Plus Bank w tarapatach. Haker kradnie dane osobowe?
2015-06-12 14:46
Nastąpiło włamanie na serwery jednego z polskich banków © frank peters - Fotolia.com
Przeczytaj także: KNF ostrzega przed cyberatakami na banki
Włamanie miało nastąpić na początku tego roku, ale sprawa została nagłośniona dopiero za sprawą publikacji serwisu Zaufanatrzeciastrona.pl. Z relacji portalu wynika, że w kwietniu br. z portalem skontaktowała się osoba, która twierdziła, że wykorzystując lukę w niezaktualizowanym oprogramowaniu, dokonała udanego ataku na serwery jednego z banków. Pojawia się więc poważne pytanie, czy bank w należyty sposób zabezpieczył dane swoich klientów.Haker twierdzi, że w ciągu tygodnia, poza danymi, ukradł również kilkaset tysięcy złotych. Odkrył bowiem, jak twierdzi, poważny błąd w systemie autoryzacji przelewów.
Jeżeli powyższa informacja okaże się prawdziwa, należy negatywnie ocenić postawę banku, który chroniąc swój wizerunek nie poinformował o sprawie swoich klientów – ocenia mec. Marcin Zadrożny z ODO 24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji.
Sprawa jest rozwojowa. 9 czerwca haker opublikował w internecie list otwarty, w którym ujawnił nazwę zaatakowanego banku (Puls Bank), a także zażądał od niego okupu w wysokości 200 tys. zł za nieujawnienie danych klientów. W sytuacji gdy bank nie zapłaci, haker grozi ujawnieniem danych już w najbliższy weekend.
Plus Bank powyższych informacji jednoznacznie nie potwierdza, ale też im nie zaprzecza. Sprawę próbował wyjaśnić m.in. portal Money.pl. W odpowiedzi na zapytanie dziennikarza portalu rzecznik prasowy banku, Mikołaj Jabłoński, udzielił następującej odpowiedzi:
W odpowiedzi na przesłane zapytanie, PLUS BANK S.A. informuje, że pieniądze jego klientów były i są bezpieczne. W zakresie szczegółowych danych zawartych w przesłanej korespondencji, z uwagi na obowiązujące regulacje prawne Bank nie jest upoważniony do udostępniania informacji lub udzielania publicznych komentarzy odnoszących się do funkcjonowania zabezpieczeń informatycznych lub dotyczących danych jego klientów. Pragniemy jeszcze raz podkreślić, że środki klientów Banku są bezpieczne, systemy bankowe właściwie zabezpieczone.
fot. frank peters - Fotolia.com
Nastąpiło włamanie na serwery jednego z polskich banków
Należy jednak zaznaczyć, iż bank jest administratorem danych osobowych swoich klientów, a więc odpowiada nie tylko za zgromadzone na kontach pieniądze, ale też za właściwe zabezpieczenie danych.
Do obowiązków banku należy ochrona danych przed ich udostępnieniem osobom nieupoważnionym - tłumaczy mec. Marcin Zadrożny.Ustawowy obowiązek ochrony danych osobowych zawarty został w art. 36 ust. 1 Ustawy o ochronie danych osobowych. Zgodnie z nim administrator danych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Złamanie powyższego obowiązku sankcjonowane jest odpowiedzialnością karną – precyzuje.
Co, zdaniem ekspertów, powinien zrobić Plus Bank, jeśli informacje przekazane przez Razora4, okażą się prawdziwe? W opinii mec. Marcina Zadrożnego bank, jeśli jeszcze tego nie zrobił, na pewno powinien niezwłocznie zawiadomić prokuraturę o możliwości popełnienia przestępstwa, a także zweryfikować zabezpieczenia i procedury zapewniające ochronę przetwarzanych danych. Maciej Kaczmarski, prezes ODO 24, zdecydowanie rekomenduje w tej sytuacji zewnętrzny audyt bezpieczeństwa połączony z zaawansowanymi testami penetracyjnymi całego środowiska – z wewnątrz i zewnątrz. Wygląda bowiem na to, że w systemie Plus Banku zawiódł m.in. słaby monitoring zasobów plikowych.
W tego typu środowiskach każdy podejrzany plik, a za taki powinien zostać uznany niewiadomego pochodzenia plik java script, który posłużył do przechwycenia danych klientów, powinien zostać natychmiast wychwycony i sprawdzony – tłumaczy Maciej Kaczmarski.
Wygląda na to, że bank znalazł się w bardzo trudnej sytuacji. Zapłacenie okupu w oczywisty sposób wiąże się z dużym ryzykiem dalszego szantażu. Co więcej, taki precedens może spowodować lawinę ataków hakerskich na inne instytucje bankowe, które potencjalnie mogą być skłonne do zapłaty za odstąpienie od upublicznienia wykradzionych danych. Brak zapłaty będzie jednak najprawdopodobniej jednoznaczny z ujawnieniem przez hakera danych klientów banku. Będzie to miało ogromy wpływ na jego wizerunek, a także może się wiązać z licznymi pozwami odszkodowawczymi.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (1)
-
Ebrow / 2015-06-15 09:27:50
Mam nadzieję, że policja poważnie weźmie się za tę sprawę i szybko ujmie przestępce, prokuratura postawi go przed sądem z poważnymi zarzutami i koleś pójdzie siedzieć na wiele lat, żeby dać przykład i ostudzić zapał jego kolegów po fachu. Nie możemy dać się terroryzować anonimowym jednostkom. [ odpowiedz ] [ cytuj ]