23:54
12/6/2015

Plus Bank nie zapłacił 200 000 PLN okupu i włamywacz ukrywający się pod pseudonimem “Raz” — zgodnie z tym co zapowiadał kilka dni temu — spełnił swoją groźbę. W internecie udostępniono paczkę z danymi kilkuset klientów. Paczek będzie jednak więcej i będą publikowane co tydzień.

Plus_Bank_animacja_logo_v3

Dane 500 klientów Plus Banku ujawnione!

Jak na forum w sieci Tor informuje Polsilver, w skład paczki wchodzą

  • Imię i nazwisko, e-mail oraz adres zamieszkania
  • PESEL i numer dowodu
  • Historia 50 ostatnich transakcji
  • Informacje o lokatach i kredyty
  • Karty płatnicze (debetowe, kredytowe)

Poza danymi klientów upubliczniono pliki webserwera. Włamywacz zapowiada też dalszą publikację pozostałych z wykradzionych kont. Najpierw będą to konta firmowe, potem te, które należały do osób prywatnych.

Ostatnia szansa Plus Banku: 200 000 PLN na dom dziecka

Ponieważ atakujący nie chce, aby za błędy banku cierpiały osoby prywatne, postawił Plus Bankowi jeszcze jedno ultimatum: 200 000 PLN na dom dziecka — wpłata tych środków zastopuje upublicznienie wykradzionych danych, które — co teraz każdy niedowiarek wie już na 100% — na pewno są w posiadaniu włamywacza.

Trzeba przyznać, że jest to dość ciekawa propozycja. Pokazuje, że włamywaczowi nie chodzi o zysk finansowy (ten już “wypracował”, okradając konta kilku klientów Plus Banku), a o danie nauczki Plus Bankowi, który nie podjął negocjacji i do tej pory ani razu publicznie nie przyznał, że dane klientów zostały wykradzione, ani — z tego co nam wiadomo — do tej pory nie ostrzegł ich o nieuprawnionym dostępie do ich danych.

Bardzo nas ciekawi jak teraz zachowa się sam Plus Bank i inne organizacje takie jak KNF i ZBP nadzorujące rynek finansowy? Chyba już nikt nie wątpi, że atak miał miejsce a jego skutki mogą być poważniejsze niż tylko kradzież środków z kont klientów. Obecnie więc takie słodkie bagatelizowanie problemu przez przedstawicieli Związku Banków Polskich, jak w tym artykule już nie przejdzie… [update: Artykuł Polskiego Radia został zaktualizowany, już nie przedstawia tylko i wyłącznie uspokajającego stanowiska przedstawiciela ZBP]

Dalej nie wiemy jaka dziura została wykorzystana do włamania, ale…

Nowy post Polsilvera nie rzuca światła na to, jaki błąd po stronie serwerów Plus Banku wykorzystał włamywacz. Błędów jednak chyba kilka było — po publikacji poprzedniego artykułu odezwał się do nas jeden z czytelników, który odszukał swoją wiadomość do Plus Banku sprzed roku, informującą Plus Bank o wykrytej nieprawidłowości:

4Y8HwJD

Z kolei inny z naszych czytelników, po lekturze ostatniego artykułu, chcąc zobaczyć stronę Plus Banku twierdzi, że zobaczył taki błąd, który rzekomo zawiera hasło do bazy danych banku (nie oznacza to, że da się je wykorzystać do zalogowania na ww. serwer z zewnątrz).

unnamed

…a wyszukanie hasła w Google odnajduje publicznie dostępny serwer developerski Plus Banku hostowany w jednej z polski serwerowni:

x 3

Czy taka konfiguracja serwera, prezentująca informacje o błędach każdemu internaucie mogła być pomocna w ataku na Plus Bank w wykonaniu Raza?

Jeśli jesteś klientem Plus Banku…

…to poza spełnieniem rad, które publikowaliśmy w poprzednim artykule opisującym kulisy włamania, powinieneś założyć że Twoje dane mogły zostać wykradzione i są bądź w niedalekiej przyszłości będą upublicznione. Dlatego:

    1. Zablokuj więc karty płatnicze i zastanów się co zdradza na Twój temat historia Twoich przelewów i płatności kartami (zawczasu przygotuj tłumaczenia dla partnerki/partnera ;-)

    2. Ostrzeż kontrahentów że ktoś może się pod Ciebie podszywać. Przestępcy będą znali tytuły transakcji i wysokość oraz regularność przelewanych środków — mogą próbować ataków phishingowych.

    3. Bądź świadomy, że konkurencja może poznać Twoją politykę rabatową i próbować przejmować Twoich klientów odpowiednio dostosowanymi kwotowo ofertami.

    4. Rozważ zakup monitoringu w jednej z firm informujących o zaciąganych na dane konto kredytach. Jeśli ktoś wykorzysta Twoje dane do zaciągnięcia pożyczki lub kredytu, dowiesz się o tym zanim do Twoich drzwi zastuka komornik. Za darmo możesz skorzystać z raportu raz na pół roku. Ciekawe, czy Plus Bank idąc wzorem zachodnich firm, których dane klientów zostały wykradzione, zakupi taki pakiet swoim klientom?

Aktualizacja 8:30, 13 czerwca 2015
Z kolei w oświadczeniu banku, opublikowanym dziś rano czytamy, że Plus Bank wykrył atak natychmiast i że pieniądze klientów są bezpieczne. Plus Bank przyznaje że doszło do “przestępczego ataku grupy hackerów”. Niestety, ani słowa nie wspomina o najważniejszym naszym zdaniem aspekcie włamania — kradzieży i upublicznieniu danych osobowych klientów:

W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze Klientów PlusBanku były i są bezpieczne. Jednocześnie informujemy, że w I kwartale bieżącego roku doszło w PlusBanku do przestępczego ataku grupy hackerów, który został wykryty i zablokowany. Bank po zidentyfikowaniu sposobu działania przestępców niezwłocznie podjął czynności zaradcze zmierzające do wzmocnienia systemów bezpieczeństwa. Dalsze próby cyberataku zostały udaremnione. Żaden z Klientów Banku nie poniósł uszczerbku finansowego.
Sprawa, o której donoszą media jest wydarzeniem historycznym, atak miał miejsce kilka miesięcy temu, a reakcja Banku była natychmiastowa: systemy zostały wzmocnione i dodatkowo zabezpieczone. W obliczu zdecydowanego oporu PlusBanku, przestępcy przyjęli obecnie metodę szantażu, polegającą na próbie wymuszenia od Banku kwot pieniężnych w zamian za nierozpowszechnianie w mediach informacji o incydencie. PlusBank stoi na stanowisku, że bezpieczeństwo Klientów i reputacja Banku stanowią najwyższy priorytet, dlatego też z osobami jawnie łamiącymi porządek prawny, których działania wymierzone są przeciwko Bankowi i jego Klientom, nie prowadzi żadnych negocjacji.
Bank na bieżąco współpracuje z organami ścigania, które od samego początku zajmują się wykryciem i ujęciem przestępców. Jesteśmy przekonani, że twarda postawa Banku związana z niepodejmowaniem żadnych prób negocjacji z przestępcami, a także wzmocnienie systemów bezpieczeństwa w dziedzinie prewencji związanej z bezpieczeństwem teleinformatycznym, działania Prokuratury i Policji oraz pozostałych instytucji, zaprowadzi przestępców w niedługiej perspektywie przed wymiar sprawiedliwości. Chcemy po raz kolejny zapewnić, że środki zdeponowane na rachunkach, lokatach w PlusBanku zawsze były i są w pełni bezpieczne.

Na koniec dodamy od siebie, że pieniądze każdego z klientów w każdym z banków są bezpieczne. Jeśli po kradzieży nie zwróci ich sam bank z własnych środków (tak jak tu zwracał Plus bank), to można je odzyskać z ubezpieczenia albo bankowego funduszu gwarancyjnego. Gorzej sprawa ma się z wykradzionymi danymi osobowymi klientów i historią transakcji. Obdarcia klientów z prywatności czy ujawnienia ich tajemnic handlowych nie da się “zwrócić”. Hasła można zmienić, adres zamieszkania też. Z PESEL-em i dowodem będzie dużo trudniej.

Aktualizacja 21:00, 13 czerwca 2015
Plus Bank usuwa komentarze na swoim Facebooku i banuje tych internautów, którzy odważą się zadać pytanie o włamanie i bezpieczeństwo swoich danych osobowych. Dodatkowo, pojawiło się takie oświadczenie banku:

W związku ze wzmożoną aktywnością użytkowników Facebook, niejednokrotnie uderzającą w dobre imię Banku i jego Klientów, prosimy o przemyślane i zrównoważone wpisy na profilu. Zależy nam na tym, aby profil Banku służył wymianie ciekawych poglądów i rozwiązań. Wpisy nie związane bezpośrednio z tematem usług bankowych z powyższych przyczyn mogą być usuwane.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

161 komentarzy

Dodaj komentarz
  1. tranzakcji -> transakcji

    • Za dużo allegro :P

  2. Całkiem fajne i śmieszne, ale nie jest takie. Do roboty ludzie!

  3. Dacie mi paczkę?

    • Pieniędzy nie dostaje się za darmo.

  4. Brawo oby takich więcej…

    • złodziej i szantażysta. żaden “cel charytatywny” już nie pomoże. dziwią mnie głosy poparcia i poklask dla takiej działalności u niektórych.

    • Pewnie poklask ma u tej samej części społeczeństwa, która dostawała orgazmu, po publikacji akt przez Zbigniewa S. Słowem Gimbusiarnia.

    • luQas: Bo nieważne co zawierają, tajne akta powinny być tajne?

    • @wrg: Tak, zwłaszcza podczas trwania postępowania i przesłuchiwania świadków. Teraz osoby, które będą przesłuchiwane w tej sprawie mogą sobie mataczyć do woli, skoro mają wgląd w zeznania innych świadków.

    • Tylko że gdyby nie upublicznienie tych akt społeczeństwo nigdy by się nie dowiedziało o wielkich przekrętach polityków bo prokuratura by je zwyczajnie zataiła tak jak to było z procesem mafii pruszkowskiej kiedy to polityczne aspekty śledztwa zostały pominione

    • No tak. Bo ludzie pokroju Zbigniewa S. wiedzą lepiej, jak zakończy się postępowanie prokuratury. Gdyby S. trybiki w głowie działały prawidłowo i naprawdę robił to dla idei a nie dla fejmu, to by poczekał, na jakąś decyzję prokuratury, a w zależności jaka by ona była by upublicznił, lub nie. A tak dostanie zarzuty i zostanie męczennikiem. O to mu chodzi. Jako biznesmen i tak jest już skończony, więc robi co może, żeby nie zostać zapomnianym.

  5. Dobrze im tak. Zignorowali gościa. Życzę im pójścia na samo dno. Chuj z takim bankiem.

  6. Niestety sytuacja do przewidzenia. Żaden bank nie podejmie negocjacji, nie mówiąc już o chęci wyciszenia całej sprawy medialnie.

    Podejrzewam również, że o żadnej wpłacie na dom dziecka nie będziemy słyszeć – bank zasłoni się trwającym postępowaniem prokuratury.

    Straty? Dla banku praktycznie żadne. Każdy bank modeluje koszty, jeżeli wyciekną dane użytkowników to bank nie będzie liczył strat ‘od ilości kont’ – straty będą liczone od ilości osób, które zgłosiły reklamację. Tak, dla banku większym kosztem będzie obsługa telefonów od osób, których dane osobowe wyciekły w przeciwieństwie do faktycznej potrzeby pokrywania strat materialnych. Tak, dla banku przeliczenie kosztów per konto będzie mniejsze niż 2,5 PLN ponieważ sytuacja reklamacji od 100% poszkodowanych klientów jest zdecydowanie mało prawdopodobna.

    Jedyna nadzieja w tej sprawie to solidne nagłośnienie w mediach lub inspekcja przez GIODO/KNF. Preferowanym podmiotem jest ten drugi, ich banki przynajmniej się boją :)

    • Ciagnąca się za nimi sytuacja przez rok czy coś to ogromne straty na utracie bieżących i przyszłych klientów, więc nie tylko koszt reklamacji.

    • Jakie reklamacje? Nikt poważny nie będzie się bawił w coś takiego, a 200tys zł to mogą być koszty zasądzone od banku przy pojedynczym pozwie. Z tego co tu napisano to trudno spodziewać się, że bank wyjdzie z tego bez poważnego uszczerbku vide zachowanie należytej staranności, nie tylko w kwestiach ochrony systemu ale w całej sprawie.

    • Za dużo poszło w media i za dużo się mówi o tym wszędzie, CI co mają konta z własnego wyboru myślę, ze już szukają banku do przeniesienia swoich kont. A to na tym głównie bank straci. Osobiście jestem za zamknięciem tego tworu pseudo bankowego.

  7. >Licz na to, że Plus Bank w ramach przeprosin wykupi Ci monitoring w biurze informacji o kredytach.
    Hahaha, jasne. Już to widzę – przecież oni kasują nawet komentarze nawiązujące do sprawy na fejsie. Ogólnie jedna wielka cisza z ich strony – “nic się nie stało”.

    Szkoda, że obecnie są mało sprzyjające warunki medialne (Stonoga, roszady w rządzie) i sprawa nie będzie miała dużego rozgłosu ;<

  8. wrzucił by ktoś tą pakę gdzieś na serwa?

    • Tutaj masz link:

      0virus-web-free-personal-info . tl . br

  9. Wspolczuje klientom PlusBanku. Z jednej strony rozumiem brak reakcji banku. Nie chcą wchodzić w negocjacje z kimś kto łamie prawo i rozgłos to ostatnia rzecz jakiej potrzebują.. z drugiej strony nie rozumiem tej bierności. Solorzowi ta sprawa odbije sie czkawka. Jeśli wpisali w ryzyko straty z takiego zdarzenia, to naprawdę słono zapłacą, a podwójnie na wizerunku. Ono najbardziej pociągnie ich na dno.

  10. “Pokazuje, że włamywaczowi nie chodzi o zysk finansowy”

    Jasne, i właśnie dlatego ukradł kilkaset tysięcy złotych z kont klientów banku…

    • A niby skąd wiadomo, że cokolwiek ukradł nie rozumiem??? Udostępnia dane kart płatniczych, więc jak nie on kto inny zacznie pieniądze wypłacać. Już widzę “spektakularne” zatrzymania 15-latków którzy płacili w internetach kradzionymi kartami PlusBanku. Suma sumarum szkoda klientów banku – dane osobowe pół biedy, bo takich w naszym Państwie na pęczki w “głębokim ukryciu”, ale że będzie trzeba się bujać i użerać z bankiem, żeby odzyskać pieniądze …

    • Sam oświadczył, że okradał konta.

    • @Lu: ale bank twierdzi że pieniądze klientów były i są bezpieczne…. zarzucasz BANKOWI kłamstwo w tej sprawie?

    • @Czesió: A zy choćby w jednym aspekcie tej sprawy bank powiedział prawdę?

    • Tak, tak. Tylko nikt nie pomyślał, że raczej biednych to on nie okradł (i może dobrze, że oskorobał dupę bogatym – co za dużo to niezdrowo ;) ). Sam wspomniał o kontach kulczyka w mailu więc raczej takie konta zaatakował. Zgarnął przez kilka miesięcy po kilka transakcji np. po 2000 zł i nikt w tej firmie nawet tego nie zauważy. Większość z takich dużych firmowych kont obsługiwane są z systemów SAPowskich i tych transakcji nie liczy człowiek i nie człowiek robi z nich przelewy. Trochę rozumu ludzie, bo jak by okradł biednych to zaraz by zauważyli a te pozwy na 200 tys. o których piszecie to kpina… Robiąc taki przelew na konto nawet kogoś kto zarabia po 10 tys. miesięcznie byłoby odnotowane do fiskusa i by się ten haker tłumaczył grubo. Małymi kroczkami przez kilka miesięcy po kilka tysięcy złoty najlepiej na kilka kont + za pewne posiada dobrze płatną prace żeby móc udokumentować takie wpływy na konto. A z tym 200 tys. od banku to chyba na konto na dominikanie, bo w Polsce zaraz by go znaleźli z takim wpływem na konto. Ja sam od czasu do czasu robię takie duże przelewy i ZAWSZE fiskus zapuka i zapyta skąd to i co to za pieniądze.

    • A jaka to różnica kogo złodziej okrada. Robin Hoodem to on nie będzie. Tak czy inaczej koszty poniesie bank.

  11. no sory, ale jak ktos powierza swoje pieniądze firnmie świadczącej uslugi telekomunikacyjne i przy okazji bankowe to powinien sie z tym liczyc.
    Przypominam, ze plus blokowal dostep do ksiazki telekomunikacyjnej jeśli miało się zero na koncie. Karma wróciła
    .

    • A ja przypominam, że w tamtych czasach było do wyboru trzech operatorów i ceny mieli podobne. Nikt nie kazał wybierać Plusa, nie był monopolistą. Rozumiem, że według Ciebie karmą jest to, że kiedyś Plus blokował dostęp do książki, a teraz ludzie powierzają kasę bankowi Plusa? Niestety nie rozumiem o co chodzi z tym, że banki, które mają też swoje odłamy telekomowe, są gorsze. W największej mierze to kwestia brandingu, a nie tego, co jest w środku.

    • PlusBank to normalny bank (działający wcześniej pod marką InvestBank i z polsatowwskim “słoneczkiem” w logo), a rebranding na PlusBank nastąpił chyba ze 2 lata po przejęciu Polkomtela (operatora marki Plus GSM) przez Zygmunta S-Ż.

  12. Co do plus banku to oni od ósmego szukają administratora it
    http://www.pracuj.pl/praca/administrator-it-warszawa,oferta,3967730

    • Tu jakiegoś admina windowsów szukają, na pewno nic związanego z tym włamem.

  13. “pliki webserwera”, chętnie bym rzucił okiem,
    jak ktoś ma niech wrzuci paczuszkę na mega.nz :P

  14. Akurat monitoring kredytowy (tzw straznik) w biku jest za darmo

    • Od kiedy?
      Za darmo to była i jest “informacja ustawowa” – skrócony raport, raz na 6 miesięcy.

  15. A ja obstawiam, że to jednak “były już” pracownik albo klient, który okradał od dłuższego czasu. Sfrustrowany z jakiegoś tam powodu teraz chce się odegrać. Ot cała historia …

  16. Ta sprawa pokazuje, jak wielką wadą jest prowadzenie wielu biznesów pod jedną marką. Dobrze, że nie zdążyli CP jeszcze przeplusowić.

    Ta sprawa pokazuje także, że wiele osób w sieci jest gotowych przyklasnąć przestępcy i szantażyście.

    • przyklaskują i dobrze.

      zarząd PlusBanku to pewnie kilka zadumanych w sobie osób i ich ego nie pozwala racjonalnie określić ryzyka dla firmy w takiej sytuacji. Sępią kilku groszy na tak ogromną aferę mam nadzieje ze Tv ta sprawę pokażą i zwykły Kowalski się od was odwróci

  17. A komunikat jaki się właśnie ukazał w PB jest żałosny – https://plusbank.pl/aktualnosc/komunikat-plus-bank-s-a–dotyczacy-bezpieczenstwa-danych

    Czyli dalej nic się nie stało!

    • *klika. Słyszy archaiczny i źle przygotowany syntezator głosu*
      Czuję się jak w 2005, najdalej!

  18. Wychodzą teraz maksymalne cięcie kosztów przez Solorza gdzie się da. Jak typowy polak-przedsiębiorca patrzy komu ile obciąć aby więcej mieć dla siebie, nie patrząc długo terminowo jakie będę tego skutki.

  19. Jest oswiadczenie od Plus Banku:

    “Szanowni Klienci,
    W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze Klientów PlusBanku były i są bezpieczne. Jednocześnie informujemy, że w I kwartale bieżącego roku doszło w PlusBanku do przestępczego ataku grupy hackerów, który został wykryty i zablokowany. Bank po zidentyfikowaniu sposobu działania przestępców niezwłocznie podjął czynności zaradcze zmierzające do wzmocnienia systemów bezpieczeństwa. Dalsze próby cyberataku zostały udaremnione. Żaden z Klientów Banku nie poniósł uszczerbku finansowego.
    Sprawa, o której donoszą media jest wydarzeniem historycznym, atak miał miejsce kilka miesięcy temu, a reakcja Banku była natychmiastowa: systemy zostały wzmocnione i dodatkowo zabezpieczone. W obliczu zdecydowanego oporu PlusBanku, przestępcy przyjęli obecnie metodę szantażu, polegającą na próbie wymuszenia od Banku kwot pieniężnych w zamian za nierozpowszechnianie w mediach informacji o incydencie. PlusBank stoi na stanowisku, że bezpieczeństwo Klientów i reputacja Banku stanowią najwyższy priorytet, dlatego też z osobami jawnie łamiącymi porządek prawny, których działania wymierzone są przeciwko Bankowi i jego Klientom, nie prowadzi żadnych negocjacji.
    Bank na bieżąco współpracuje z organami ścigania, które od samego początku zajmują się wykryciem i ujęciem przestępców. Jesteśmy przekonani, że twarda postawa Banku związana z niepodejmowaniem żadnych prób negocjacji z przestępcami, a także wzmocnienie systemów bezpieczeństwa w dziedzinie prewencji związanej z bezpieczeństwem teleinformatycznym, działania Prokuratury i Policji oraz pozostałych instytucji, zaprowadzi przestępców w niedługiej perspektywie przed wymiar sprawiedliwości. Chcemy po raz kolejny zapewnić, że środki zdeponowane na rachunkach, lokatach w PlusBanku zawsze były i są w pełni bezpieczne.
    Klienci PlusBank zawsze mają możliwość kontaktu z Bankiem, między innymi z Centrum Obsługi Klienta i Oddziałami Banku.”

  20. Jak już złapią gościa to można mu jakiś procesik wytoczyć, żeby do końca życia pamiętał, że jest przestępcą.

  21. Najlepsze jest to, że w mediach cisza… przecież to największy znany wyciek w polskich bankach… widać chyba, że właściciel banku trzyma łapkę na mediach

    • Sam zarzadza stacja, i zna na pewno szefow innych stacji wiec kwestai budzia i sprawy nie ma. Nie ma sprawy w mainstreamie sprawy to tak jaby jej nie bylo ot wsio.

    • Było o tym na gazeta.pl

    • gazeta.pl , wp.pl , onet.pl <- było;p

  22. Może ekstra artykuł z cyklu “Poniedziałek z prawnikiem”;)?

  23. Jedna drobna uwaga co do artykułu: PESEL można zmienić. Konieczne jest odpowiednie pismo i jasno określony powód (obawa o bezpieczeństwo danych, nieprzyjmowanie PESELu przez system teleinformatyczny ZUS lub podobne).

    • Z tego co się orientuję, nr PESEL można zmienić tylko w przypadku:
      1) sprostowania daty urodzenia;
      2) sprostowania/zmiany płci;
      3) adopcji (nowy akt urodzenia);
      4) pomyłki lub wprowadzenia w błąd organu.
      Jak to się ma do włamania do Plus Banku???

  24. zobaczcie jak właściciel tego banku postępuje z akcjonariuszami elektrimu i jak traktuje ludzi widocznie niektórym się już przelewa
    w elektrimie akcjonariusze czekają już 8 rok aby odzyskać swoje ciężko zarobione pieniądze i szansa na to coraz mniejsza

  25. Nie ma sprawy. Podaj tylko w jakim banku masz konto:D

  26. package pl.ivmx.* :) to chyba nie pierwszy raz?

  27. A Pani Ewa z Plus Bank : to bank działający bezpiecznie i nowocześnie, budujący wiarygodne i długotrwałe relacje z Klientami.

  28. czyli co może ich BYŁY klient? natychmiastowe zamknięcie konta – ale to oznacza użeranie się na infolinii i kończy się za 30 dni… wycieczka po nowy dowód osobisty, założenie/używanie innego konta.
    i ciekawe kiedy ten bank wystartuje z promocją wszystko za 0zł… przecie jak to się rozniesie to stracą zaufanie klientów.

    • “wycieczka po nowy dowód osobisty” – Zmień też pesel, nazwisko, wyprowadź się na Kajmany i zacznij prowadzić koczowniczy tryb życia.

  29. Ciekaw jestem czy ten atak nie był przez, przechwycenie kopii zapasowej.
    Zazwyczaj backupy są słabiej chronione.
    Często snapy i kopie baz są wrzucane chaotycznie z braku miejsc po innych serwerach.

  30. To jest typowe dla całej grupy Solorza, całkowite zlewanie informacji od profesjonalnego klienta. Rozumiem, że przeciętnemu klientowi należy odpowiedzieć “czy zrestartował pan modem/telefon/dekoder”, “czy świeci kontrolka” itp. odpowiedzi z pierwszej linii wsparcia, ale w pewnym momencie powinno się trafić do drugiej linii, a na końcu do ostatniej. Niestety Polsat/Plus/Polkomtel najwyraźniej nie ma niczego poza pierwszą linią, czyli ludźmi zatrudnianymi z przypadku/ogłoszenia/dorabiającymi studentami, których kompetencje kończą się na podążaniu za instrukcją rozmowy z klientem. W moim przypadku współpraca z tą firmą skończyła się rozwiązaniem umowy, bo rozmowa z nimi była jak rzucanie grochem o ścianę – nie potrafiil ani zdiagnozować problemów z usługą, system generował jakieś losowe wartości na fakturach, nie dało się pobrać billingów – wszystko to sprawiało wrażenie zlepki systemów pisanych przez studentów w czasie praktyk. Z radością wróciłem do Orange (któremu wcześniej zapłaciłem karę umowną za rozwiązanie umowy przed terminem, skuszony ofertą Polkomtela), bo chociaż doskonale pamiętam problemy na ich partyline (bluecośtam) …to po prostu do nich nie ma potrzeby dzwonić. Jak wyglądało to w przypadku Plusbanku mogę tylko podejrzewać:

    zły włamywacz: – dzień dobry, robiłem przelew za trytytki i wyskoczył mi tu jakiś błąd, wydaje mi się, że w komunikacie tego błędu jest login i hasło do bazy danych!
    konsultant plus banku: – prosimy o skasowanie ciasteczek w przeglądarce, tu instrukcja
    ZW: ale szanowna pani nie rozumie, nie ja mam problem, ale wy!
    KPB: czy restartował pan komputer? Czy dostęp do Internetu działa poprawnie?
    ZW: mój komputer nie ma nic do rzeczy, mam wasze hasło!
    KPB: w celu zmiany hasła należy [tu instrukcja]
    ZW: ale to nie moje hasło, tylko do bazy danych!
    KPB: proszę nie logować się do tej bazy danych, tylko do naszego banku pod adresem […]
    ZW: czy jest możliwość połączenia z kimś bardziej technicznym?
    KPB: czy zrestartował pan komputer?
    ZW: [aaaaaaaaa!] tak, zrestartowałem komputer – problem nadal występuje.
    KPB: proszę przeskanować system programem antywirusowym
    ZW: tak, zrobiłem to już wczoraj, pan Karol od was mi pomagał. Proszę mu podziękować za szczegółowe instrukcje, niestety dzisiaj nie mogę trafić na niego dzwoniąc do państwa. Zainstalowałem nawet nowy czysty system, bo tak mi poradzono, też nic nie pomogło. W końcu poszedłem do sklepu nie dla idiotów i kupiłem nowy komputer. Zmieniłem także dostawcę Internetu, kiosk w którym kupuję gazety, kotu karmę oraz dziewczynę. Zastanawiam się nad zmianą tapet w pokoju, ale firmowy informatyk mówi, że to bardzo rzadko może powodować problemy. Pojechałem także do znajomego w innym mieście, żeby wykluczyć lokalne anomalie grawitacyjne.
    KPB: O! To już wszystko jasne – zalogował się pan z komputera u innej osoby, tam zapewne mógł być jakiś wirus albo keylogger, ale proszę się nie martwić, już blokujemy wszystkie karty oraz hasła do systemu transakcyjnego. W celu odblokowania proszę wysłać nam listem poleconym skan tęczówki, wczorajszą kupę oraz róg jednorożca.

    Co można w takiej sytuacji? No można:
    1. iść do mediów dla plebsu – ale raczej Polsat i przyjaciele takiej afery nie będą rozdmuchiwać (a Trwam nic nie zrozumie),
    2. iść do mediów typu niebezpiecznik – co miało miejsce, ale najwyraźniej utknęło,
    3. wykorzystać sytuację.

    Żądanie 200k było, cóż, naiwnością – korpo to korpo, tam nie ma myślenia, tam są procedury. Trzeba było zlikwidować lokaty Solorzy i kupić sobie BTC, informację pozostawiając w tutułach przelewów. WTEDY ktoś kompetentny by zareagował, żeby sprawę wyciszyć. Nie wiem, czy to strach przed pójściem na całość, czy zbytnia uczciwość ‘złego włamywacza’ spowodowała, że nic na tym nie ugrał. A zarzuty prokuratorskie takie same!

    Teraz? Mleko się rozlało – Polsat nie wyciszy afery, straty banku będą milionowe. Odpływ klientów, potencjalne pozwy, kontrole nadzorów, kary administracyjne, czas pracowników na liniach obsługi, czas prawników, audyty bezpieczeństwa, poszukiwanie nieautoryzowanych operacji, naprawianie systemu w trybie pilnym, zatrudnianie troli do pisania komentarzy na forach (tutaj już widać jakieś dziwne ruchy – ludzie krytykują jego, a nie postawę banku) – każda z tych rzeczy kosztuje więcej, niż te głupie 200k.

    Paradoksalnie, gdyby gość był bardziej odważny, to zarówno on by na tym skorzystał (finansowo oraz brakiem odpowiedzialności karnej – nikt by nie złożył doniesienia, żeby sprawa nie wyszła na jaw), jak i bank by na tym skorzystał (brak afery i wszystkich jej konsekwencji). Za zbytnią uczciwość teraz będzie rozmawiał z prokuratorem, jeśli go namierzą. To tak jak kpt. Wrona – gdyby miał większą wiedzę na temat samolotu, niż wymagana, to włączyłby ten nieszczęsny bezpiecznik i nie dostałby odznaczenia od prezydenta. Czasem lepiej być gorszym.

    A czy korpo by nie negocjowała? Bzdura – gdyby tylko taka informacja doszła na odpowiedni poziom, gdzie zaczyna działać logika, a nie tępe procedury i rozliczanie ze słupków, to każdy negocjuje w swojej sprawie. Rząd amerykański nie negocjuje? Bo zakładnicy to nie rodzina prezydenta, tylko jacyśtam przedstawiciele gatunku ‘mięso armatnie’. Powtórzę: w swojej sprawie KAŻDY negocjuje. Szczególnie że mieli propozycję dla siebie bezpieczną – kasa w ratach, czyli kilka miesięcy spokoju NAWET przy złych intencjach atakującego (logika: przy złych intencjach wziąłby sobie dowolną kasę i uciekł do Izraela, Argentyny czy Rosji).

    • Jeszcze jedna sprawa – skoro sam sobie tego okupu nie przelał (po co z kimkolwiek negocjować, mając swobodny dostęp do przedmiotu?), to znaczy że nie jest takim pełnym blackhatem; tj. przygotowanym do emigracji, śpiącym na walizkach, ale na tyle dobrze zabezpieczonym, że pewnie nikt go nie namierzy itp. Niewykluczone, że to ziarno mogło wręcz trafić się ślepej kurze, stąd wybrał wersję ‘light’ (szczególnie ten dom dziecka – na wymiar ewentualnej kary wpływ będzie miał). Ale popełnił tym samym poważny błąd strategiczny – wszedł samodzielnie do gry, której zasad nie zna. A przecież zamiast samemu (nie mając w tym wprawy) gadać z bankiem, mógł po prostu dane na temat podatności sprzedać komuś, kto by już sobie sam na nich zarabiał, wg swojego sumienia i na własne ryzyko. Banku w ten sposób się nie położy, bo nie da się niezauważenie wytransferować poza europejski system bankowy odpowiednio dużych sum – taki ruch powinien(!) zostać zauważony na wyjściu z banku, co powinno spowodować zablokowanie do wyjaśnienia całego SWIFT-a. Potencjalne osoby prywatne pokrzywdzone przez osoby trzecie, ale od strony systemu bankowego, również dostałyby rekompensatę od banku (w końcu bank jest ubezpieczony). W razie upadku banku (raczej niemożliwe) pozostaje BFG. Po co więc taka zagrywka? Albo “jesteś hardkorem” i robisz przekręt sam lub szukasz wspólnika, albo grzecznie zgłaszasz bankowi oraz do KNF-u, na czym polega błąd, licząc na laurkę, uścisk dłoni prezesa oraz 15 sekund w Teleexpressie. Zabawa w szantaż może go drogo kosztować, bo był zbyt słaby i nie przebił się do odpowiednio wysoko postawionej osoby.

      Ale z drugiej strony – jeżeli był ostrożny, to pewnie może spać spokojnie. Służby jak działają, to wiemy, a te brednie z komentarzy do poprzedniego artykułu, że niby bank za kilka milionów go znajdzie, to chyba jacyś, hm… kinomaniacy pisali. Korporacje mają dwie bardzo poważne wady. Jedna – że wysoką skuteczność mają wyłącznie w tym, co jest ich core’owym biznesem, natomiast wszystko inne robią skrajnie nieskutecznie. Bank to nie korporacja detektywistyczna, podejrzewam że tam ustalenie nazwiska pracownika, z którym nawiązano pierwszy kontakt w tej sprawie, zajmie pół roku. Druga wada – wszyscy ludzie w korporacji są nikim więcej, jak jej pracownikami, w związku z czym bez okazji na prywatny zysk, nikt nie podłoży własnej głowy dla “dobra firmy”. A poszukiwania na własną rękę oznaczają działania poza prawem – przynajmniej część czynności byłaby nielegalna bądź zarezerwowana dla organów ścigania. Po co takie ryzyko? Żeby pochwalić się na facebooku “mamy gnoja”? Co innego, gdyby prywatnie naraził się jakiemuś miliarderowi (porywając dziecko) – wtedy wielu nie miałoby skrupułów, żeby go nawet odstrzelić, ale pracownik korpo mógłby wygrać co najwyżej dyscyplinarne zwolnienie oraz odsiadkę dla siebie.

    • Nie przelał kasy, bo niby jak to zrobić posiadając zrzut bazy danych, a nie fizyczny do niej dostęp. Stąd bank twierdzi (poniekąd słusznie), że środki klientów są bezpieczne.

      Problem w tym, że spece banku nie przemyśleli jednego scenariusza opisanego dokładnie na konkurencyjnej dla Niebezpiecznika stronie o bezpieczeństwie IT :) Tam to opisany jest przypadek firmy X, która miała 2 rachunki w plusbanku. Problem w tym, że środki między rachunkami własnymi można przelewać bez jakichkolwiek kodów autorycacji SMS itp. No to teraz wyobraźmy sobie zakupy w internecie za 35 tys. złotych + możliwość realizacji wewnętrznych przelewów bez potwierdzenia – ktoś kupił je i chciał zapłacić przez firmę X przy użyciu PlusBanku – wypełniają się dane przelewu, a po tym można zapłacić tylko, że z uwagi, że to przelew wewnętrzny nie prosi o autoryzacje SMS -> przelew wychodzi, firma X przelewa pieniądze do sklepu, a sklep wysyła towar (najpewniej dobra wirtualne na adres email:P). Powiecie dlaczego firma X nie zweryfikowała nr. konta nadawcy. Ano może i weryfikowała, ale dla smaczku PlusBank nie udostępniał w API nr rachunku dla przelewów wewnętrznych. A założę się, że nikt z tu obecnych programistów, którzy mieliby zaimplementować to zabezpieczenie (ja na pewno nie) nie pomyślałoby o przeprowadzeniu testu z subrachunku do konta :)

  31. Warto odnotować że poszkodowani klienci dostaną odszkodowania.

    • Źródło?

    • Dostaną. Jak się o nie upomną w sądzie

  32. Kolejny powód, żeby używać gotówki. Lepiej wypłacać kasę z bankomatu i płacić gotówką niż mieć w historii transakcje w aptece, restauracji, u lekarza. Nie wiadomo kto potem takie dane zobaczy. Jeśli idziesz do centrum leczenia chorób wenerycznych a potem do apteki to lepiej płać gotówką.

    • No i właśnie m.in.* DLATEGO rządy i banki walczą z gotówką pod pozorem “zwalczania terroryzmu”.
      Żeby więcej wiedzieć o ludziach i wykorzystywać te informacje przeciwko nim. A jeśli chodzi o terrorystów i przestępczości zorganizowanej… Ci po prostu znajdą inny sposób na rozliczanie transakcji i prawnie pieniędzy…

      *m.in. bo chodzi też o ściąganie podatków od niektórych transakcji :P

  33. Ten screen z haslem do DB to najwyzej dane do DB CMS’a – widac, ze stoi na linuxe. Natomiast system transakcyjny byl na Windowsie, co potwierdzaja opublikowane w Waszym poprzednim artykule kawalki kodu zrodlowego. Raczej nie laczylbym pozyskania tego hasla z mozliwoscia dojscia do systemu transakcyjnego, no chyba ze hasla i nazwy uzytkownikow byly takie same ;)

    • Na Windowsie? O, a przypadkiem się okazało że Plus Bank nowego admina Windowsowego szuka. Może rzeczywiście poprzednik dostał kopa w dupę z powodu właśnie wpadki?

  34. co wy z tymkorpo to zwykly warzywniak solorza, nie wiem kto normalny by trzymal pieniadze w takiej popierdolce

  35. Z tego co widzę – administrator strony FB blokuje ludzi za wspomnienie o ataku. Może ktoś potwierdzić czy tylko ja mam takie szczęście, że kiedy parę dni temu zapytałem o to czy to prawda przestałem mieć możliwość komentowania na ich stronie?

    Tak czy inaczej – ich wizerunku już nic nie uratuje.

    • Potwierdzam, ja, mój drugi profil i profil kolegi zostały zablokowane po komentarzach odnośnie włamania i kasowania postów.

    • na pastebin na hasło “plusbank” widać dwie wklejki, jedna z dziś rano, druga 3 dni temu z tekstem “Got a 600 pcs dump from Plusbank (PL) dated June 8th”.

      Są usunięte, czyżby bankowcy próbują zmniejszać skutki ataku ? Czy na tym (usuwaniu, komentarzy i wszelkich informacji) ma polegać bezpieczeństwo ?

      Skoro jedna z wklejek jest sprzed 3 dni, a dane miały być upublicznione w piątek, to pojawia się pytanie, czy ktoś jeszcze wykradł dane ? Czy te dane już krążą po sieci ?

      Żeby się nie okazało że systemy bankowe są tak dobre i bezpieczne jak kalkulator wyborczy PKW.

    • Potwierdzam, zapytałem w komentarzu o bezpieczeństwo moich danych (rok temu miałem u nich kredyt), w odpowiedzi mój komentarz zniknął, a ja nie mam możliwości komentowania na ich stronie.

  36. Jeżeli chodzi o 3 zdjęcie (te z hasłem) to nie ma to jak używanie przez poważny bank CodeIgnitera… Szczególnie że w nim klasa od bazy danych nie jest zbyt bezpieczna

  37. A ja znam Bank z pierwszej top 10 Bankow działających w PL, który JESZCZE używa PiXów !!! Poziom świadomości managementu IT odnośnie security w niektórych bankach jest tragiczny! TAK TO REALNIE WYGLĄDA

    • To nie poziom świadomości tylko cięcia wydatków na IT. BANK MA ZARABIAĆ a nie wydawać na informatykę. Zatrudnianie osób ze średnim wykształceniem (patrz poszukiwania admina) też upoważnia do ograniczenia stawki “ze względu na wykształcenie”.
      W 2008 roku banki płakały, że idzie kryzys i nie będą miały za co ludziom płacić. Tak się nastawili na zysk, że klienci i szeregowi pracownicy byli najbardziej dojeni. Później się okazało, że to były ich najzyskowniejsze lata, ale jak już coś komuś obcięli to nie oddali. Mi nigdy nie będzie szkoda żadnego banku.
      BTW.: Pewnie nie wiedzieli, że jak zwalniają admina to wymiana wszystkich haseł w firmie jest obowiązkowa?
      Może Raz był jednym z byłych adminów banku, który pewnie nie raz prosił o ulepszenie sprzętu i oprogramowania na bardziej nowoczesny i bezpieczny? Wskazywał luki, pisał pisma i słyszał “Działa, to działa – nie kombinuj bo jak zwiększysz koszty to cię wywalą”. No i przebrała się miarka…

  38. Na fb usuwają wszelkie pytania i komentarze odnośnie włamania i blokują możliwość komentowania użytkownikom..

  39. Jest kandydat na najglupszy artykul odnosnie wlamania – http://tvpolsat.info/news.php?readmore=7255

  40. Żenadia, ale to typowe zachowanie polskiego “biznesu”, z drugiej strony czerpią wzorce z “najwyższej półki” – polityki… “zaprzeczajmy tak długo, aż plebs w to uwierzy :-)”

  41. to nie okup….

  42. Dowód można zmienić, kosztuje to wpisanie do SDZ oraz zgłoszenie się do urzędu po wymianę. Koszt to dojazd oraz zdjęcie.
    Z PESELEM drożej, praktycznie to zmiana płci.

  43. Jak słyszę o takich sprawach to szlag mnie trafia bo przypominają mi się wtedy wszystkie moje rozmowy z współpracownikami, którzy bezpieczeństwo systemów mają w dupie i moje uwagi na temat słabych zabezpieczeń traktują jak jakieś fanaberie.

    • Też tak mam, szef ignoruje moje uwagi, mimo że w IT siedzi dłużej niż ja. Raz już było włamanie to zgodził się na vpn.

    • @Olek: ignoruje, ponieważ jego szef nie chce słyszeć o ewentualnym zwiększeniu wydatków, i tak dalej aż do prezesa. Im wyżej w hierarchii, tym mniejsze rozeznanie techniczne i większa presja na oszczędności. Dlaczego? Podczas gdy konieczność fizycznej ochrony fizycznych środków finansowych takich jak gotówka czy złoto (sejfy, kraty, uzbrojone konwoje, itd.) jest oczywista, to jeśli chodzi o zabezpieczenia informatyczne problem polega na tym, że są one “niewidoczne”, a ich tematyka i możliwość oceny ich jakości lub braku tejże są praktycznie niezgłębialne dla nietechnicznej (lecz niestety często decyzyjnej jeśli chodzi o budżet) osoby.

  44. Niektórzy sobie nie zdają sprawy z tego, że wizerunkowo bank nie straci aż tak dużo jak im się wydaje…
    Połowa klientów jest nietechniczna, w sensie takim, że nawet z komputerem i internetem mają związek praktycznie zerowy. Z tej grupy większość nawet nie będzie świadoma takiego ataku.
    Z drugiej połowy, 2/3 też o ataku się nie dowie.
    To nam daje jakieś 16,(6)~% klientów którzy w ogóle się w jakiś sposób zainteresują.
    Z tego może znów 1/3 (5,5%) podejmie jakąś decyzje na działanie, czy to kontakt z infolinią, czy coś na tyle prostego, że i tak nie ma żadnego praktycznie wpływu na bank(tak jak już niektórzy zauważyli, większy problem dla banku w tym momencie to to, że te telefony trzeba obsługiwać, a to kosztuje).
    A takie krzyczenie, że wszyscy zaczną zamykać konta, nijak się ma do rzeczywistości. Bo z tych 5,5% jedna na tysiąc osób może zamknie konto i przeniesie się do innego banku…

    Liczby z dupy, nie poparte żadnymi badaniami, statystykami czy innymi sensownymi danymi. Ale jednak. Taka jest rzeczywistość. Niektórzy reagują tak, jak by przynajmniej 90% klientów tego banku czytało ten artykuł na niebezpieczniku, z czego połowa złoży reklamacje a druga połowa wyniesie się z banku. No niestety. Nie jest tak. Bank zarzuci jakąś promocje i odzyska ten 0,005% klientów straconych tą “wielka akcją na skale krajową która powinna wypłoszyć każdego klienta z tego banku”.

    Od strony technicznej i od strony bezpieczeństwa danych, ok, zgadzam się, sprawa jest duża i ważna. Ale z perspektywy banku to nie ma praktycznie żadnego znaczenia. dlatego podejmują takie działania a nie inne. Za miesiąc albo dwa i tak nawet tutaj wszyscy o tym zapomną. Pojedyncze przypadki się trafia, gdzie ktoś chciał by się przenieść do tego banku lub założyć tam po prostu konto, ale tego nie zrobi. I co. Te kilka osób ma sprawić, że bank zareaguje inaczej na całą sprawę? Nie ma sensu.

    I kolejne wyjaśnienie, zanim wszyscy mnie tu pojadą, że głupoty gadam. Nie, nie twierdze nigdzie, że działania banku(banków?) są dobre, że ich systemy bezpieczne i wszystko jest ładnie pięknie. Nie jest. Oszczędzają. Mogli by podnieść poziom dużo wyżej, bo jest słabo, ale tego nie robią, bo im się to zwyczajnie nie opłaca. Nawet takie afery jak ta, są dla nich nieważne… A dlaczego to wyjaśniłem wcześniej. Więc po prostu zostaje wszystko na poziomie “działa to działa, a jak będą jakieś wycieki, to mamy to wliczone w koszty, bo jest i tak taniej niż zwiększanie poziomu zabezpieczeń i płacenie tym wszystkim patałachom z IT za robienie nie wiadomo czego”.

    Takie życie.

    • Słusznie, dlatego właśnie obrali strategię uskuteczniania “damage control” poprzez kneblowanie tych którzy o tym mówią (usuwanie wpisów i bany na fb itd.).

  45. Zapominasz o stratach wizerunkowych…. A to boli bardziej niż tabelki z kosztami operacyjnymi…

  46. W Trójce o tym wspomnieli (w jednym serwisie i Cyber Trójce Kwieka, ale nie ma jeszcze jej na stronie).

  47. A co ma plusbank do plusa? to tylko nazwa. przeczytaj poprzedni artykuł o włamaniu

  48. Nie każda firma kieruje informacje o niespłacanych pożyczkach do BIKu. Co do samych danych potrzeba porządnych przepisów, żeby ich przestępcze użycie było jak najbardziej utrudnione (po pierwsze regulacja rynku pożyczkowego i likwidacja wszczynania postępowań w e-sądzie na podstawie oświadczenia).

    • To już dawno powinni zrobić. Podobnie KNF powinien zabronić zakładania kont na przelew, bo banki same nie zrezygnują z wymyślonej przez siebie metody szybkiego pozyskania nowego klienta, ale bez szemrania podporządkują się decyzji KNF (tak było chocby z likwidacją lokat jednodniowych). M.in. zaniechanie w tych kwestiach przełoży się na głosy bardziej świadomych wyborców.

  49. Jeśli Polsilver rzeczywiście zdobył owe wszystkie dane i jeśli miał dostęp do tego co twierdz, że miał…

    …to gwarantuję, że przy odpowiedniej wiedzy (księgowość, rachunkowość, prawo bankowe) mógł śmiało zdezorganizować pracę _wszystkich_ banków w Polsce, jeśli nie w regionie.

  50. ..no to pozew zbiorowy nt ochrony danych osobowych.

  51. Tzw. “mainstream” powoli zaczyna reagować. Artykuł z Interii, za RMF: http://fakty.interia.pl/news-rmf24-haker-opublikowal-dane-500-klientow-plus-banku,nId,1834359
    O wiele ciekawsze od samego faktu opublikowania informacji z oświadczenia banku, jest to w jaki sposób przedstawia się TOR. Jak tak dalej pójdzie to każdy używający TORa będzie przedstawiany jako przestępca zasługujący na co najmniej 10 lat w więzieniu.

    • Z tego płynie wręcz przeslanie, że anonimowość i prywatność to zło, a inwigilacja to zbawienie ;)

    • @a: wszystko wskazuje na to, że za jakieś 20 lat dla przeciętnego “zjadacza chleba” prywatność i anonimowość będą bądź nielegalne, bądź niemożliwe do uzyskania.

  52. W sumie GIODO powinno zareagować (o ile wie o temacie).

  53. Oświadczenie plusbanku na ich stronie FB:

    “W związku ze wzmożoną aktywnością użytkowników Facebook, niejednokrotnie uderzającą w dobre imię Banku i jego Klientów, prosimy o przemyślane i zrównoważone wpisy na profilu. Zależy nam na tym, aby profil Banku służył wymianie ciekawych poglądów i rozwiązań. Wpisy nie związane bezpośrednio z tematem usług bankowych z powyższych przyczyn mogą być usuwane.
    Zachęcamy również do bezpośredniego kontaktu z pracownikami w Oddziale Operacyjnym oraz Centrum Obsługi Klienta 801 44 55 66 w przypadku pytań lub reklamacji dotyczących posiadanych produktów. Informujemy, że Oddziały PlusBanku czynne są od poniedziałku do piątku. Infolinia czynna jest 7 dni w tygodniu od godziny 9 do 21.

    A więc tylko Ci użytkownicy którzy sobie uświadomią ewentualne zagrożenie będą mogli reagować bo bank nie pozwoli na to by inni, bardziej znający się na rzeczy użytkownicy ich ostrzegli. Wesoło.

    • Jak tak widzę walkę banku z komentatorami na FB, to się zastanawiam kiedy powstanie grupa niezadowolonych klientów. Z dwojga złego to dla banku będzie lepiej żeby ludzie komentowali na ich stronie, gdzie jeszcze mogą to jakoś kontrolować, niż żeby powstało całkowicie niezależne forum na które nie będą mieli żadnego wpływu.

  54. wszyscy piszą, ze opublikował dane klientów, ale nikt nie napisał gdzie opublikował i czy ktoś to widział

    • W tagach masz wpisaną nazwę forum na którym są materiały :)

  55. Wie ktos gdzie można sprawdzic czy moje dane były w tym wycieku?

  56. Jakie prawa ma klient, którego dane będą w wycieku?
    Pozwy warto szykować?

  57. Już teraz samo wpisanie nazwy TOR w Google itp. zwraca uwagę NSA. Dwa Silk Road’y (w sumie działa już trzeci z dopiskiem Reloaded) i Agora Market zrobiły czarny PR. A kamieniem też można zabić.

  58. Z czystej ciekawości: czy coś grozi prawnie za pobranie i zapoznanie się z tymi opublikowanymi danymi?

    • Prawnikiem nie jestem, ale wydaję mi się, że zawsze możesz tłumaczyć się brakiem informacji ze strony banku (również na infolinii gdzie ciągle zaprzeczają, że incydent miał miejsce a wymuszenie zmiany haseł dla wszystkich klientów jest standardową cokwartalną procedurą) chciałeś sprawdzić czy Twoje dane też uleciały.

  59. Zastanawiam się co teraz. Sądziłem że tych danych nikt nie zobaczy a cała sprawa była trochę zbyt naciągana. Zrobiło się poważnie, sprawa nie obije się bez echa, o “Razie” będzie jeszcze głośno.

  60. Sprawa bezpieczeństwa znowu stawiana jest w ostatnim szeregu , dopiero “kop w dupę” i ofiara z baranka powoduje przesunięcie budżetowej kasy z marketingu na zabezpieczenia IT…
    Za chwilę znowu będzie głośno, o kolejnym banku (bez nazwy), który świadczy usługi we wszystkim co można. Platforma do logowania zostrała teraz poprawiona przedtem działała przez dłuższy czas na starej Javie dziurawej jak sito.

    • chodzi o DB?

  61. http://pb.hotchili.kei.pl

  62. Code Igniter do obsługi banku? Bosze…. przecież to nawet nie miało w wersji 2 produkcyjnego drivera pdo

  63. Dla banku to jest kryminał. Prawo dot. danych osobowych w naszym kraju karze niefrasobliwego powiernika danych tak samo, jak złodzieja. Jeśli nie zabezpieczyli danych osobowych swoich klientów, to sprawę karną mają jak w banku.

  64. Nazywanie Firm które pożyczają ponad 90% środków klientów tzw bankami jest komiczne :D. Legalny absurd ;)

  65. Mam pytanie – czy ktoś może wie czy wykradzione dane zawierają informacje tylko o osobach mających konta osobiste / firmowe w tym banku w feralnym okresie (styczen-kwiecien 2015), czy tez dane wszystkich osob ktore kiedykolwiek wcześniej cokolwiek miały do czynienia z tym bankiem?

    Tak jak to już przedmówcy napisali, problem jest dla zwykłych ludzi, którzy mieli pecha akurat być w tym banku.
    Zwykły człowiek raczej nie ma szans wiedzieć czy dany bank jest “bezpieczny” czy nie. W dobrej wierze zakłada się że bank jako instutucja “zaufania publicznego” zadba o bezpieczeństwo systemów.
    Co do Polsilvera / Raza – szanuję jego umięjętności ale przy tym wszystkim niech pomyśli czasem o tym komu tak naprawdę szkodzi i co chce udowodnić.
    Brak odpowiednich zabezpieczeń – już to udowodnił.
    Niekompetencję banku – tak samo.
    Co teraz?

  66. Może na jakimś poniedziałku z prawnikiem uda się odpowiedzieć na takie pytania jak tutaj padały:
    co grozi za pobranie danych z wycieku (na własny użytek edukacyjny)
    jakie prawa ma klient, którego dane wyciekły (pozwanie banku? odszkodowanie?)

  67. Opiekun strony Plus Banku na fb ma teraz sporo roboty.. Ciekawi mnie po co firmy pchają się do internetu gdy jakość usług jest wątpliwa, internet przecież nie zapomina i nie wybacza.. Spodziewali się samych laurek od wdzięcznych klientów?

  68. Bank zapłaci większe odszkodowania klientom niż opłata za wykrycie dziury dla hakera.
    Szkoda mi tych bezmyślnie podejmujących decyzję szefów banku.
    Po dwa jest już bankrutem bo żaden mądry klient nie powierzyć mu swoich oszczędności.

  69. po takiej reakcji banku chyba naturalnym ruchem jest wycofanie wszystkich pieniędzy i zamknięcie konta w tym pseudo-banku

  70. wysłałem do:
    knf@knf.gov.pl
    listy@nbp.pl
    kancelaria@giodo.gov.pl

    Wam proponuje zrobic to samo. Nie dajmy sie banksterom. To czy jestescie klientami Plus Banku, czy nie jest bez znaczenia. Jesli w odpowiedzi poproszą was o jakies dodatkowe szczególy dot. waszej relacji z Plus Bankiem (nie powinni), to odpiszcie, ze nie mozecie przesylac takich danych emailem w trosce o ich bezpieczeństwo.

    Szanowni Państwo,

    Na wstępie chciałbym nadmienić, iż od kilku lat jestem klientem Plus Banku (dawniej Invest Banku). Z ogromnym niepokojem obserwuję w ostatnich dniach doniesienia prasowe dotyczace tej instytucji, a w szczególności informacje o kradzieży danych osobowych i transakcyjnych jej klientów (do których sam sie zaliczam) z systemu bankowości internetowej Plus Banku. Upublicznienie informacji dot. stanu moich kont i historii wykonanych transakcji miałoby katastrofalne skutki dla prowadzonej przeze mnie działalności komercyjnej. Mimo moich usilnych starań (m.in. wielokrotne próby kontaktu z infolinią Plus Banku) przedstawiciele banku uporczywie odmawiają udzielenia mi informacji o tym, czy moje wrażliwe dane znajdują się już w rękach cyber-przestępców. Czy instytucja zaufania publicznego jaką jest bank nie powinna automatycznie (bez konieczności wnioskowania o to) udzielić takiej informacji każdemu jej klientowi, który mógł zostać dotknięty podobnym problemem?
    W związku z powyższym zwracam sie do was z serdeczną prośbą o pomoc, wskazanie jednostki, instytucji lub urzędu który pomógłby skłonić Plus Bank do zmiany ich stanowiska.

    Drugim problemem, który mnie od kilku dni nurtuje jest bieżące bezpieczeństwo moich danych i pieniędzy w Plus Banku. Mówiac wprost, po prostu boję się korzystać z ich usług. Z jednej strony Bank zapewnia w oficjalnych komunikatach, że gwarantuje ich pełne bezpieczeństwo, z drugiej jednak strony takich samych gwarancji udzielał przecież także przed kradzieżą danych. W ciągu tych ostatnich kilku tygodni nie zauważyłem też by bankowość internetowa Plus Banku nie funkcjonowała (nie było również takich komunikatów). Czy w obliczu tak poważnego incydentu nie powinna ona zostać odłączona do czasu przeprowadzenia śledztwa, opracowania i wdrożenia planu naprawczego oraz potwierdzenia skuteczności tego planu naprawczego niezależnym (od Plus Banku) audytem informatycznym? Czy Komisja Nadzoru Finansowego lub inny organ regulujący planują podjąć jakieś kroki mające na celu zabezpieczenie interesów klientów Plus Banku? Jakie kroki?

    • Mam kłamać, że jestem klientem tego banku? A gdzie moralność?

    • A moralność bankowca nie wystarczy?

  71. Strona banku na MySQL… o matko i córko…

    • Tak z ciekawości: na jakich systemach powinny byś tworzone system np. bankowe? Dlaczego MySQL ma być złym wyborem jeżeli chodzi o bazę danych? Nie tworzę i nigdy nie miałem styczności z aplikacjami/oprogramowaniem o podwyższonym stopniu bezpieczeństwa, stąd moja ciekawość.

    • MySQL ok ale PHP ?
      Cos mi tu smierdzi kryterium najnizszej ceny…

    • MySQL nie ma zbyt dobrej reputacji jako stabilny i solidny system baz danych, choć ostatnio na pewno mocno zmienił się na lepsze. Został stworzony jako zabawka, przez ludzi, którzy nie mieli pojęcia o profesjonalnym tworzeniu systemów baz danych. A że był łatwy w instalacji i obsłudze, to zdobył sobie dużą popularność, mimo wielu ułomności. Podobnie teraz dzieje się z MongoDB – fajna bazka do postawienia lokalnie na laptopie, ale do zastosowań produkcyjnych masakra. Tu nawet nie chodzi o bezpieczeństwo, ale ogólnie stawianie systemu, który powinien być dostępny 24/7 i stabilny jak skała, na bazie danych, która nie zapewnia wysokiej dostępności i byle awaria dysku / serwera / sieci potrafi ją całkowicie wywalić albo nawet permanentnie uszkodzić jest dla mnie nieporozumieniem. Znam ludzi, którym MySQL permanentnie uszkodził bazę danych w wyniku zwykłego… wyłączenia prądu w trakcie działania serwera.

      A jeśli chodzi o bezpieczeństwo, to cóż, tu większe znaczenie ma konfiguracja i admin, który wie co robi, niż to czy system stoi na MySQL, PostgreSQL czy Oracle.

  72. Onet też nieśmiało coś przebąkuje:
    http://softonet.pl/publikacje/aktualnosci/PlusBank.nie.spelnil.zadan.hakera.wyciekly.dane.klientow,954

  73. Oszczedzanie przez nie przyznawanie :)

  74. Zawiadomienie o popełnieniu przestępstwa przez administratora danych osobowych Plus Banku

    Wysłałem do:
    pr.wawpragapd@warszawapraga.po.gov.pl

    Do wiadomości:
    kancelaria@giodo.gov.pl

    To zawiadomienie nie spełnia formalnych kryterii, ale generalnie powinni na nie zareagować. Maja taki obowiazek takze w przypadku anonimow. Jesli ktos z was ma ochote zglosic imiennie, to serdecznie zapraszam do uzycia ponizszego. Emaile do prokuratury i GIODO rowniez beda mile widziane.

    Warszawa, 14.06.2015r.

    Prokuratura Rejonowa Warszawa-Praga Południe w Warszawie
    ul. Kamienna 14
    03-441 Warszawa

    Zawiadomienie o możliwości popełnienia przestępstwa

    W zwiazku z licznymi publikacjami w prasie i serwisach internetowych (przykłady źródeł poniżej) dot. kradzieży danych osobowych i transakcyjnych klientów bankowości internetowej Plus Banku zawiadamiam niniejszym o możliwości popełnienia przestępstwa przez administratora danych osobowych Plus Banku z siedzibą w Warszawie (04-028) przy ulicy Aleja Stanów Zjednoczonych 61a (NIP 781-00-14-345, REGON 630520298) polegającego m.in. na:
    – Umożliwieniu osobom nieupoważnionym dostępu do danych osobowych klientów bankowości internetowej Plus Banku (art. 51 u.o.d.o.)
    – Ujawnieniu danych osobowych klientów bankowości internetowej Plus Banku osobom nieupoważnionym (art. 266 p. 1 KK)
    – Naruszeniu obowiązku zabezpieczenia danych osobowych klientów bankowości internetowej Plus Banku przed ich zabraniem, uszkodzeniem lub zniszczeniem przez osobę nieuprawnioną (art. 52 u.o.d.o.)

    Źródła informacji o popełnieniu przestępstwa:

    Z Poważaniem,

    • Tylko na końcu powinno być “Źródła informacji o MOŻLIWOŚCI popełnieniu przestępstwa”
      Tak, żeby nie mogli ci zarzucić pomówienia.

    • Sam pan wysłał anonimowy donos, a od innych oczekuje odwagi? Żałosne.

  75. Na 99% osoba, która upubliczniła te informacje to były pracownik banku, bądź firmy obsługującej bankowość elektroniczną dla banku, która miała zwyczajnie do nich dostęp, programista najpewniej. Powinni w inwestygacji moim zdaniem zacząć od osób, które nie pracują przy ich serwerach usług bankowych od powiedzmy roku-dwóch. Na podstawie upublicznionych fragmentów kodów źródłowych postarać się mniej więcej odtworzyć daty commitów najbliższego wyglądu kodu z dnia upublicznienia, zmapować na ludzi i odwiedzić parę osób z nadzieją, że computer forensics odpowie na kilka pytań. Wszystko zależy od tego jak ta osoba daleko wyszła “z domu” z tym co robi i czy była na tyle uważna, by nie zostawić niczego co dało by podstawę udowodnienia jej tej akcji, nawet wchodząc do domu.

    Wszystkie gadaniny o włamie, monitorowaniu ich od 3 miesięcy, czy nawet psychologicznie ujmując styl zbuntowanego małolata podczas pisania do redakcji to ściema i odwracanie uwagi, utrudnianie inwestygacji, no i trochę dobrej zabawy. Złapanie osoby odpowiedzialnej za to jest moim zdaniem bardzo proste.

  76. Wtopa banku jest totalna i to podwójnie. Najpierw co oczywiste okrutnie dali ciała na polu IT Security. Ale kiedy już to się stało to bank powinien stanąć na głowie i zaklaskać uszami, zrobić absolutnie wszystko aby nie dopuścić do upublicznienia danych klientów. Łącznie z zapłaceniem okupu.

    Po tym jak dopuścili do włamania przyjęcie postawy ‘nie negocjujemy z terrorystami’ jest arogancją wobec klientów. Raz jest przestępcą. Złodziejem z klawiaturą. Dla banku istnienie i działalność takich osobników nie powinna być zaskoczeniem. Gorzej chyba nie dało się tego załatwić.

    Dlatego wszelkie powołane do tego instytucje powinny z pełną surowością rozliczyć bank. Klienci natomiast powinni trzymać się z dala od takich ‘profesjonalistów’.

  77. Sorry, ale co wg. was powinien zrobić bank? Gdyby zgodził się na okup, to w niedługim czasie mielibyśmy codzienne włamy do banków organizowane przej jego naśladowców. Z terrorystami się nie negocjuje, bo prowadzi to do eskalacji problemu.

    • Bzdura – bankowe systemy sa pod ostrzalem 24h/dobe i maja byc bezpieczne.
      Zadne negocjacje niczego nie zmienia.
      Myslisz ze wszystkie kampanie pishingowe sa prowadzone przeciwko klientom bo atakowanie bankow jest bee ?

  78. A czy zespół Niebezpiecznika robił dla jakiegoś banku stress testy jego serwisów? Może macie info z własnego doświadczenia czy w tym kraju ktoś ma jako taki bezpieczny system.

  79. A ja muszę pochwalić Plus Bank. W sobotę otrzymałem od nich pismo w którym informują, że w związku z hackerskim atakiem na system informatyczny banku i przejęciem danych osobowych klientów otrzymam następujące rekompensaty:
    1. opłatę za wymianę dowodu osobistego z powodów innych niż zużycie lub upłynięcie terminu ważności;
    2. opłatę za standardowe zdjęcie cz.-b. potrzebne do wymiany dowodu;
    3. kwotę trzygodzinnego wynagrodzenia dyrektora Oddziału Banku – jako ekwiwalent za czynności związane z wymianą dowodu osobistego;
    4. kwotę pozwalającą na zmianę płatnego adresu e-mail – po przedstawieniu faktury dot. kosztów obecnego adresu e-mail.
    Powyższe rekompensaty zostaną wypłacone w ciągu 30 dni. Po tym terminie Bank przystąpi do negocjacji z klientami w sprawie odszkodowań dotyczących strat niemożliwych do naprawienia przez Plus Bank czyli ujawnienie numeru PESEL i adresu zamieszkania. Prosimy o pisemne zgłaszanie na adres Banku proponowaną wysokość odszkodowań.

  80. Podesłałem art. na kontakt tvn24, może coś pójdzie w szerszy eter.

  81. Już dawno został usunięty.Bank zaczyna zacierać ślady,albo boją się publikować bez zgody z góry.

  82. No to francja chyab znalazla na to sposob-:))Az z fotela o malo nie spadlem.Ale wiara czyni podobno cuda:)))
    http://www.cnil.fr/english/news-and-events/news/article/cnil-orders-google-to-apply-delisting-on-all-domain-names-of-the-search-engine/

  83. KOmentarz mail byc do innej strony https://niebezpiecznik.pl/post/prywatnosci-w-sieci-nie-ochronimy/

  84. Pesel wbrew pozorom da się zmienić: https://obywatel.gov.pl/rejestr-pesel/zmien-nr-pesel tyle, że tu nie Afryka i ciężko będzie dostać nowy akt urodzenia ot tak od ręki, a płci zmieniać się raczej nie opłaca. ;)

    • A czy można płeć zmienić dwa razy?

    • Podejrzewam, że w dzisiejszych czasach dałoby radę.

  85. Dodajcie do forum jakis przesuwak (zakładkę), abym nie musial zapamietywac daty i godziny ostatniego czytanego posta.. grr.. ..caly internet to amatorzy..

  86. Przepraszam, że w takiej formie to ująłem, widocznie humor mi dziś nie dopisuje :) Pozdrawiam i życzę miłego poniedziałku :)

  87. […] im smutną wiadomość poradzić “co teraz” (kilka rad opublikowaliśmy w naszym piątkowym artykule opisującym opublikowane dane). To się jednak nie dzieje i niestety nawet w prywatnych rozmowach z klientami, pracownicy Plus […]

  88. No to pewnie wszelkiej maści “wnuczki” siedzą już pewno przy telefonie i tylko czekają na kolejną porcję klientów do obdzwonienia :)

  89. Oby się tym prokuratura zajęła

  90. Czy numer PESEL jest informacją niejawną? Wyciek danych wrażliwych, ale jednak udostępnianych wielu instytucjom, nie powinien mieć żadnych konsekwencji dla obywatela. To, że jednak w pewnych sytuacjach (banki) ma, jest dziurą w systemie. Może czas na wprowadzenie dowodów z certyfikatem elektronicznym dla poświadczeń, co jest zapowiadane od dawna?

  91. karolweksler 2015.06.14 01:37 | # |

    chodzi o DB?

    nie, bardziej chodziło o polski bank :)

  92. […] opublikowaliśmy oświadczenia Związku Banków Polskich i Komisji Nadzoru Finansowego w sprawie włamania do Plus Banku. Dziś publikujemy oświadczenie, jakie spłynęło do nas w tej […]

  93. Ciekawym zasługuje fakt, że GIODO zastrzegło, że pobieranie nawet części upublicznionej bazy danych jest karalne, ale żeby złożyć pozew, trzeba jakoś to podłożyć dowodami, ale żeby zdobyć dowody na to, że np. moje dany zostały wykradzione i upublicznione, muszę pobrać część w/w bazy danych z jakiegoś TOR’owskiego forum. W tym momencie chcąc dochodzić swoich praw i ukarania winnego nienależytej ochrony moich danych, banku, muszę popełnić przestępstwo.
    Moje pytanie jest następujące – jak mogę jako osoba prywatna, bądź firma udowodnić całą tę sytuację, bez popełniania przestępstwa?
    Mam sobie samemu wysłać anonima z dowodami?

    Drogi Niebezpieczniku,
    Macie jakiś pomysł jak zrobić tak, żeby w ogóle móc dochodzić swojego bez utraty głowy?

    Pozdrawiam całą ekipę,
    Michał

  94. Co za firma.
    Nie rozumiem tego “Wpisy nie związane bezpośrednio z tematem usług bankowych z powyższych przyczyn mogą być usuwane.”

    A te wszystkie dyskusje o kradzieży kasy i danych oraz o braku reakcji banku to co niby jest – gadanie na temat konstrukcji bomby atomowej?

    • Ale zauważ, że bank w swoim oświadczeniu nawet nie zająknął się o wycieku danych, a jedynie usiłuje sprowadzić wszystko do “bezpieczeństwa środków finansowych” zdeponowanych na kontach przez klientów. Mając na uwadze sprawę firmy, z której konta w PB zniknęło ponad 30 kafli, całe oświadczenie Plus Banku to jawne kłamstwo w żywe oczy i chamska próba zrobienia ludzi w bambuko.

  95. Dzisiaj kolejny piątek – pojawiła się kolejna porcja danych?

  96. […] z bezpieczeństwem u polskich firm trwa. W kwietniu włamywacz o pseudonimie “Raz” wykradł dane i pieniądze niektórych klientów Plus Banku, potem LOT poinformował o ataku na swoje serwery, a dziś ujawniamy wyciek wrażliwych […]

  97. Macie te bazę ? Możecie mnie sprawdzić czy tam jestem ?

Odpowiadasz na komentarz maciek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: