aktualności

Włamywacz opublikował dane klientów Plus Banku

19
15 czerwca 2015, 09:26 Adam Szymański

We wtorek informowaliśmy o dużym włamaniu do jednego z banków działających w Polsce. Wtedy jeszcze nie ujawniono, o którą instytucję dokładnie chodzi, ale obecnie już jest pewne, że ofiarą przestępcy stał się Plus Bank. Jak twierdzi włamywacz, ma on dostęp do danych osobowych, historii rachunków, czy numerów kart kredytowych. Skradziono też już ponad milion złotych. Wcześniej przestępca nie ujawniał danych klientów, ale niedawno tego typu informacje trafiły do sieci.

Krótko po ujawnieniu pierwszych informacji o włamaniu do czynu tego przyznał się administrator forum ToRepublic działającego w cebulowej sieci. Poprzez wpis pod tytułem „Włamanie do Plusbanku” potwierdził on, o którą instytucję chodzi oraz ujawnił, że to on jest osobą wcześniej podpisującą się jako Razor4. Oprócz tego opisał on swoje działania po przeprowadzeniu włamania. Jak twierdzi sprawca, pierwsza wiadomość z informacją o wykradzeniu danych została wysłana 26-28 marca do członków zarządu banku, Komisji Nadzoru Finansowego, Związku Banków Polskich, GIODO, MasterCard, CERT i UOKiK. Oczywiście działania te miały na celu wywarcie wpływu na Plus Bank, który miał zapłacić za nieujawnianie danych klientów. Wiadomości te jednak zostały zignorowane, nawet pomimo dołączania do nich twardych dowodów.

W związku z tym włamywacz przedstawił na forum swoje ostateczne ultimatum. Jak napisał, jeżeli bank nie chce aby wszystkie dane osobowe zostały opublikowane, musi zapłacić 200 tysięcy złotych przy płatności jednorazowej lub 400 tysięcy złotych w systemie ratalnym 10 x 40 tysięcy. W zamian Razor4 obiecuje nie umieszczać pozyskanych danych w sieci, a także ujawnić sposób ich zdobycia i listę poszkodowanych osób. Potem żądania zmieniono na wpłatę kwoty 200 tysięcy złotych na cel charytatywny. Mimo to Plus Bank stwierdził, że nie będzie negocjował z przestępcami, dlatego włamywacz opublikował pierwszą paczkę danych klientów bankowości elektronicznej.

Pierwsza partia to plik zajmujący około 10 megabajtów, w którym znalazły się dane 500 klientów biznesowych. Ujawniono ich imiona i nazwiska, adresy zamieszkania, adresy mailowe, numery telefonów, listę rachunków wraz z saldami, dane kart płatniczych (numery oraz daty ważności) oraz informacje o ostatnich 50 zawieranych transakcjach. Ponadto Polsilver znany też jako Razor4 opublikował kopię serwera banku, do którego rzekomo miał dostęp od 3 miesięcy. W przypadku dalszego braku reakcji, przestępca zapowiada publikowanie kolejnych informacji raz w tygodniu.

Do tej pory Plus Bank stara się zaprzeczać jakimkolwiek informacjom o włamaniu i sukcesywnie walczy z napływem krytycznych postów kierowanych w jego stronę poprzez Facebooka. Ponadto rzecznicy instytucji zapewniają, że wszystkie dane klientów są bezpieczne. Mimo to sprawa już teraz mocno zainteresowała się Komisja Nadzoru Finansowego.

MichicusekZobacz profil
Poziom ostrzeżenia: 0%
Michicusek2015.06.15, 09:45
34#1
Plus Bank powinien spełnić żądania włamywacza, ponieważ wizerunkowo i tak są spaleni (w życiu bym już nie skorzystał z usług takiego banku), a haker nie żartuje i wrzuca najbardziej wrażliwe dane do sieci (prawnicy co bogatszych klientów, rozszarpią bank na strzępy). Kwota 200k PLN to pikuś, szczególnie, że idzie na cele charytatywne.
vibovitZobacz profil
Poziom ostrzeżenia: 0%
vibovit2015.06.15, 09:49
27#2
W sumie mogą już zwijać interes.
RuthvenZobacz profil
Poziom ostrzeżenia: 0%
Ruthven2015.06.15, 10:00
26#3
Bo od bankowości są normalne banki, a nie przedsiębiorstwo telekomunikacyjne...
Dziwna moda, że każdy chce mieć swój samozwańczy bank to potem takie cyrki się zdarzają.
pu$2ekZobacz profil
Poziom ostrzeżenia: 0%
pu$2ek2015.06.15, 10:01
-19#4
nie dość że złodziej, to jeszcze szantażysta.
Ja popieram bank, afery nie trzeba zamiatać pod dywan, tylko złapać skurczysyna.
dragossaniZobacz profil
Poziom ostrzeżenia: 0%
dragossani2015.06.15, 10:13
42#5
Bank który swój system transakcyjny konfiguruje tak, że komunikaty błędów zawierające hasła do baz danych, lecą wprost do przeglądarki, sam prosi się o kłopoty. Poziom zabezpieczeń żenujący, włamywacz niezauważony, przez trzy miesiące baraszkuje sobie po serwerze, wypłaca sobie kasę, kopiuje dane klientów, kod źródłowy aplikacji transakcyjnej. Następnie brak reakcji na kontakt ze strony włamywacza, ignorowanie pytań, potem gróźb, w końcu realnego wycieku danych. Skala problemu jest już powszechnie znana, skutki katastrofalne, a bank NADAL udaje, że nic się nie stało. Po prostu brak słów...
blabla123Zobacz profil
Poziom ostrzeżenia: 0%
blabla1232015.06.15, 10:17
@up
Z gówna bata nie ukręcisz.
MichicusekZobacz profil
Poziom ostrzeżenia: 0%
Michicusek2015.06.15, 10:37
Ruthven @ 2015.06.15 10:00  Post: 878648
Bo od bankowości są normalne banki, a nie przedsiębiorstwo telekomunikacyjne...
Dziwna moda, że każdy chce mieć swój samozwańczy bank to potem takie cyrki się zdarzają.


Plus Bank to rebrandowany Invest Bank. Banku nie robi się ot tak, trzeba spełnić szereg wymogów prawnych.
ghs2015.06.15, 11:11
się oszczędza na IT to i efekty szybko są widoczne. Pan Ziutek z zespołem outsource w którym rotacja kwartalna sięga 50% dostał polecenie budowy bazy i gui to zbudował. jaka płaca taka praca.

takich banków jak plus jeszcze parę by się znalazło. oczywiście knf będzie badać sprawę ''po'' bo ''przed'' to też u nich jak w plus. zero pracowników znających ten temat w stopniu który by umożliwiał fachową kontrolę. nadzorują tylko własne pensje. że co? że można outsource'ować audyty? :) można. no ale po co w takim razie ma istnieć knf? to w takim razie prezesa, wiceprezesa i resztę bardzo głodnych mordek też można outsourse'ować.
mfukerZobacz profil
Poziom ostrzeżenia: 0%
mfuker2015.06.15, 12:39
Włamywacz opublikował dane klientów Plus Banku

A zlodzieje kwiatow nikomu róży nie wreczyli.
czupa360Zobacz profil
Poziom ostrzeżenia: 0%
czupa3602015.06.15, 14:02
Michicusek @ 2015.06.15 09:45  Post: 878641
Plus Bank powinien spełnić żądania włamywacza, ponieważ wizerunkowo i tak są spaleni (w życiu bym już nie skorzystał z usług takiego banku), a haker nie żartuje i wrzuca najbardziej wrażliwe dane do sieci (prawnicy co bogatszych klientów, rozszarpią bank na strzępy). Kwota 200k PLN to pikuś, szczególnie, że idzie na cele charytatywne.

No pewnie, wtedy naśladowcy tego hakera poczują łatwą kasę i będziesz miał 10 włamów do banków tygodniowo. Ze złodziejami nie wolno się ugadywać.
Jak chce wpłacić kasę na cele charytatywne, to niech zrobi to z własnej kieszeni, podobno ukradł z kont ok. 1mln zł. Tak w ogóle, to najpierw chciał tę kasę dla siebie, a jak bank się do niego wypiął, to zaczął gadać o wpłacie na domy dziecka. Żaden z niego Robin Hood, to zwyczajny oszust.
Zaloguj się, by móc komentować
1