Dalszy ciąg historii włamania na serwery „polskiego banku”. Haker o pseudonimie Razor przyznał się, że pokonał zabezpieczenia PlusBanku i zdobył dane jego klientów. Wczoraj mówił o wyprowadzeniu z banku miliona złotych, teraz chce okupu w wysokości 200 tys. zł. Jeśli bank nie wypłaci, w weekend zacznie upubliczniać dane klientów.
W poniedziałek wieczorem serwis zaufanatrzeciastrona.pl podał, że haker o pseudonimie Razor dokonał włamania na serwery „polskiego banku” i przez kilka tygodni podglądał operacje wykonywane przez klientów. W jego ręce wpadły rzekomo hasła i loginy do bankowości internetowej, historie transakcji kartami, numery tych kart i inne szczegółowe informacje. Podał, że był w stanie podmieniać numery rachunków zdefiniowanych odbiorców i wyprowadził z banku milion złotych. Redaktorzy serwisu poinformowali o całym zajściu bank, ale instytucja ta opóźniała publikację materiału i zaczęła straszyć ich prawnikami. W końcu zaczęli dostawać maile z pogróżkami. Ostatecznie zdecydowali się opisać całe zajście, ale bez podawania nazwy banku.
Wczoraj pojawiły się nowe fakty w tej sprawie. Haker ujawnił nazwę zaatakowanej instytucji. Podał, że włamania dokonał do PlusBanku, a jego list możemy przeczytać m.in. w serwisie wykop.pl. Teraz żąda od banku okupu w wysokości 200 tys. zł. Jeśli bank go nie wypłaci do piątku, zamierza upublicznić informacje klientów w najbliższy weekend. Twierdzi, że kontaktował się z bankiem już kilka tygodni temu, ale jego żądania zostały zignorowane. „Kolejne emaile z dowodami, a nawet smsy bezpośrednio do członków zarządu nie dały nic, kontaktu nie było. Podjąłem inne kroki, takie jak kontakt z: Komisja Nadzoru Finansowego, Związek Banków Polskich, GIODO, Mastercard, CERT, UOKIK” – pisze osoba odpowiedzialna rzekomo za włamanie na serwery PlusBanku.
Za dowód podaje stan konta Tobiasa Solorza, syna Zygmunta Solorza-Żaka, właściciela PlusBanku. Pisze także: „Posiadam dane o kontach od ID 10004 do 91967 lub 10007 do 100503 (bank stosuje dwie numeracje, niektóre konta firmowe maja po 2-3 subkonta) z niewielkimi brakami. Przykładowe dane z jednego konta wyglądają tak jak wyżej załączone pana Solorza, mogą się nieznacznie różnic. Ogólnie nr kont, kwoty transakcji, daty transakcji, tytuły.”
Poprosiliśmy bank o komentarz w tej sprawie. Dostaliśmy jedynie takie lakoniczne zapewnienie:
„W odpowiedzi na przesłane zapytanie, PLUS BANK S.A. informuje, że pieniądze jego klientów były i są bezpieczne. W zakresie szczegółowych danych zawartych w przesłanej korespondencji, z uwagi na obowiązujące regulacje prawne Bank nie jest upoważniony do udostępniania informacji lub udzielania publicznych komentarzy odnoszących się do funkcjonowania zabezpieczeń informatycznych lub dotyczących danych jego klientów. Pragniemy jeszcze raz podkreślić, że środki klientów Banku są bezpieczne, systemy bankowe właściwie zabezpieczone.”
Haker dał bankowi czas do piątku na wypłatę 200 tys. zł. Proponuje też rozłożenie kwoty na 10 rat po 40 tys. zł. Jego zdaniem będzie to dla banku gwarancja, że przez kolejne 10 miesięcy żadne informacje nie wypłyną. Straszy też, że jeśli bank nie pójdzie na ugodę zacznie publikować dane klientów. Nie tylko detalicznych ale także firmowych.
„Wydaje mi się ze niektóre firmy będą mocno wkurzone tym ze wszyscy będą mogli wiedzieć ile im kto płaci i ile płaca oni za usługi czy towary. A konkurencja tych firm – na pewno będzie bardzo zadowolona mogąc poznać szczegółowe kwoty kupna, sprzedaży, usług i na pewno będą mogli zaoferować lepsze kwoty. A poszkodowane firmy? Liczę, że pójdą do sądu, bo wina za wyciek danych i ewentualne straty finansowe i wizerunkowe, leży po stronie Plusbanku i nienależytego zabezpieczenia serwera. Do ok. 15 tys. kont dochodzi jeszcze login i hasło.” – czytamy w opublikowanym oświadczeniu.
Sprawa wygląda niestety nieciekawie. Jeśli jest prawdziwa, to bank ma poważne tarapaty. Z jednej strony naraża się na potężne karty finansowe, z drugiej traci wizerunek solidnej instytucji. Jeśli podejmie negocjacje z cyberszantażystą, mogą pojawić się kolejne groźby i próby wyłudzenia pieniędzy. Jeśli wypłaci pieniądze, będzie to prawdopodobnie rynkowy precedens i zachęta do podejmowania kolejnych prób włamań. W takiej sytuacji jedynym wyjściem wydaje się tylko możliwie szybka i szczera komunikacja z klientami. Choć nie uchroni to zapewne banku przed poważną skazą na wizerunku i odpływem klientów.
Niestety jest też drugi morał tej historii. Do tej pory większość ataków hakerskich nakierowana była na klientów banków i bazowała na różnego rodzaju socjotechnikach i próbach oszustw. Część banków uodporniła klientów na tego typu próby wyłudzenia poufnych informacji, inne wprowadziły dodatkowe zabezpieczenia antyphishingowe. Nie można więc wykluczyć, że obserwujemy początek nowego zjawiska – próby ataków bezpośrednio na systemy bankowe. Do tej pory banki przekonywały nas, że stosowane przez nich zabezpieczenia należą do najlepszych na świecie. Jeśli opisywany przez serwis zaufanatrzeciastrona.pl przypadek włamania jest rzeczywiście prawdziwy, może to nadwyrężyć wizerunek nie tylko jednego banku, ale całej branży.
Hakerzy atakują banki. Straty nawet do 1 mld zł rocznie
// „, link: „http://bankier.tv/hakerzy-atakuja-banki-straty-nawet-do-1-mld-zl-rocznie-16404.html”} }, width: „500”, image: „http://bankier.tv/s/i/video_image/n/8608.jpg”, skin: „http://bankier.tv/s/player/btv.zip” }); // ]]>