poniedziałek, 15 czerwca 2015

Hackerski atak na PlusBank i wiarygodność sektora bankowego

Nie wiem czy wszyscy wiedzą, w internecie dużo się pisze na temat ataku hackerskiego na Plus Bank, ale media "głównego nurtu" kompletnie ignorują temat. Moim zdaniem niesłusznie.

Nie chcę rozpisywać się o całej historii. Możecie poczytać tutaj.

W dużym skrócie: hacker włamał się na serwery banku i wykradł dane klientów. Kiedy bank nie spełnił żądania okupu, haker zaczął publikować dane klientów w sieci. Problem polega na tym, że w rękach niepowołanych znalazły się dane bardzo wrażliwe, wszystkie te których używamy zazwyczaj do autoryzowania się w bankach plus dodatkowo dane o historii przepływów na rachunkach.

Dla mnie jest to kompromitacja banku. Bo nawet jeśli ktokolwiek mógł uzyskać w sposób nieautoryzowany kopię danych z serwera banku, to dane te powinny zostać zaszyfrowane. Wygląda na to, że nie były. A to źle, bo oznacza, że banki jako instytucje zbyt lekce sobie ważą poufne dane klientów. 

Dla mnie takie dane jak historia przelewów są na tyle poufne, że nie dzielę się nimi z byle kim. Taka sytuacja jak ta z Plus Bankiem, gdybym był ich klientem, sprawiłaby, że długo bym tam konta nie trzymał. Wycofałbym z stamtąd swoje pieniądze natychmiast, niezależnie od zapewnień banku o tym, jakoby mimo wszystko nadal były "bezpieczne". Bo nie tylko o bezpieczeństwo tu chodzi, ale zaufanie.

Ciekawie napisał o tym M. Samcik na swoim blogu. Banki już i tak wiele straciły ze swojego wizerunku "instytucji zaufania publicznego". Moim zdaniem cała ta afera może (i powinna) zmienić sposób ich postrzegania.Wydaje mi się, że zaufanie do systemu bankowego jest jednym z jego fundamentów. Zaufania nie da się kupić i odbudować gdy się je utraci. Myślę, też że banki (w sumie jako całość sektora), bardzo boją się tego co może się dziać gdyby to zaufanie spadało.

Moim zdaniem media nie relacjonują tej sprawy także ze strachu. Boją się paniki? Niedobrze się dzieje, bo o tej sprawie się powinno pisać więcej. Właśnie po to by sektor bankowy poczuł presję na szybkie znalezienie skutecznych rozwiązań. Po co trzymać pieniądze w bankach skoro nie są w stanie chronić moich danych jako klienta? Każdy z nas może powinien zadawać sobie to pytanie. Powinien - po to aby w swoich wyborach brać pod uwagę taki czynnik zaufania do instytucji finansowej. 

To co się odbywa na razie to odwracanie się plecami ("to nie nasz bank ma problem") i zamiatanie sprawy pod dywan przez głównego zainteresowanego. Wprawdzie Plus Bank deklaruje, że współpracuje z KNF i Związkiem Banków polskich oraz organami ścigania, ale brakuje mi tu szczerego przyznania się do winy, żalu za grzechy i postanowienia poprawy. Zaś ZBP powinien nałożyć na cały sektor swoistą pokutę. Banki, moim zdaniem, powinny szybko przeprowadzić niezależne audyty bezpieczeństwa i podnieść standardy ochrony danych klientów. Powinny zadeklarować pełną transparentność swoich działań i wdrożyć systemowe regulacje żeby przeciwdziałać takim problemom.




PS. Dla zainteresowanych polecam lekturę na ten temat na portalu zaufanatrzeciastrona.pl "Włamywacz spełnił groźbę i publikuje dane klientów Plus Banku"


PS2. Wygląda na to, że zabezpieczenia Plus Banku mają więcej dziur niż mogłoby się wydawać na pierwszy rzut oka. Jak czytamy na portalu zaufanatrzeciastrona.pl "Jeden z klientów Plus Banku, duża firma zajmująca się pośredniczeniem w płatnościach, została w bardzo sprytny sposób okradziona przez włamywaczy. Niestety do tej pory firma nie otrzymała zwrotu skradzionych środków.", ponadto "Na deser chcieliśmy poinformować, że w sieci ciągle, kilka miesięcy po włamaniu, są publicznie dostępne dwa serwery należące najwyraźniej do firmy, która jest autorem witryny WWW Plus Banku, przeznaczone do prac nad tą witryną. Na serwerach tych można znaleźć zarówno kopię produkcyjną strony (obecnie wyświetlającą komunikat o błędzie wraz z loginem i hasłem do bazy danych) oraz wersję deweloperską. Gratulujemy.", czy tylko mnie to przeraża czy Was także? Uważacie że Wasze pieniądze są w bankach bezpieczne przy takim poziomie ignorancji jeśli chodzi o podstawowe zabezpieczenia? Więcej tu.

4 komentarze :

Anonimowy  pisze...

Bardzo ciekawy artykuł.

Anonimowy  pisze...

Napisałeś "Dla zainteresowanych polecam lekturę na ten temat na portalu zaufanatrzeciastrona" - co ciekawe w tej całej aferze w dziesiątkach komentarzy pojawia się podobne polecenie.
To jedyny wygrany w tej sprawie...
Ale nawet pomijając ten przypadkowy wątek reklamowy zabawny jest fakt że Pan Adaś to admin trzeciejstrony i jest jednocześnie od 10 lat odpowiedzialny za bezpieczeństwo sieci w UPC a o ile pamiętam w ubiegłym roku UPC przepraszało bo wykradziono dane osobowe klientów UPC i sprzedawano w sieci :)
Faktycznie eksperci :p

Urszula pisze...

I całe szczęście, że wybrałem inny bank

Blogerka pisze...

Ciekawy i bardzo pożyteczny blog, zapraszam do zamieszczenia go na mojej platformie, bo jest tego wart. Rejestracja zajmie chwile i jest bezpłatna.

Prześlij komentarz

Komentarze na blogu są moderowane. Zastrzegam sobie prawo do zablokowania komentarza bez podania przyczyn. Komentarze zawierające linki wyglądające na reklamowe lub pozycjonujące - nie będą publikowane.

-->