Atak na Plus Bank. To nie pieniądze są najważniejsze. Stracić można znacznie więcej

Nic się nie stało, klienci, nic się nie stało... A może jednak się stało? Z wyciekami wszelakich danych mamy do czynienia nie od dziś. Tyle tylko, że dotychczas mówiliśmy głównie o forach i sieciach społecznościowych. Teraz przyszedł czas na bankowość elektroniczną. W Polsce. I swoistą zmowę milczenia, byle zachować twarz.

Nikt chyba nie ma wątpliwości, że pieniądze rządzą światem. Wiele osób jest w stanie zrobić dla nich wszystko lub prawie wszystko. Dlatego też wszyscy dokładają starań, by były one jak najlepiej chronione. Nie jest to jednak takie łatwe w czasach, w których do Internetu podłącza się już niemal wszystko, poza szafkami kuchennymi i panelami podłogowymi. Przekonali się o tym już użytkownicy m.in. LinkedIna, Yahoo, Dropboxa czy Sony. Teraz do tego grona dołączają kolejni i nie byłoby w tym nic szokującego gdyby nie fakt, że tym razem mówimy o klientach banku i kradzieży danych znacznie bardziej wrażliwych niż fotki z wakacji czy posty na facebookowej osi czasu.

Tym razem jednak mamy do czynienia ze swoistą zmową milczenia. O ile o wycieku danych społecznościówek i producentów elektroniki można było przeczytać na stronach głównych największych serwisów, o tyle wpisy o włamaniu na serwery Plus Banku giną wśród natłoku sensacyjnych doniesień na temat parad równości czy zestawień prezenterek rozbierających się dla drużyn piłkarskich. Na szczęście pozostają serwisy branżowe takie jak Niebezpiecznik czy Zaufana Trzecia Strona, które bez ogródek relacjonują tę tragifarsę, którą bank i instytucje usiłują zamieść pod dywan twierdząc, że nic się nie stało, a dane i pieniądze klientów są bezpieczne.

I owszem, może pieniądze i są bezpieczne, ostatecznie istnieją Bankowy Fundusz Gwarancyjny, wszelakie ubezpieczenia, a i sam bank może z własnej kieszeni pokryć straty, jak to prawdopodobnie miało miejsce teraz. Sęk w tym, że, paradoksalnie, nie pieniądze są tu najważniejsze. Haker, dogłębnie spenetrował system informatyczny banku i wszedł w posiadanie zarówno plików webserwera, jak i danych klientów, takich jak:

• Imiona i nazwiska, adresy zamieszkania i e-mail;
• Numery PESEL i dowodów tożsamości;
• Dane kart płatniczych i kredytowych;
• Informacje o kredytach i lokatach;
• Historie operacji.

Krótko mówiąc, klientom Plus Banku można współczuć, gdyż ich sytuacja nie jest godna pozazdroszczenia. Strat finansowych może nie ponieśli, ale nietrudno się domyślić, że to dopiero początek. Numerów PESEL, miejsc zamieszkania czy dowodów tożsamości nie da się zmienić tak, jak haseł dostępu czy adresów e-mail. Dziwi więc fakt, że wszyscy nabrali wody w usta i zamiast niezwłocznie przestrzec klientów i zarządzić porządny audyt twierdzili, że problemu nie ma, a w wojnie hakerzy kontra bank, to instytucja zaufania publicznego jest górą. Takie zapewnienia, m.in. przedstawicieli ZBP, można było czytać jeszcze niedawno.

Teraz, po publikacji danych 500 klientów biznesowych, te oświadczenia brzmią co najmniej śmiesznie (choć klientom wcale do śmiechu raczej nie jest). Sprawę, mimo, że haker próbował zwrócić uwagę na problem w zabezpieczeniach systemu bankowego, zbagatelizowali wszyscy - Komisja Nadzoru Finansowego, GIODO, CERT, UOKIK, MasterCard i Związek Banków Polskich. Ultimatum włamywacza, który w zamian za 200 000 zł miał nie publikować danych i, dodatkowo, pomóc w załataniu luk bezpieczeństwa, zostało zignorowane. Z przestępcami przecież się nie negocjuje, problem nie istnieje, a dane i środki klientów są bezpieczne.

Jak się okazuje środki może tak (straty można zrekompensować), dane zaś na pewno nie, a sprawa nie jest, jak twierdzi bank "wydarzeniem historycznym". W dalszym ciągu Plus Bank nie odniósł się do kwestii kradzieży i upublicznienia danych osobowych klientów. W oświadczeniu banku pada jedynie stwierdzenie, że "doszło do przestępczego ataku grupy hakerów, który został wykryty i zablokowany". Jeśli pojedynczego hakera uznamy za grupę, a udaremnienie jego działalności po 3 miesiącach natychmiastowym, to może nawet rzeczywiście tak jest. Szkoda tylko, że dla klientów nie ma znaczenia ile osób dokonało włamania, ani jak długo mogli penetrować systemy IT banku.

Mleko się rozlało, dane najprawdopodobniej zostały wykradzione, a skutki mogą być opłakane. Konkurencyjne firmy pewnie dowiedzą się co nieco na temat swoich zleceń i kondycji finansowej, a nazwiska bez problemu zostaną powiązane z kwotami. To realnie godzi w bezpieczeństwo i stabilizację osób i firm. Na Facebooku natomiast padają jedynie zapewnienia, że to już było, a pieniądze są bezpieczne. Pytania o bezpieczeństwo danych są konsekwentnie ignorowane, problematyczne posty kasowane, użytkownicy banowani, a w Sieci pojawiają się artykuły wychwalające skuteczność naszych organów ścigania i statystyki z aresztowań cyberprzestępców.

Istnieje, rzecz jasna, szansa, że upublicznione dane nie są prawdziwe. Biorąc jednak pod uwagę reakcje stosownych instytucji, na miejscu klientów Plus Banku, nie czekałbym na uspokajający komentarz rzecznika, lecz od razu: zastrzegł swoje karty, przejrzał zdefiniowanych (zwłaszcza zaufanych) odbiorców, listę zleceń stałych i, przede wszystkim, zmienił hasła. Piszę o hasłach w liczbie mnogiej, gdyż większość ludzi stosuje jedno wszędzie. Muszą oni zatem uwzględnić też konta pocztowe i wszelkie serwisy internetowe i w przyszłości wysilić się na co najmniej kilka złożonych haseł.

Osobiście współczuję wszystkim potencjalnym poszkodowanym, których bezpieczeństwo może być zagrożone. Od banku oczekuje się nie tylko najwyższego poziomu bezpieczeństwa, lecz także zdecydowanego działania i rzetelnej informacji o sytuacji. Jeśli klient ma powód do zastrzeżenia karty lub wymiany paszportu, to powinien o tym wiedzieć. Zapewnienia, że jego środki są bezpieczne, bo w razie czego ktoś przeleje mu brakującą sumę? To się dzieje naprawdę? W obliczu tego, na co klienci są narażeni, dla wielu takie zapewnienie jest niemal bez znaczenia, nie wspominając o tym, że chyba nikt nie wyobraża sobie by mogło być inaczej.

Sceptycy pewnie od razu stwierdzą, że gotówkę należy trzymać w skarpecie, a dane w sejfie. Cóż, nie da się ukryć, że można i tak. Niemniej jednak trzeba też zwrócić uwagę na to, że jest to prawdopodobnie pierwsze tak poważne naruszenie systemów bezpieczeństwa banku w Polsce. W kraju, gdzie bankowość elektroniczna działa od dwóch dekad, a mobilna od ponad 10 lat. Nie należy zatem popadać w paranoję, lecz wyciągnąć wnioski. I mówię tu głównie o instytucjach, które nie czują potrzeby inwestowania w specjalistów IT, audyty i aktualny soft, a po fakcie twierdzą, że nic się nie stało, bo kasa się zgadza...

PS. Plus Bank szuka administratorów. Jacyś chętni?

Jak się okazuje, środki klientów także nie są, wbrew zapewnieniom Plus Banku, bezpieczne. Jedna z poszkodowanych firm, pośrednicząca w płatnościach, w wyniku nieautoryzowanych ingerencji w przelewy wewnętrzne zrealizowała zamówienia na kwotę 35 000 zł. Ponadto do rachunku firmy dopisał się nowy, nieznany jej pełnomocnik, którego usunąć udało się dopiero w oddziale. Złożone ponad miesiąc temu reklamacje nie zostały przez Plus Bank rozpatrzone. Wygląda na to, że poszkodowana firma będzie musiała dochodzić swoich praw na drodze sądowej...

Esencję do niniejszego wpisu czerpałem z serwisów:

Niebezpiecznik (1), (2)

Zaufana Trzecia Strona (1), (2)

Wyborcza (1), (2)

Profil Plus Banku na Facebooku