Plus Bank pod ostrzałem

Wczoraj osoba pod pseudonimem Razor rozpoczęła publikowanie danych klientów Plus Banku, na którego serwery udało się jej włamać kilka miesięcy temu. Oto wpis Rozora na jednym z for dyskusyjnych:

Jak widać włamywacz żąda w nim, aby Plus Bank wpłacił 200 tysięcy złotych na cel charytatywny. Wcześniej żądał 800 tys. PLN dla siebie. W przeciwnym razie grozi cotygodniowymi publikacjami kolejnych paczek danych, najpierw klientów biznesowych, a następnie indywidualnych. W swoim wpisie umieszcza łącze do pliku, w którym znaleźć możne takie dane jak:

Sprawa jest bardzo poważna. Już teraz można przypuszczać, że pełne dane klientów biznesowych i indywidualnych krążą w świecie przestępczym i mogą zostać wykorzystane nie tylko względem klientów Plus Banku, ale również innych banków, szczególnie jeśli dane mają zawierać szczegóły, którymi klienci banków są identyfikowani i autoryzowani.

Plus Bank dopiero dziś opublikował komentarz w tej sprawie, co oznacza, że bank mimo posiadanej wiedzy o włamaniu nie poinformował swoich klientów o tym wydarzeniu i dopiero opublikowanie danych części klientów Plus Banku sprawiło, że ten fakt został odnotowany i podany do informacji publicznej. Poniżej bardzo ogólny komentarz banku:

Bank bagatelizuje włamanie i jednocześnie uspakaja swoich klientów, że ich środki są bezpieczne. Obawiam się, że problem jest bardziej rozległy, dlatego bank powinien po pierwsze wypłacić odszkodowanie każdemu klientowi oraz zagwarantować, że w przypadku oszustw m.in. w przypadku zaciągania pożyczek i kredytów na dane klienta wszystkie szkody zostaną przez bank pokryte. Oczywiście bank powinien też sfinansować wymianę dowodów osobistych klientów (plus zastrzeżenie w bazach) oraz kart płatniczych i kredytowych. Jak widać z niniejszego przykładu klient powinien mieć świadomość, że bank nie jest instytucją, którą nie da się spenetrować a kradzieże na wąską i szeroką skalę są możliwe i prawdopodobnie mają miejsce tyle tylko, że nie są nagłaśniane, gdyż mogą dotykać pojedyncze osoby i firmy. Nie ma też co liczyć na uczciwość instytucji bankowej. Ba, bank może nie zauważyć tego, że jego wewnętrzna sieć jest penetrowana przez cyberprzestępców i że mogą wykradać wrażliwe dane a następnie okradać konta - tak było w przypadku Plus Banku, do którego sieci haker miał dostęp prawie trzy miesiące zanim bank zorientował się, że coś jest nie tak. Bank zawsze może zwalić winę na użytkownika - pytanie jak klient ma wytłumaczyć, że nie jest wielbłądem? I tutaj przykład z Plus Bankiem w roli głównej.

Z uwagi na to, że to dopiero początek, warto pamiętać o zasadzie, aby w jednym banku nie trzymać więcej pieniędzy niż gwarantowane przez BFG równowartość 100 tys. euro. Warto również powrócić do rozwiązania, w którym identyfikacja klienta banku była obowiązkiem banku i dotyczyło nie jak obecnie tylko rachunku bankowego, ale również nazwy oraz adresu klienta. Wówczas pieniądze byłyby bezpieczniejsze. Czekamy również na reakcję agend państwa w tej sprawie i zaostrzenia bankowych przepisów dotyczących zabezpieczenia danych osobowych będących w posiadaniu banku. Jako ciekawostkę cytuję słowa Przemysława Barbicha ze Związku Banków Polskich, który twierdzi, że: "w walce z hakerami, to banki są górą" i że "Klienci mogą być pewni, że ich danym osobowym także nic nie grozi." Pozostawiam to bez komentarza.