Administrator ToRepublic przyznaje się do włamania do Plus Banku

dodał 9 czerwca 2015 o 22:00 w kategorii Włamania  z tagami:
Administrator ToRepublic przyznaje się do włamania do Plus Banku

Na największym polskim forum w sieci Tor jego administrator występujący pod pseudonimem Polsilver przyznał się właśnie do autorstwa ataku na Plus Bank, o którym pisaliśmy wczoraj. Opublikował również część wykradzionych danych.

 

 

Note to foreign readers
If you came here because of the Pwnie nominations, you can find a nice summary of this incident in English written by OWASP Poland Chapter Leader Wojtek Dworakowski.

Kilkadziesiąt minut temu na forum ToRepublic, działającym w sieci Tor, jego administrator opublikował zaskakujący wpis pod tytułem „Wlamanie do Plusbanku”. Przyznaje się w nim do udziału w serii ataków na Plus Bank, które opisywaliśmy dobę temu. Stawia także ultimatum bankowi, grożąc dalszą publikacją danych a także publikuje historię transakcji i salda rachunków jednego z właścicieli banku. Wygląda na to, że to Polsilver był razorem4, który podpisywał otrzymywane przez nas wiadomości.

Tym razem publikujemy nazwę banku – do forum ToRepublic dostęp może mieć każdy internauta i informacja o tożsamości ofiary włamania stała się już de facto tajemnicą poliszynela.

Historia po włamaniu

Polsilver opisuje wydarzenia, które miały miejsce po tym, jak bank odkrył włamanie:

Pierwszy email z informacja o wlamaniu zostal wyslany 26-28 marca do czlonkow zarzadu plusa i innych waznych osob zwiazanych z bankiem.
Milczenie.

Po jeszcze kilku emailach dostalem w koncu odpowiedz wysłaną z nieoficjalnego konta jednego z członków zarządu:
„W przedmiotowej sprawie skontaktuje się dedykowana kancelaria prawna po świętach.”

Byla to jedyna i ostatnia wiadomosc jaka otrzymalem podczas kontaktu z bankiem – czyli całkowite olewanie sprawy.

Kolejne emaile z dowodami, a nawet smsy bezposrednio do czlonkow zarzadu nie daly nic, kontaktu nie bylo.

Podjalem inne kroki, takie jak kontakt z:
– Komisja Nadzoru Finansowego
– Zwiazek Bankow Polskich
– GIODO
– MasterCard
– CERT
– UOKIK

Chcialem przekonac bank do kontaktu aby dogadac sie i zapomniec o sprawie (bank nie naraża się na straty wizerunkowe, na kary od GIODO, na potencjalne sprawy wyznaczone przez klientów, w zamian za,jak na bank, symboliczną opłatę).
W tym wypadku otrzymalem jedynie odpowiedz od Urzadu Komisji Nadzoru Finansowego.
Poprosili o wiecej szczegolow. Dostali je i niby zajeli sie sprawa(sądząc po tym w jakim kraju zyjemy to jeszcze trochę poczekamu), jednak nadal ze strony PlusBanku nie bylo zadnego kontaktu.

Co ciekawe, MasterCard rowniez zignorowal moj email, mimo ze wyslalem mu probke 100 kart mastercard z plusbanku i zaoferowalem wiecej danych kart jesli beda zainteresowani.

Oprócz tego Polsilver opublikował także częściową historię transakcji oraz salda rachunków konta prezesa firmy Polkomtel, Tobiasa Solorza. Dane wyglądają na wykradzione poprzez podsłuch sesji użytkownika z bankiem – taki scenariusz ataku przedstawiliśmy we wczorajszym artykule.

Fragment wpisu Polsilvera

Fragment wpisu Polsilvera

Żądania włamywacza

Polsilver przedstawił także swoje żądania wobec banku:

W tym miejscu publicznie prezentuje ostatnia propozycje ugody dla banku.
Prosze aby media korzystajace z mojego opisu uwzglednily to w swoich artykulach.

Jesli bank nie chce, aby wszytkie informacje ktore zdobylem zostaly opublikowane musi zaplacic odpowiednia kwote.
Wynosi ona 200,000 zl przy platnosci jednorazowej lub 400,000 zl w przypadku platnosci na raty (10 x 40 tys, co miesiac).
Druga opcja daje pewnosc ze zadne z danych nie zostana opublikowane przed uplywem owych 10 miesiecy bo nie bedzie to oplacalne.
Po oplaceniu tej kwoty zadne informacje dotyczace banku nie beda juz publikowane, a dane klientow pozostana bezpieczne.
W te kwote wchodza jeszcze informacje jak udalo zdobyc sie dostep do banku, jakie systemy zawiodly oraz ktore osoby zostaly poszkodowane.
Generalnie bank dostanie wszystkie niezbedne informacje ktore pozwola zalagodzic obecna sytulacje, nie narazajac sie na straty wizerunkowe – dane nie zostana upublicznione, nie bedzie afery, opinia publiczna stwierdzi ze pewnie sciemnialem i zadnego wlamania nie bylo.

Zaproponowana cena jest bardzo niska, biorac pod uwagę ilość danych. Jest to mniej niz 2.5 zl od kazdego klienta korzystajacego z bankowosci elektronicznej.
Jesli bank nie zaplaci, bedzie to oznaczalo ze dane finansowe, dane o kwotach umow, kazdego klienta sa warte dla banku mniej niz owe 2.5 zl.

Jestem przekonany ze wieksza kare bank dostanie od samego GIODO w przypadku opublikowania danych niz wynosi podana przezemnie kwota.
Biorąc pod uwagę ilość danych osobowych, oraz to że wina za ich ninależyte zabezpieczenie leży po stronie banku, jest to dosyc prawdopodobne.

Zaznaczył także, ze na odpowiedź czeka do piątku.