kogoś kto to potwierdzi.
    Drugie pytanie bardzo ważne skoro ktoś miał dostęp do banku i mógł robić machlojki (przelewy) a takie niby robił (jak pamiętam z pierwszych informacji to na jaką cholerę miałby się ujawniać i robić sobie problem? Mógł zrobić robotę i zniknąć bez śladu, a bank głowiłby się gdzie podziała się pewna część kasy.
    Także dla mnie jest to niezrozumiałe, po co miałby robić szum i narażać się na wyrok kiedy mógłby po cichu zrobić robotę. A najlepsze po co byłoby mu prosić się o te 200 tyś zł. skoro miał możliwość samemu sobie wziąć pewną sumę kasy.
    Coś mi tu nie pasuje w tej całej układance. Jak na razie nikt nie potwierdził takiego faktu, co najwyżej portale propagandowe powielają tylko teksty, że był atak, haker wykradł dane, ale nikt tego jeszcze nie potwierdził.

    • Kto chciał ten widział.

      P.S. Widzę, że rozpoczynamy tutaj Onetową tradycję nicków.

    • @Specjalista,
      1. Tak, wyciek jest potwierdzony.
      Jakby wyciek był jako wklejka, Nbzp mógłby pokazać screena z zamazanymi danymi. Był jednak jako paczka do ściągnięcia, pobranie takiej paczki jest karalne z jakiegoś paragrafu (nie pamiętam jak dokładnie brzmiał, nie jestem prawnikiem) – stąd zapewne nie ma info.
      Baza jak tylko się pojawia na jakimś hostingu, to szybko znika (widocznie ktoś monitoruje hostingi lub ToRepublic).
      (W pierwszym artykule są za to zamazane dane Tobiasa Solorza, właściciela PlusBanku – były jako wklejka na Pastebinie.)
      2. Nie każdy blackhat jest rzeczywiście blackhatem. Nie wszystko na tym świecie jest białe i czarne, hakier chciał pomóc bankowi (za okup chciał nie tylko nie publikować danych, ale też wskazać wszystkie dziury, które wykorzystał). A że bank go zlał, to pokazuje, że nie blefował – manipulacje na kontach i te dane (ale nie chce psuć życia zwykłym ludziom – zaczyna od kont firmowych).

  45. Z tej listy radość również mogą czerpać firmy windykacyjne i komornicy.

  46. Bank bez TLS 1.2 to nie bank. Plusbank wspiera tylko TLS 1.0 który jest powszechnie znany za złamany. I co wy na to?

  47. Koleś chciał zrobić na złość bankowi, a niszczy życie niczemu winnych klientów. Jeśli upublicznia pełne dane, to jest zwykłym ch****, który może mieć na sumieniu wielu ludzi, których nagle ktoś okradnie,a być może nawet po prostu przy okazji napadu zabije.

    • Zalezy. Koles na poczatku chcial sie dogadac zarowno z bankiem, jak i innymi instytucjami. Ale jak wszyscy poszli w zaparte, to mu sie cisnienie podniosloo… I to bym powiedzial ze w sposob umiarkowany, bo nie wstawil paczki jako listy w formie komentarza na Onecie… jeszcze.
      Z cala surowascia prawa nalezy za to tepic tych, ktorzy sa odpowiedzialni (i biora za to kase) za ochrone danych powierzonych, a zamiast tego maja gdzies swoje obowiazki.

      Uzywajac analogii: przed komenda Policji szczeniak znajduje pistolet ktory posterunkowy Marucha powinien wsadzic po sluzbie do szafy pancernej, jednakowoz bedac nawalony jak kapelan 6tego Korpusu Krolewskich Bresalierow po swieceniu roweru generala byl uprzejmy w pijanym widzie porzucic na chodniku przed podczas malowniczego obalania sie na ryj. Szczeniak zachwycony znaleziskiem bawi sie nim i chce oddac na posterunek za znalezne. Zarowno posterunkowy Marucha (na kacu) jak i reszta gliniarczykow ignoruja dzieciaka mowiac mu zeby spadal na drzewo. Zniesmaczony malolat w ramach protestu oproznia magazynek, oddajac przypadkowe strzaly, w wyniku ktorych ginie ojciec, matka, dzieci gromadka, piesek niecnotek i maly kotek. Zaloga posterunku oraz polucjanci z komendy rejonowej, miejskiej, wojewodzkiej oraz ksiadz proboszcz z malzonka zapewniaja spoleczenstwo ze jest bezpieczne bo w giwerze nie ma juz pestek.

      I tu powstaje pytanie: kto jest winien? Dzieciak, czy napruty postronkowy Marucha ktory w pijanym widzie zaniedbal swoje obowiazki?

      Kogo nalezy karac z cala surowoscia prawa, zakuc w dyby, wybatozyc i zakuc wypietego na Rynku ku uciesze gawiedzi i uczestnikow Marszu Rownosci?

  48. Ten bank powinien ktos z ujawnionych osób uwalić. Wyciek danych osobowych, to złamanie podpisanej umowy pomiędzy bankiem a jego klientem. Taka ilość danych, które wyszly, to juz kryminał. Żadne GIODO i inne KNFy. Tylko pozew sadowy ze strony osób juz w tej chwili pokrzywdzonych, których te dane zostały wykradzione. To bank dal ciała. I to na grube mln. I oni o tym doskonale wiedza. Czas do sadu z pozwem – prokuraturę olać; będą grali pod bank.

  49. zbp ma akurat najlepsze kompetencje na rynku w tym zakresie, bo są tam grupy robocze zrzeszające naprawdę łebskie osoby zajmujące się tego typu tematyką. ale tutaj ewidentnie wygrała polityka i źle pojęta solidarność środowiska. plus bank masakrycznie pokpił temat, a zbp takimi bzdurnymi komentarzami traci szansę na pokazanie swojej wiedzy oraz użycie doświadczenia w minimalizowaniu dotkliwości skutków tego incydentu. knf też się błaźni takimi wypowiedziami. ujawnione dane osobowe i finansowe tylu osób to już spore ryzyko i tak mało stanowcze podejście, oraz zlekceważenie elementu ochrony danych osobowych jest zaskakujące. w końcu to knf nie tak dawno przy okazji rekomendacji D tak bardzo podkreślał kwestie zgodności z prawem w kontekście ochrony danych i zardządzania ryzykiem.

    • to oczywiście było @ppor, ale mobilna stronka nie lubi komentarzy w odpowiedzi na inne. Swoją drogą Niebezpieczniku drogi – moglibyście to tak jakoś przy okazji naprawić. Przez to jest często syf w komentarzach.

  50. Jaki pan ,taki kram. Soloz byl dobry ale w zarabianiu na reklamach w trakcie emisji Disco Relax i Swiat Według Kiepskich. PAnie Soloz to nie ten świat i tu nie ma miejsca na drapanie z czego sie da za symboliczną złotówke. Wstyd!

  51. Mam firmowe konto w tym banku. W jaki sposób mogę sprawdzić, czy moje dane wyciekły? Mogę redakcji podać swoje wszelkie dane w celu weryfikacji jeżeli to może coś przyspieszyć.

  52. No dobra to niech ktoś kto wie gdzie są te dane do pobrania (sam ryzykuję skoro pobieram, a z tego co wiem to chyba nielegalne jest rozpowszechnianie nie pobieranie) niech poda namiar niekoniecznie wprost (gdzie szukać itd.) chcę się przekonać czy faktycznie są tam te dane o jakich się tyle mówi. Co z tego, że w piątek cracker znów wypuści dane skoro nikt tego nie zobaczy. Ja chcę się przekonać.
    Jeśli to zrobił to odwalił kawał dobrej roboty, ale nie rozumiem po co chciał 200 tyś zł, skoro jak pisano w pierwszych artykułach robił już sam przelewy. Po co miałby się prosić o jakieś tam pieniądze skoro mógł je sobie sam wziąć.
    Chyba, że tego już akurat nie mógł nie był w stanie wykonać.

    • Zaloz konto na ToRepublic. Oplac. I juz, masz dostep.

  53. Niby coś tam jest na To**** forum, ale z innej beczki jaki jest teraz kurs PLUS BANK nigdzie nie mogę tego znaleźć. Bank nie jest notowany na giełdzie, chyba jest jak to jest?

    • 1. Dlaczego cenzurować nazwę ToRepublic?
      2. Temat jest podlinkowany w ‘ogłoszeniach’ na górze forum, ale jest niedostępny dla osób bez konta. Paczka, jak już wspominałam, regularnie znikała z zewnętrznych hostingów, ludzie je wrzucali ponownie na prośbę.
      Nie radzę się rejestrować i pytać o paczkę, jeśli już, to czekać aż kto inny poprosi (bo dopiero co zarejestrowana osoba pisząca tylko w sprawie paczki tylko prosi się o bana).
      3. Nikt nie poda linku/paczki, bo Nbzp ocenzuruje i nikt nie chce się podstawiać, że paczkę ma. Ściągnięcie (a raczej przejrzenie) idzie z jakiegoś paragrafu o dostȩpie do treści, do których nie ma się prawa – jak już mówiłam, nie pamiętam dokładnie co to był za paragraf.
      4. O ile dobrze rozumiem, transakcje były dopiero jak bank go zlał. Nie wczytywałam się dokładnie ani w artykuły, ani w sam temat, jednak o transakcjach Polsilver mówi dopiero przy okazji paczek (podaje wszystkie szczegóły dwóch transakcji, chce zweryfikować czy bank zareaguje i zwróci środki, wciąż ukrywając, że do włamania doszło).

      PS Mógłbyś odpowiadać funkcją ‘Reply’? Artykuł ruchliwy i się syf zaczyna robić.

  54. Jak go dorwą w swoje łapki to mu nie zazdroszczę. Chłopak wsadził głowę pod gilotynę. I ona spadnie. A publikowanie PRYWATNYCH danych to już jest chamstwo do n-tej potęgi. Mam nadzieję, że gościa zgarną i dostanie za swoje czyli na to na co zasłużył. Takich osobników należy tępić z cała surowością prawa i bez… .

    • A niezabezpieczenie PRYWATNYCH danych osobowych przez Bank to nie jest chamstwo?
      Bo komu ufa klient? Komu klient płaci? Przecież nie włamywaczowi ;-)
      Odpowiedzialność leży tylko po stronie Banku i to banki należy karać (motywować?) – tylko tak poziom bezpieczeństwa będzie rósł.

  55. “wprowadza klientów w błąd”… Nazywajcie rzeczy po imieniu: kłamie.

  56. “Jak go dorwą w swoje łapki to mu nie zazdroszczę. Chłopak wsadził głowę pod gilotynę. I ona spadnie. A publikowanie PRYWATNYCH danych to już jest chamstwo do n-tej potęgi. Mam nadzieję, że gościa zgarną i dostanie za swoje czyli na to na co zasłużył. Takich osobników należy tępić z cała surowością prawa i bez… .”

    Mylisz się. Pewnie jesteś tym kimś komu to nie na rękę czyli z otoczenia PlusBank. Jak zrobił to co piszą to odwalił kawał dobrej roboty, to powinno być jego CV teraz i najlepsze firmy powinny mu zaproponować robotę. Pokazał to co pokazali dziennikarze z nagraniami z podsłuchów. Teraz wiem jaka jest np. taka Bieńkowska naprawdę typowa mizdrząca się blondynka. A jak ktoś straci to tylko taki co ma dużo kasy ten co nie ma a jak ma mało to wiele nie straci.

  57. Ciekawe czy można stworzyć sensowny ranking bezpieczeństwa banków?

  58. Ciekawe czy dane abonentów Plusa i Cyfrowego Polsatu są bezpieczne.

  59. Żeby zdobyć dane osobowe wystarczy zaprosić na facebooku jakąś osobę, potem importować kontakty z facebooka przez maila yahoo, zwykle konta na którym jest facebook to najważniejsze konto połączone ze wszystkim więc przelej mu 10 groszy paypalem na jego adres maila i już masz jego wszystkie dane osobowe które zapisał na pp…

  60. […] opublikowaliśmy oświadczenia Związku Banków Polskich i Komisji Nadzoru Finansowego w sprawie włamania do Plus Banku. Dziś publikujemy oświadczenie, jakie spłynęło do nas w tej […]

  61. Nie sądzicie że powinno się opublikować dane ekspertów od bezpieki owego banku od szczebla dyrektora po eksperta tego banku żeby w przyszłości nie mieli szansy się wykazać ?
    :)

    • @echo – powiem tylko linkedin. Bezpieczeństwo, bankowość elektroniczna, etc. – wszystko tam jak na tacy :)

  62. Piotrze. Artykul na temat wpisania maila w google raczej zbedny ;) Gosc sam podaje numery tel itp dalej juz tylko rzucic beretem jak wyskakuje Marek Szymeczko a to dopiero chwila.

    Wracajac do tematu. Ciekawe co powie GIODO ;)

  63. Bank robi wszystko co możliwe, aby odebarno mu licencję bankową oraz swoje konta zamknęli wszyscy klienci. Mam nadzieje, że wszelkie instytucje typu KNF zostały już ‘zasypane’ pismami od zde… wku… klientów i firm. Zarząd banku robi sobie najzwyczajniej “jaja”.

  64. ja myślałem raczej o swego rodzaju “hal of fejm” ;D
    bo wiesz ręka rękę myje i takie talenty mogą wędrować od firmy do firmy

    • jasne, rozumiem. na razie pozostaje sobie tylko zanotować datę wpadki +banku i pamiętać o niej przeglądając CV. inna sprawa, że często bezpieczeństwo jest ubezwłasnowolnione poprzez brak kasy/chęci po stronie biznesu, itd. A to nie polityka, że się unosisz honorem i rzucasz tekę ministra, jak się nie zgadzasz z premierem, tylko zwykły sposób na zdobycie chleba dla rodziny.
      Nie zmienia to faktu, że chluby i splendoru im to nie przynosi.

    • z resztą co ja się będę wysilał nie mój bank nie moje pieniądze
      ale skoro jesteś taki praktyczny to życzę ci aby dyletanci nawiedzili twoją firmę i żebyś musiał z nimi “pracować” wtedy sobie przypomni że życie to nie polityka zaciśnij zęby
      i “pracuj”, skoro masz aż taki przymus w życiu (pewnie kredyt na 30 lat dziecko w ciąży, żona w drodze)

    • nie rozumiem Twojego komentarza. Owszem – muszę pracować, żeby mieć się za co utrzymać- tak, jak większość ludzi na ziemi. Ale co to ma wspólnego z pracownikami plus banku, to nie wiem.
      Jak będę zatrudniał pracownika i zobaczę, że pracował w plusbanku przy zabezpieczeniach, to z pewnością będzie to sygnał ostrzegawczy. Ale nie jest to jeszcze powód, żeby taką osobę dyskwalifikować. Bo – jak napisałem powyżej – ktoś mógł zgłaszać problemy, itd., ale nie otrzymać zgody na naprawienie tej sytuacji. Karanie ludzi za to, że mieli głupich przełożonych jest bezsensowne.

  65. a co powiesz na teorie która mówi że ludzie od dyrektora po eksperta to część tego tajemniczego przesiąkniętego złem “Biznes”-u, takie wilki w owczej skórze :)

  66. Skoro bank jest administratorem informacji i dopuścił do tego, aby wrażliwe dane osób prywatnych zostały upublicznione, a więc nie dochował należytej staranności to powinien za to zapłacić każdemu, kto padł ofiarą jego niedbalstwa. Banki nie pobłażają ludziom, dlaczego ludzie mają pobłażać bankom? Koszty społeczne np. kredytów frankowych są nieracjonalnie wysokie, więc myślę, że nie będzie niczym niewłaściwym fala pozwów przeciw temu bankowi o należne odszkodowania. Swoją drogą pamiętacie wyciek INFORMACJI BANKOWEJ na taką skalę? W mojej opinii zwyczajnie doszło do zaniedbania i nienależytego zabezpieczenia danych wrażliwych, którymi Plus Bank administrował. Jak był wyciek danych z CV z banku PEKAO to sąd zasądzał godziwe kwoty. I tak to powinno się odbyć, skoro “nic się nie stało, Polacy, nic się nie stało…”

  67. @M. 2015.06.15 11:04
    Pozew cywilny o byle co na osobe o której wiesz jak ma na imię, nazwisko i miasto – pozew będzie niekompletny (brak adresu i peselu) – sąd przesyła dalej (za opłatą) do ministerstwa/rejestru zapytanie o dane pozwanego, a Ty w aktach masz jego dane :)

Odpowiadasz na komentarz wala

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: