2015-06-12 | Haker żąda okupu – dane osobowe klientów banku zagrożone!

Haker żąda okupu – dane osobowe klientów banku zagrożone!

Włamanie miało nastąpić na początku tego roku, ale sprawa została nagłośniona dopiero za sprawą publikacji serwisu Zaufanatrzeciastrona.pl. Z  relacji portalu wynika, że w kwietniu br. z portalem skontaktowała się osoba, która twierdziła, że wykorzystując lukę w niezaktualizowanym oprogramowaniu, dokonała udanego ataku na serwery jednego z banków. Pojawia się więc poważne pytanie, czy bank w należyty sposób zabezpieczył dane swoich klientów.

Haker twierdzi, że w ciągu tygodnia, poza danymi, ukradł również kilkaset tysięcy złotych. Odkrył bowiem, jak twierdzi, poważny błąd w systemie autoryzacji przelewów. Jeżeli powyższa informacja okaże się prawdziwa, należy negatywnie ocenić postawę banku, który chroniąc swój wizerunek nie poinformował o sprawie swoich klientów – ocenia mec. Marcin Zadrożny z ODO 24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji.

Sprawa jest rozwojowa. 9 czerwca haker opublikował w internecie list otwarty, w którym ujawnił nazwę zaatakowanego banku (Puls Bank), a także zażądał od niego okupu w wysokości 200 tys. zł za nieujawnienie danych klientów. W sytuacji gdy bank nie zapłaci, haker grozi ujawnieniem danych już w najbliższy weekend.

Plus Bank powyższych informacji jednoznacznie nie potwierdza, ale też im nie zaprzecza. Sprawę próbował  wyjaśnić m.in. portal Money.pl. W odpowiedzi na zapytanie dziennikarza portalu rzecznik prasowy banku, Mikołaj Jabłoński, udzielił następującej odpowiedzi:

W odpowiedzi na przesłane zapytanie, PLUS BANK S.A. informuje, że pieniądze jego klientów były i są bezpieczne. W zakresie szczegółowych danych zawartych w przesłanej korespondencji, z uwagi na obowiązujące regulacje prawne Bank nie jest upoważniony do udostępniania informacji lub udzielania publicznych komentarzy odnoszących się do funkcjonowania zabezpieczeń informatycznych lub dotyczących danych jego klientów. Pragniemy jeszcze raz podkreślić, że środki klientów Banku są bezpieczne, systemy bankowe właściwie zabezpieczone.

Należy jednak zaznaczyć, iż bank jest administratorem danych osobowych swoich klientów, a więc odpowiada nie tylko za zgromadzone na kontach pieniądze, ale też za właściwe zabezpieczenie danych. Do obowiązków banku należy ochrona danych przed ich udostępnieniem osobom nieupoważnionym - tłumaczy mec. Marcin Zadrożny. Ustawowy obowiązek ochrony danych osobowych zawarty został w art. 36 ust. 1 Ustawy o ochronie danych osobowych. Zgodnie z nim administrator danych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Złamanie powyższego obowiązku sankcjonowane jest odpowiedzialnością karną – precyzuje.

Co, zdaniem ekspertów, powinien zrobić Plus Bank, jeśli informacje przekazane przez Razora4, okażą się prawdziwe? W opinii mec.  Marcina Zadrożnego bank, jeśli jeszcze tego nie zrobił, na pewno powinien niezwłocznie zawiadomić prokuraturę o możliwości popełnienia przestępstwa, a także zweryfikować zabezpieczenia i procedury zapewniające ochronę przetwarzanych danych. Maciej Kaczmarski, prezes ODO 24, zdecydowanie rekomenduje w tej sytuacji zewnętrzny audyt bezpieczeństwa połączony z zaawansowanymi testami penetracyjnymi całego środowiska – z wewnątrz i zewnątrz. Wygląda bowiem na to, że w systemie Plus Banku zawiódł m.in. słaby monitoring zasobów plikowych. W tego typu środowiskach każdy podejrzany plik, a za taki powinien zostać uznany niewiadomego pochodzenia plik java script, który posłużył do przechwycenia danych klientów, powinien zostać natychmiast wychwycony i sprawdzony – tłumaczy Maciej Kaczmarski.

Wygląda na to, że bank  znalazł się  w bardzo trudnej sytuacji. Zapłacenie okupu w oczywisty sposób wiąże się z dużym ryzykiem dalszego szantażu. Co więcej, taki precedens może spowodować lawinę ataków hakerskich na inne instytucje bankowe, które potencjalnie mogą być skłonne do zapłaty za odstąpienie od upublicznienia wykradzionych danych. Brak zapłaty będzie jednak najprawdopodobniej jednoznaczny z ujawnieniem przez hakera danych klientów banku. Będzie to miało ogromy wpływ na jego wizerunek, a także może się wiązać z licznymi pozwami odszkodowawczymi.

Do pobrania

Logo ODO 24

„Nasi programiści wiedzą jak tworzyć oprogramowanie zgodnie z RODO”

Jesteś tego pewien?

Sprawdź
outsourcing

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>