Ataki na klientów Plus Banku: skradzione dane tysięcy osób i kolejne fakty

Ataki na klientów Plus Banku: skradzione dane tysięcy osób i kolejne fakty15.06.2015 17:22

W ostatnim czasie doszło do jednego z największych ataków na klientów polskich banków w historii. Zarówno liczba klientów, których bezpieczeństwo danych i finanse zostały narażone na szkodę oraz zwroty w akcji w całej historii godne są przeanalizowania. Zwłaszcza, że najpewniej to jeszcze nie koniec niebezpieczeństwa.

10 kwietnia tego roku eksperci Zaufanej Trzeciej Strony otrzymali po raz pierwszy maila od hakera przedstawiającego się jako razor4. Informował on, że posiada dostęp do obszernej bazy danych polskich użytkowników bankowości elektronicznej. W załączniku przesłał dane zawierające między innymi informacje o kartach płatniczych i adresy stu klientów jednego z polskich banków. Na stwierdzenie takiego stanu rzeczy Zaufanej Trzeciej Stronie pozwoliły identyfikatory IBAN sugerujące, że dane pochodzą z systemu jednego z polskich banków. Po skontaktowaniu się z przedstawicielami banku, ZTS udało się ustalić, że firmie fakt ataków jest znany, oraz że razor4 chce uzyskać okup za odstąpienie od opublikowania zdobytych danych.

Razor4 po raz drugi skontaktował się z blogerami z Zaufanej Trzeciej Strony, tym razem szerzej zapoznając ich ze swoimi działaniami w ciągu ostatnich miesięcy. Otóż haker utrzymywał, że dostęp do danych uzyskał już na początku roku, w związku niedopatrzeniami banku w zakresie aktualizacji oprogramowania. Dzięki zmodyfikowaniu strony banku, mógł on zmieniać numery rachunków, na które miały zostać przesyłane środki. W ten sposób w ciągu kilku dni miał on nielegalnie wzbogacić się o kilkaset tysięcy złotych. Zarówno skrypt, który miał posłużyć razorowi4 do pozyskania środków, jak i nadesłane przez niego dowody zostały przez Zaufaną Trzecią Stronę uznane za wiarygodne.

Wkrótce haker odnalazł kolejną podatność systemów banku na atak. W chwili dodania adresata przelewu na listę zaufanych odbiorców, możliwe było dokonanie przelewu przez klienta trzeciego bez konieczności autoryzacji za pomocą kodu SMS. W ten sposób razor4 miał niemal w całości skraść środki przechowywane na jednym z kont, w wysokości niemal 700 tysięcy złotych. Ponadto hacker załączył w mailu do Zaufanej Trzeciej Strony opisy innych kradzieży oraz dane tysięcy klientów. Autorzy bloga potwierdzają wiarygodność nadesłanych przez niego dowodów.

ZTS doczekała się także odpowiedzi od banku, który potwierdził próby ataków, jednak stwierdził, że bezpieczeństwo klientów nie jest zagrożone. Ponadto zawiadomione miały zostać odpowiednie organy będące już na tropie włamywacza. Zbliżał się jednak ustalony z bankiem termin publikacji wieści na temat ataków na łamach Zaufanej Trzeciej Strony. Krótko przed nią redaktorzy otrzymali wezwanie do odstąpienia od bezprawnego rozpowszechniania informacji dotyczących skutków prób ataków hakerskich na system teleinformatyczny Banku, a także – poprzez formularz kontaktowy dostępny na stronie – pogróżki.

Artykuł został opublikowany 8 czerwca. Zaledwie dzień później znana stała się lepiej tożsamość włamywacza. Na forum ToRepublic w sieci Tor został bowiem opublikowany wątek Włamanie do Plusbanku. Na jego łamach do przeprowadzenia ataku przyznał się administrator ToRepublic o pseudonimie Polsilver. Według Zaufanej Trzeciej Strony opublikowane w wątku informacje pozwalają stwierdzić, że Polsilver i razor4 to ta sama osoba.

Opublikowane zostały nie tylko kolejne dane, ale także bardziej szczegółowa historia ataku opisywana z punktu widzenia jego inicjatora. Według niego pierwsze informacje o włamaniu zostały przedstawione osobom sprawującym najważniejsze funkcje w Plus Banku już pod koniec marca. Jednocześnie otrzymały go między innymi także przedstawiciele MasterCard, Urzędu Ochrony Konkurencji czy Komisja Nadzoru Finansowego. Sprawą wykazała zainteresowanie tylko ta ostatnia instytucja. We wpisie zostały także opublikowane żądania Polsilvera – za odstąpienie od dalszego publikowania danych klientów hacker zażądał jednorazowego okupu w wysokości 200 tysięcy złotych bądź 40 tysięcy złotych wypłacanych przez dziesięć kolejnych miesięcy. Według niego oferta była uczciwa, gdyż biorąc pod uwagę liczbę klientów, których dane zdobył, za każdego z nich bank zapłaciłby w takim scenariuszu 2,50 zł. Na odpowiedź Plus Bank miał czas do 12 czerwca.

Nie udzielił jej. Polsilver krótko po upływie terminu spełnił swoją obietnice utrzymując, że okupu nie otrzymał. Na ToRepublic zostały zatem przez niego opublikowane szczegółowe dane 500 klientów łącznie z historią transakcji, adresami danymi kart płatniczych. W poście zostały także opublikowane nowe żądania – kwota w wysokości 200 tysięcy złotych miała zostać przelana na konto organizacji zajmującej się dobroczynnością. Dzień później pojawił się komunikat Plus Banku w tej sprawie:

W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze Klientów PlusBanku były i są bezpieczne. Jednocześnie informujemy, że w I kwartale bieżącego roku doszło w PlusBanku do przestępczego ataku grupy hackerów, który został wykryty i zablokowany. (…) Dalsze próby cyberataku zostały udaremnione. Żaden z Klientów Banku nie poniósł uszczerbku finansowego.

Informacje zawarte w komunikacie stoją w sprzeczności z ustaleniami ekspertów Zaufanej Trzeciej Strony oraz anonimowych przedstawicieli firmy, którzy deklarują, że w wyniku działalności Polsilvera stracili 35 tysięcy złotych. Zapewne w najbliższych dniach pojawią się nowe fakty w sprawie ataku na Plus Bank, o których będziemy informować.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na