W piątek przed północą na jednym z forów pojawiły się dane 500 klientów Plus Banku. Oprócz podstawowych danych takich jak imię i nazwisko właściciela lub nazwa firmy opublikowane zostały m.in. numery i daty ważności kart płatniczych, salda rachunków i historia transakcji. Co piątek haker będzie publikował kolejne dane, jeśli bank nie spełni jego żądań.
W środę informowaliśmy o włamaniu do Plus Banku, do którego doszło jeszcze w kwietniu. Haker wykorzystując lukę w niezaktualizowanym oprogramowaniu, dokonał ataku na serwery banku. Zapowiadał, że jest w posiadaniu kopii całego serwera banku.
Haker - mimo ujawnienia ataku i części danych - żąda od banku okupu. Twierdzi, że jeśli nie zostanie opłacony, to co piątek będzie ujawniał kolejne paczki z informacjami na temat klientów.
Ile żąda? 200 tys. zł w przypadku jednorazowej transakcji lub 400 tys. zł rozłożonych na raty. Co ciekawe, chce żeby trafiły one na konto dowolnego domu dziecka.
Co na to przedstawiciele banku?
"W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze klientów były i są bezpieczne" - głosi komunikat jaki dzisiaj wystosował Plus Bank.
"Jednocześnie informujemy, że w I kwartale bieżącego roku doszło w PlusBanku do przestępczego ataku grupy hackerów, który został wykryty i zablokowany. Bank po zidentyfikowaniu sposobu działania przestępców niezwłocznie podjął czynności zaradcze zmierzające do wzmocnienia systemów bezpieczeństwa. Dalsze próby cyberataku zostały udaremnione. Żaden z klientów banku nie poniósł uszczerbku finansowego" - czytamy dalej.
Ponadto bank dał do zrozumienia, że nie zamierza prowadzić z hakerem żadnych negocjacji: "Plus Bank stoi na stanowisku, że bezpieczeństwo klientów i reputacja banku stanowią najwyższy priorytet, dlatego też z osobami jawnie łamiącymi porządek prawny, których działania wymierzone są przeciwko bankowi i jego klientom, nie prowadzi żadnych negocjacji."
- Do obowiązków banku należy ochrona danych przed ich udostępnieniem osobom nieupoważnionym - podkreśla mec. Marcin Zadrożny z ODO 24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji. - Złamanie powyższego obowiązku sankcjonowane jest odpowiedzialnością karną.
Sprawa dla prokuratora
Co - zdaniem ekspertów - powinien zrobić Plus Bank, jeśli informacje przekazane przez hakera okażą się prawdziwe? W opinii mec. Marcina Zadrożnego bank, jeśli jeszcze tego nie zrobił, na pewno powinien niezwłocznie zawiadomić prokuraturę o możliwości popełnienia przestępstwa, a także zweryfikować zabezpieczenia i procedury zapewniające ochronę przetwarzanych danych.
"Bank na bieżąco współpracuje z organami ścigania, które od samego początku zajmują się wykryciem i ujęciem przestępców. Jesteśmy przekonani, że twarda postawa banku związana z niepodejmowaniem żadnych prób negocjacji z przestępcami, a także wzmocnienie systemów bezpieczeństwa w dziedzinie prewencji związanej z bezpieczeństwem teleinformatycznym, działania prokuratury i policji oraz pozostałych instytucji, zaprowadzi przestępców w niedługiej perspektywie przed wymiar sprawiedliwości." - zapewnia Plus Bank.
Maciej Kaczmarski, prezes ODO 24, zdecydowanie rekomenduje w tej sytuacji zewnętrzny audyt bezpieczeństwa. - Wygląda na to, że w systemie Plus Banku zawiódł m.in. słaby monitoring zasobów plikowych. W tego typu środowiskach każdy podejrzany plik, a za taki powinien zostać uznany niewiadomego pochodzenia plik java script, który posłużył do przechwycenia danych klientów, powinien zostać natychmiast wychwycony i sprawdzony - tłumaczy Kaczmarski.
Ataki hakerów na Polskę. W cyberwojnie każdy może być celem:
Czytaj więcej w Money.pl