Plus Bank nie zapłacił 200 000 PLN okupu i włamywacz ukrywający się pod pseudonimem “Raz” — zgodnie z tym co zapowiadał kilka dni temu — spełnił swoją groźbę. W internecie udostępniono paczkę z danymi kilkuset klientów. Paczek będzie jednak więcej i będą publikowane co tydzień.

Dane 500 klientów Plus Banku ujawnione!

Jak na forum w sieci Tor informuje Polsilver, w skład paczki wchodzą

Imię i nazwisko, e-mail oraz adres zamieszkania

PESEL i numer dowodu

Historia 50 ostatnich transakcji

Informacje o lokatach i kredyty

Karty płatnicze (debetowe, kredytowe)

Poza danymi klientów upubliczniono pliki webserwera. Włamywacz zapowiada też dalszą publikację pozostałych z wykradzionych kont. Najpierw będą to konta firmowe, potem te, które należały do osób prywatnych.

Ostatnia szansa Plus Banku: 200 000 PLN na dom dziecka

Ponieważ atakujący nie chce, aby za błędy banku cierpiały osoby prywatne, postawił Plus Bankowi jeszcze jedno ultimatum: 200 000 PLN na dom dziecka — wpłata tych środków zastopuje upublicznienie wykradzionych danych, które — co teraz każdy niedowiarek wie już na 100% — na pewno są w posiadaniu włamywacza.

Trzeba przyznać, że jest to dość ciekawa propozycja. Pokazuje, że włamywaczowi nie chodzi o zysk finansowy (ten już “wypracował”, okradając konta kilku klientów Plus Banku), a o danie nauczki Plus Bankowi, który nie podjął negocjacji i do tej pory ani razu publicznie nie przyznał, że dane klientów zostały wykradzione, ani — z tego co nam wiadomo — do tej pory nie ostrzegł ich o nieuprawnionym dostępie do ich danych.

Bardzo nas ciekawi jak teraz zachowa się sam Plus Bank i inne organizacje takie jak KNF i ZBP nadzorujące rynek finansowy? Chyba już nikt nie wątpi, że atak miał miejsce a jego skutki mogą być poważniejsze niż tylko kradzież środków z kont klientów. Obecnie więc takie słodkie bagatelizowanie problemu przez przedstawicieli Związku Banków Polskich, jak w tym artykule już nie przejdzie… [update: Artykuł Polskiego Radia został zaktualizowany, już nie przedstawia tylko i wyłącznie uspokajającego stanowiska przedstawiciela ZBP]

Dalej nie wiemy jaka dziura została wykorzystana do włamania, ale…

Nowy post Polsilvera nie rzuca światła na to, jaki błąd po stronie serwerów Plus Banku wykorzystał włamywacz. Błędów jednak chyba kilka było — po publikacji poprzedniego artykułu odezwał się do nas jeden z czytelników, który odszukał swoją wiadomość do Plus Banku sprzed roku, informującą Plus Bank o wykrytej nieprawidłowości:

Z kolei inny z naszych czytelników, po lekturze ostatniego artykułu, chcąc zobaczyć stronę Plus Banku twierdzi, że zobaczył taki błąd, który rzekomo zawiera hasło do bazy danych banku (nie oznacza to, że da się je wykorzystać do zalogowania na ww. serwer z zewnątrz).

…a wyszukanie hasła w Google odnajduje publicznie dostępny serwer developerski Plus Banku hostowany w jednej z polski serwerowni:

Czy taka konfiguracja serwera, prezentująca informacje o błędach każdemu internaucie mogła być pomocna w ataku na Plus Bank w wykonaniu Raza?

Jeśli jesteś klientem Plus Banku…

…to poza spełnieniem rad, które publikowaliśmy w poprzednim artykule opisującym kulisy włamania, powinieneś założyć że Twoje dane mogły zostać wykradzione i są bądź w niedalekiej przyszłości będą upublicznione. Dlatego:

1. Zablokuj więc karty płatnicze i zastanów się co zdradza na Twój temat historia Twoich przelewów i płatności kartami (zawczasu przygotuj tłumaczenia dla partnerki/partnera ;-) 2. Ostrzeż kontrahentów że ktoś może się pod Ciebie podszywać. Przestępcy będą znali tytuły transakcji i wysokość oraz regularność przelewanych środków — mogą próbować ataków phishingowych. 3. Bądź świadomy, że konkurencja może poznać Twoją politykę rabatową i próbować przejmować Twoich klientów odpowiednio dostosowanymi kwotowo ofertami. 4. Rozważ zakup monitoringu w jednej z firm informujących o zaciąganych na dane konto kredytach. Jeśli ktoś wykorzysta Twoje dane do zaciągnięcia pożyczki lub kredytu, dowiesz się o tym zanim do Twoich drzwi zastuka komornik. Za darmo możesz skorzystać z raportu raz na pół roku. Ciekawe, czy Plus Bank idąc wzorem zachodnich firm, których dane klientów zostały wykradzione, zakupi taki pakiet swoim klientom?



Z kolei w oświadczeniu banku, opublikowanym dziś rano czytamy, że Plus Bank wykrył atak natychmiast i że pieniądze klientów są bezpieczne. Plus Bank przyznaje że doszło do “przestępczego ataku grupy hackerów”. Niestety, ani słowa nie wspomina o najważniejszym naszym zdaniem aspekcie włamania — kradzieży i upublicznieniu danych osobowych klientów:

W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze Klientów PlusBanku były i są bezpieczne. Jednocześnie informujemy, że w I kwartale bieżącego roku doszło w PlusBanku do przestępczego ataku grupy hackerów, który został wykryty i zablokowany. Bank po zidentyfikowaniu sposobu działania przestępców niezwłocznie podjął czynności zaradcze zmierzające do wzmocnienia systemów bezpieczeństwa. Dalsze próby cyberataku zostały udaremnione. Żaden z Klientów Banku nie poniósł uszczerbku finansowego.

Sprawa, o której donoszą media jest wydarzeniem historycznym, atak miał miejsce kilka miesięcy temu, a reakcja Banku była natychmiastowa: systemy zostały wzmocnione i dodatkowo zabezpieczone. W obliczu zdecydowanego oporu PlusBanku, przestępcy przyjęli obecnie metodę szantażu, polegającą na próbie wymuszenia od Banku kwot pieniężnych w zamian za nierozpowszechnianie w mediach informacji o incydencie. PlusBank stoi na stanowisku, że bezpieczeństwo Klientów i reputacja Banku stanowią najwyższy priorytet, dlatego też z osobami jawnie łamiącymi porządek prawny, których działania wymierzone są przeciwko Bankowi i jego Klientom, nie prowadzi żadnych negocjacji.

Bank na bieżąco współpracuje z organami ścigania, które od samego początku zajmują się wykryciem i ujęciem przestępców. Jesteśmy przekonani, że twarda postawa Banku związana z niepodejmowaniem żadnych prób negocjacji z przestępcami, a także wzmocnienie systemów bezpieczeństwa w dziedzinie prewencji związanej z bezpieczeństwem teleinformatycznym, działania Prokuratury i Policji oraz pozostałych instytucji, zaprowadzi przestępców w niedługiej perspektywie przed wymiar sprawiedliwości. Chcemy po raz kolejny zapewnić, że środki zdeponowane na rachunkach, lokatach w PlusBanku zawsze były i są w pełni bezpieczne.

Na koniec dodamy od siebie, że pieniądze każdego z klientów w każdym z banków są bezpieczne. Jeśli po kradzieży nie zwróci ich sam bank z własnych środków (tak jak tu zwracał Plus bank), to można je odzyskać z ubezpieczenia albo bankowego funduszu gwarancyjnego. Gorzej sprawa ma się z wykradzionymi danymi osobowymi klientów i historią transakcji. Obdarcia klientów z prywatności czy ujawnienia ich tajemnic handlowych nie da się “zwrócić”. Hasła można zmienić, adres zamieszkania też. Z PESEL-em i dowodem będzie dużo trudniej.



Plus Bank usuwa komentarze na swoim Facebooku i banuje tych internautów, którzy odważą się zadać pytanie o włamanie i bezpieczeństwo swoich danych osobowych. Dodatkowo, pojawiło się takie oświadczenie banku:

W związku ze wzmożoną aktywnością użytkowników Facebook, niejednokrotnie uderzającą w dobre imię Banku i jego Klientów, prosimy o przemyślane i zrównoważone wpisy na profilu. Zależy nam na tym, aby profil Banku służył wymianie ciekawych poglądów i rozwiązań. Wpisy nie związane bezpośrednio z tematem usług bankowych z powyższych przyczyn mogą być usuwane.

Przeczytaj także: