O co chodzi?

Pierwsze wiadomości pojawiły się w poniedziałek 8 czerwca 2015. Z ich ([1]) treści
wynika, że ktoś włamał się do jednego z Polskich banków i przez dłuższy czas mógł
swobodnie pracować na ich serwerach. Słabo.

Kolejne artykuły ([1] i [2]) zdradzają już nazwę banku. Włamywacz (lub osoba z nim
współpracująca) ostrzega bank, że jeśli nie spełnią żądań - zaczną publikować dane.

Bank cały czas twierdzi, że nic się nie stało i wszystko jest ok. Nie spełnił
oczywiście żądań, więc zaczęły wypływać dane klientów banku ([1] i [2]).

Co robi bank w tym czasie? Udaje, że wszystko jest ok, kasuje komentarze na
facebooku...







http://zaufanatrzeciastrona.pl/post/powazne-wlamanie
-do-polskiego-banku-skradzione-dane-i-hasla-klientow
/

http://www.wykop.pl/link/2590265/powazne-wlamanie-do
-polskiego-banku-skradzione-dane-pieniadze-i-hasla-k
lientow/

http://plusabnk.pl/

do góry

Użytkownik "Camis" napisał w wiadomości grup
dyskusyjnych:5a08d31b-db1f-4791-b4fc-36ac671a028d@go
oglegroups.com...

>O co chodzi?
.....
>Bank cały czas twierdzi, że nic się nie stało i wszystko jest ok. Nie
>spełnił oczywiście żądań, więc zaczęły wypływać dane klientów banku ([1] i
>[2]).
>Co robi bank w tym czasie? Udaje, że wszystko jest ok, kasuje komentarze na
>facebooku...

1) dla banku najważniejsze jest PR, a nie kasa -> dlatego kasuje komentarze
na facebooku.
2) ewentualne straty jego klientów nie są dla banku istotne bo to przecież
nie jest kasa banku tylko klientów, a w ostateczności bank upadnie i zapłaci
podatnik / klient .... (bankowy fundusz gwarancyjny).
3) co gorsze, straty klientów mogą powstać także w innych miejscach niż sam
bank za co bank już na pewno nie weźmie odpowiedzialności

No i teraz pytania mam:
- jakie banki mamy wybierać, aby było w miare bezpiecznie ? (zakładam że
całkowitego bezpieczeństwa nie ma nigdzie...)
- czy obecna sytuacja pokazuje (być może) ze im mniejszy bank tym gorzej z
bezpieczeństwem ?
- co na to wszystko KNF ? -> gdzie jest to gremium szacowne ? (jakoś cicho
jest...), jak zamierza zabezpieczyć klientów banku ? , już pisałem wyżej w
pkt.2 o pokryciu strat, ale dlaczego mają płacić "wszyscy" a nie właściciele
banku?
marek

do góry

W dniu 13-06-15 o 21:46, marek pisze:

> - jakie banki mamy wybierać, aby było w miarę bezpiecznie ? (zakładam że
> całkowitego bezpieczeństwa nie ma nigdzie...)

Moim zdaniem nie ma reguły. Z jednej strony im większy bank, tym
teoretycznie ma większe środki na zapewnienie bezpieczeństwa. Z drugiej
strony większy bank, to większa pokusa i więcej potencjalnych hakerów
rozpracowujących go.

> - czy obecna sytuacja pokazuje (być może) ze im mniejszy bank tym gorzej
> z bezpieczeństwem ?

Wątpię. Sądzę, że na końcu okaże się, że to był czynnik ludzki.

> - co na to wszystko KNF ? -> gdzie jest to gremium szacowne ? (jakoś
> cicho jest...), jak zamierza zabezpieczyć klientów banku ? , już pisałem
> wyżej w pkt.2 o pokryciu strat, ale dlaczego mają płacić "wszyscy" a nie
> właściciele banku?

Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
miały luki, to mieli byśmy serię przełamań.

do góry

Użytkownik "Robert Tomasik" napisał w wiadomości grup
dyskusyjnych:557c8d2c$0$2195$6...@n...neostrada
.pl...

W dniu 13-06-15 o 21:46, marek pisze:

> - jakie banki mamy wybierać, aby było w miarę bezpiecznie ? (zakładam że
> całkowitego bezpieczeństwa nie ma nigdzie...)

Moim zdaniem nie ma reguły. Z jednej strony im większy bank, tym
teoretycznie ma większe środki na zapewnienie bezpieczeństwa. Z drugiej
strony większy bank, to większa pokusa i więcej potencjalnych hakerów
rozpracowujących go.

> - czy obecna sytuacja pokazuje (być może) ze im mniejszy bank tym gorzej
> z bezpieczeństwem ?

Wątpię. Sądzę, że na końcu okaże się, że to był czynnik ludzki.

> - co na to wszystko KNF ? -> gdzie jest to gremium szacowne ? (jakoś
> cicho jest...), jak zamierza zabezpieczyć klientów banku ? , już pisałem
> wyżej w pkt.2 o pokryciu strat, ale dlaczego mają płacić "wszyscy" a nie
> właściciele banku?

Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
miały luki, to mieli byśmy serię przełamań.
---
Tutaj sie nie zgodzę, seria przełamań jak najbardziej może mieć miejsce
tylko o tym nie wiemy.
Bank skrzętnie ukrywa takie wpadki (bo PR...), w tym przypadku o tym jest
głośno bo fakty ujawnia atakujący.
Ale jesli jest prawdą, że wszędzie są podobne standardy to tym gorzej dla
systemu bankowego.
Czyżby pozostała tylko skarpeta?

do góry

"marek" <mularek@o2_wytnij.pl> writes:

[...]
>
> Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
> tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
> miały luki, to mieli byśmy serię przełamań.
> ---
> Tutaj sie nie zgodzę, seria przełamań jak najbardziej może mieć
> miejsce tylko o tym nie wiemy.
> Bank skrzętnie ukrywa takie wpadki (bo PR...), w tym przypadku o tym
> jest głośno bo fakty ujawnia atakujący.
A (zakładając że Twoje przypuszczenia są prawdą) w inny przypadkach
atakujący nie ujawniali faktów włamania? Dostali te 200
tys. srebrników?


IMO Robert ma rację i zawiódł człowiek.
KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

do góry

Dnia Sat, 13 Jun 2015 22:30:03 +0200, Kamil Jońca napisał(a):

>
> IMO Robert ma rację i zawiódł człowiek.

Co niejako poświadczają trzy oferty pracy dla administratorów IT w
PlusBanku

http://plusbank.pl/praca/content/280
http://plusbank.pl/praca/content/309
http://plusbank.pl/praca/content/310

Swoją drogą - człowieki ;) czy kozły ofiarne. Tak też mogło być.


--
Imka

do góry

W dniu 13-06-15 o 22:30, Kamil Jońca pisze:

>>
>> Sądzę, że większość banków ma podobne standardy. Sądzę, że w wypadku
>> tego banku po prostu zadziałał jednak czynnik ludzki. Gdyby standardy
>> miały luki, to mieli byśmy serię przełamań.
>> ---
>> Tutaj sie nie zgodzę, seria przełamań jak najbardziej może mieć
>> miejsce tylko o tym nie wiemy.
>> Bank skrzętnie ukrywa takie wpadki (bo PR...), w tym przypadku o tym
>> jest głośno bo fakty ujawnia atakujący.
> A (zakładając że Twoje przypuszczenia są prawdą) w inny przypadkach
> atakujący nie ujawniali faktów włamania? Dostali te 200
> tys. srebrników?
>
Wiesz, mnie to różne pomysły po głowie chodzą. Przecież to może być po
prostu pracownik danego banku,który nie przełamał żadnych zabezpieczeń,
tylko miał dostęp do tych danych. Wówczas nie będzie innych przełamań,
chyba, że facet przeniesie się do innej pracy. Może nie być żadnego
przełamania, tylko przejęcie danych powiedzmy z kopii bezpieczeństwa.
Ktoś mógł przejąć przesyłane dane zupełnie poza bankiem - nie wiem na
ile taki komplet da się przejąć na czyimś serwerze pocztowym. Teraz gość
pokazał wszystko, co ma, a my nie wiemy że on nic więcej nie ma.

Możliwości może być wiele.
>
> IMO Robert ma rację i zawiódł człowiek.
> KJ
>

do góry

W dniu 13-06-15 o 22:24, marek pisze:

> ---
> Tutaj sie nie zgodzę, seria przełamań jak najbardziej może mieć miejsce
> tylko o tym nie wiemy.

Może tak być.

> Bank skrzętnie ukrywa takie wpadki (bo PR...), w tym przypadku o tym
> jest głośno bo fakty ujawnia atakujący.

Ale czemu ujawnił akurat włamanie do tego konkretnego banku?

> Ale jesli jest prawdą, że wszędzie są podobne standardy to tym gorzej
> dla systemu bankowego.
> Czyżby pozostała tylko skarpeta?
>
Ja sądzę, że wyjaśnienie taj afery okaże się prostsze, niż sądzimy.

do góry

Użytkownik "Kamil "Jońca"" napisał w wiadomości grup
dyskusyjnych:8...@a...kjonca...

"marek" <mularek@o2_wytnij.pl> writes:

[...]
>A (zakładając że Twoje przypuszczenia są prawdą) w inny przypadkach
> atakujący nie ujawniali faktów włamania? Dostali te 200
> tys. srebrników?
IMO Robert ma rację i zawiódł człowiek.
KJ

nie wiem czy dostali srebrniki (w innych przypadkach)....,
ale jest bardzo prawdopodobne że atakujący zadowolili się kasą od
okradzionych klientów i cicho sza....
(zwracam uwagę że w tym przypadku tez wypłynęło sporo kasy, jak piszą...)
bank nie ujawnia (bo PR) i oddaje pokornie kasę okradzionym klientom
a opłaty dla wszystkich i za wszystko rosną !

do góry

W dniu 13-06-15 o 22:38, Imka pisze:
> Dnia Sat, 13 Jun 2015 22:30:03 +0200, Kamil Jońca napisał(a):
>
>>
>> IMO Robert ma rację i zawiódł człowiek.
>
> Co niejako poświadczają trzy oferty pracy dla administratorów IT w
> PlusBanku
>
> http://plusbank.pl/praca/content/280
> http://plusbank.pl/praca/content/309
> http://plusbank.pl/praca/content/310
>
> Swoją drogą - człowieki ;) czy kozły ofiarne. Tak też mogło być.
>
>
Skoro są oferty, to ktoś odszedł? To oczywiście tylko dywagacje.
Administrator to jest jedno ze słabszych ogniw. Ktoś dostęp do danych
mieć musi.

do góry