Włamanie do Plus Banku. Dane klientów trafiły do sieci

Haker żąda 200 tysięcy złotych. Co tydzień będzie publikował kolejne informacje.

Obraz
Źródło zdjęć: © Yuri Samoilov / Flickr (CC BY 2.0)

W piątek przed północą na jednym z forów pojawiły się dane 500 klientów Plus Banku. Oprócz podstawowych danych takich jak imię i nazwisko właściciela lub nazwa firmy opublikowane zostały m.in. numery i daty ważności kart płatniczych, salda rachunków i historia transakcji. Co piątek haker będzie publikował kolejne dane, jeśli bank nie spełni jego żądań.

W środę informowaliśmy o włamaniu do Plus Banku, do którego doszło jeszcze w kwietniu. Haker wykorzystując lukę w niezaktualizowanym oprogramowaniu, dokonał ataku na serwery banku. Zapowiadał, że jest w posiadaniu kopii całego serwera banku.

Haker - mimo ujawnienia ataku i części danych - żąda od banku okupu. Twierdzi, że jeśli nie zostanie opłacony, to co piątek będzie ujawniał kolejne paczki z informacjami na temat klientów.

Ile żąda? 200 tys. zł w przypadku jednorazowej transakcji lub 400 tys. zł rozłożonych na raty. Co ciekawe, chce żeby trafiły one na konto dowolnego domu dziecka.

Co na to przedstawiciele banku?

"W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze klientów były i są bezpieczne" - głosi komunikat jaki dzisiaj wystosował Plus Bank.

"Jednocześnie informujemy, że w I kwartale bieżącego roku doszło w PlusBanku do przestępczego ataku grupy hackerów, który został wykryty i zablokowany. Bank po zidentyfikowaniu sposobu działania przestępców niezwłocznie podjął czynności zaradcze zmierzające do wzmocnienia systemów bezpieczeństwa. Dalsze próby cyberataku zostały udaremnione. Żaden z klientów banku nie poniósł uszczerbku finansowego" - czytamy dalej.

Ponadto bank dał do zrozumienia, że nie zamierza prowadzić z hakerem żadnych negocjacji: "Plus Bank stoi na stanowisku, że bezpieczeństwo klientów i reputacja banku stanowią najwyższy priorytet, dlatego też z osobami jawnie łamiącymi porządek prawny, których działania wymierzone są przeciwko bankowi i jego klientom, nie prowadzi żadnych negocjacji."

- Do obowiązków banku należy ochrona danych przed ich udostępnieniem osobom nieupoważnionym - podkreśla mec. Marcin Zadrożny z ODO 24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji. - Złamanie powyższego obowiązku sankcjonowane jest odpowiedzialnością karną.

Sprawa dla prokuratora

Co - zdaniem ekspertów - powinien zrobić Plus Bank, jeśli informacje przekazane przez hakera okażą się prawdziwe? W opinii mec. Marcina Zadrożnego bank, jeśli jeszcze tego nie zrobił, na pewno powinien niezwłocznie zawiadomić prokuraturę o możliwości popełnienia przestępstwa, a także zweryfikować zabezpieczenia i procedury zapewniające ochronę przetwarzanych danych.

"Bank na bieżąco współpracuje z organami ścigania, które od samego początku zajmują się wykryciem i ujęciem przestępców. Jesteśmy przekonani, że twarda postawa banku związana z niepodejmowaniem żadnych prób negocjacji z przestępcami, a także wzmocnienie systemów bezpieczeństwa w dziedzinie prewencji związanej z bezpieczeństwem teleinformatycznym, działania prokuratury i policji oraz pozostałych instytucji, zaprowadzi przestępców w niedługiej perspektywie przed wymiar sprawiedliwości." - zapewnia Plus Bank.

Maciej Kaczmarski, prezes ODO 24, zdecydowanie rekomenduje w tej sytuacji zewnętrzny audyt bezpieczeństwa. - Wygląda na to, że w systemie Plus Banku zawiódł m.in. słaby monitoring zasobów plikowych. W tego typu środowiskach każdy podejrzany plik, a za taki powinien zostać uznany niewiadomego pochodzenia plik java script, który posłużył do przechwycenia danych klientów, powinien zostać natychmiast wychwycony i sprawdzony - tłumaczy Kaczmarski.

Ataki hakerów na Polskę. W cyberwojnie każdy może być celem:

Obraz

Czytaj więcej w Money.pl

Źródło artykułu: money.pl
Wybrane dla Ciebie
UE ostrzega USA. Możliwe działania odwetowe
UE ostrzega USA. Możliwe działania odwetowe
Śledztwo ws. Zondacrypto. Żurek: dwa wątki budzą mój niepokój
Śledztwo ws. Zondacrypto. Żurek: dwa wątki budzą mój niepokój
PPL i CPK na liście kluczowych spółek dla gospodarki. Rząd szykuje zmiany w wykazie
PPL i CPK na liście kluczowych spółek dla gospodarki. Rząd szykuje zmiany w wykazie
Niespodziewany ruch Iraku w sprawie ceny ropy
Niespodziewany ruch Iraku w sprawie ceny ropy
Ruch ograniczony. Oto co się dzieje w cieśninie Ormuz
Ruch ograniczony. Oto co się dzieje w cieśninie Ormuz
Zwolnienia grupowe u wydawcy Onetu, "Faktu" i "Newsweeka". Trwają rozmowy ze związkowcami
Zwolnienia grupowe u wydawcy Onetu, "Faktu" i "Newsweeka". Trwają rozmowy ze związkowcami
Koniec RegioJet w Polsce. Media: Zwolnieni mieli nie dostać odpraw
Koniec RegioJet w Polsce. Media: Zwolnieni mieli nie dostać odpraw
Rachunki za prąd mają być prostsze. Rząd przyjął projekt
Rachunki za prąd mają być prostsze. Rząd przyjął projekt
Rheinmetall wyprzedza USA. Europa zbroi się na potęgę
Rheinmetall wyprzedza USA. Europa zbroi się na potęgę
Chińczycy ostrzą sobie zęby na fabryki Stellantisa w Europie. Rozmowy trwają
Chińczycy ostrzą sobie zęby na fabryki Stellantisa w Europie. Rozmowy trwają
Nowe konta inwestycyjne. Rząd przyjął projekt ustawy
Nowe konta inwestycyjne. Rząd przyjął projekt ustawy
Upadł rząd w Rumunii. W tle duże reformy fiskalne
Upadł rząd w Rumunii. W tle duże reformy fiskalne