08.06.2015 | 20:33

Adam Haertle

Poważne włamanie do polskiego banku, skradzione dane i hasła klientów

Widzieliśmy dowody wskazujące, że polski bank padł ofiarą poważnego włamania, a złodziej kradł pieniądze, hasła i dane osobowe jego klientów. Niestety z kilku powodów nie możemy Wam powiedzieć, o który bank chodzi.

Otrzymane przez nasz serwis dowody wskazują, że tajemniczy włamywacz posiadał przez kilka tygodni pełen dostęp do głównego serwera WWW pewnego polskiego banku. Dzięki temu mógł dokonywać nieautoryzowanych przelewów, gromadzić dane osobowe klientów oraz zbierać informacje o ich kartach i historii rachunków. Włamywacz twierdzi, że okradł wiele kont na łączną kwotę około miliona złotych, a bank przez kilka tygodni nie zauważył włamania.

Od dwóch miesięcy, czyli od momentu, kiedy dowiedzieliśmy się, kto padł ofiarą włamania, współpracowaliśmy z poszkodowanym bankiem. Na prośbę banku spotkaliśmy się z jego przedstawicielami, dzieliliśmy się naszymi doświadczeniami i wiedzą o podobnych przypadkach ataków oraz polskim podziemiu internetowym a także przekazywaliśmy posiadane informacje na temat skali wycieku informacji. Po wielu dniach oczekiwania otrzymaliśmy oficjalne stanowisko banku, przesłaliśmy także do informacji banku treść artykułu, który zamierzaliśmy opublikować. Kilka godzin przed planowaną publikacją otrzymaliśmy wezwanie do zaniechania naruszenia dóbr osobistych od radcy prawnego reprezentującego bank. Po paru dniach dotarła do nas także anonimowa groźba sugerująca możliwość wydania zlecenia na autora artykułu w przypadku jego publikacji. Z powodów, które omawiamy szerzej w dalszej części artykułu, w publikacji tej nie zamieszczamy informacji o tym, jakiego banku dotyczy włamanie.

Prośba do Czytelników
Prosimy o unikanie spekulacji na temat tego, który bank padł ofiarą włamania.

Włamywacz, chcąc uwiarygodnić swoją historię, pokazał nam pełne dane kilkuset kart płatniczych banku, dane osobowe tysiąca klientów, dziesięć tysięcy numerów telefonów komórkowych klientów banku, loginy i hasła ponad 150 klientów banku wraz z saldami ich rachunków (w większości powyżej 100 tysięcy złotych każde), kilkadziesiąt tysięcy pozycji z wyciągów z rachunków klientów, potwierdzenia przelewów setek tysięcy złotych rzekomo przez niego skradzionych oraz kopię bankowego serwera WWW wraz z częścią systemu bankowości elektronicznej. Pełną historię sprawy znajdziecie poniżej.

Według stanowiska banku próby ataków miały miejsce, zostały wykryte, a środki klientów były i są bezpieczne. Jednocześnie bank odmówił odpowiedzi na bardziej szczegółowe pytania, zasłaniając się przepisami i względami bezpieczeństwa.

Setka kart płatniczych na dobry początek

Dla nas historia rozpoczęła się 10 kwietnia 2015, kiedy to otrzymaliśmy pierwszą wiadomość od włamywacza z adresu email [email protected], a wraz z nią dane 100 numerów kart płatniczych oraz ich posiadaczy. Charakter danych wskazywał, że pochodzą z bazy konkretnego banku.

Próbka danych kart oraz klientów

Próbka danych kart oraz klientów

Naszą uwagę zwróciło kilka elementów listy. Po pierwsze wszystkie numery kart miały identyczny identyfikator IBAN, wskazujący na pochodzenie z polskiego banku (wszystko, co możemy o nim powiedzieć, to to, że jest to bank komercyjny, który nie znajduje się wśród 10 największych banków pod względem wartości aktywów). Po drugie nie wyglądały na wykradzione z sieci handlowej lub bankomatu. Klienci pochodzili z całej Polski, niektóre osoby dysponowały na liście dwoma kartami o różnych numerach, znaleźć można było także karty należące do osób o tym samym nazwisku, mieszkających pod tym samym adresem. Wszystko wskazywało na to, że dane pochodzą z systemów banku.

Korzystając z prywatnych kanałów skontaktowaliśmy się z bankiem, który potwierdził nieformalnie, że temat jest mu znany. Odpowiedzieliśmy zatem nadawcy wiadomości i czekaliśmy na dalszy rozwój wypadków. Trwała wymiana wiadomości z razorem4 oraz z bankiem, jednak od żadnej ze stron długo nie otrzymywaliśmy informacji pozwalających na lepsze zrozumienie sytuacji. Wiedzieliśmy jedynie, że razor4 chce otrzymać od banku okup za niepublikowanie danych.

Karty na stół

W ostatnich dniach otrzymaliśmy od razora4 kolejne dane wykradzione z banku oraz długi opis jego poczynań. Razor4 twierdzi, ze do serwerów banku dostał się pod koniec stycznia poprzez nieujawniony błąd wynikający z braku regularnych aktualizacji oprogramowania.

Według przekazanego nam przez włamywacza opisu zdarzeń po rozpoznaniu środowiska i przygotowaniu odpowiednich kont bankowych razor4 zacząć okradać klientów banku. W tym celu wstawił na stronie banku odwołanie do skryptu JS umieszczonego na swoim serwerze, dzięki któremu mógł modyfikować numery rachunków na które przekazywane były przelewy klientów banku i podstawiać tam przygotowane przez siebie konta. Razor4 zarejestrował specjalnie w tym celu domenę różniącą się od prawdziwego adresu banku tylko jedną literą.

Domena udająca prawdziwy adres banku

Domena udająca prawdziwy adres banku

Mieliśmy także możliwość zapoznać się ze stosowanym przez niego skryptem JS, którego zadaniem była automatyzacja ataku na klientów banku. Według naszej oceny skrypt wygląda jak najbardziej wiarygodnie.

Razor4 twierdzi, że w ciągu tygodnia ukradł kilkaset tysięcy złotych, w tym 16 lutego 2015 wykonał jeden przelew na prawie 180 tysięcy złotych od pewnego warszawskiego dilera samochodowego. Bank według włamywacza zrzucił problem na konie trojańskie na komputerach klientów. Faktycznie kilka dni później bank przypomniał klientom o bezpieczeństwie transakcji (choć podobne akcje informacyjne prowadziły w tym roku wszystkie banki).

Potwierdzenie przelewu złodzieja

Potwierdzenie przelewu złodzieja

Rzekome błędy w systemach banku

Według razora4 zmienił on wtedy metodę działania, ponieważ odkrył, jak twierdzi, poważny błąd w systemie autoryzacji przelewów. Według niego jeśli klient Kowalski skonfigurował odbiorcę zaufanego Iksińskiego to klient Nowakowski mógł przesłać przelew do Iksińskiego nie podając kodu SMS. W ten sposób, po dodaniu odbiorców zaufanych na kontrolowanym przez siebie rachunku, razor4 mógł wykonywać przelewy na zdefiniowane przez siebie konta odbiorców zaufanych z cudzych rachunków, nie autoryzując ich kodami SMS. W tym celu uruchomił na serwerze banku skrypt zapisujący loginy i hasła użytkowników i gdy trafił na konto pewnego hotelu w popularnej nadmorskiej miejscowości z saldem ok. 700 tysięcy złotych, przystąpił do ataku. Według jego historii pewnego poniedziałku w ciągu kilku godzin prawie opróżnił rachunek hotelu. Gdy właściciel rachunku zorientował się, że dzieje się coś niedobrego, zdążył zablokować część przelewów a bank w ciągu 2 dni naprawił błąd. Na dowód swoich twierdzeń razor4 przedstawił wyciąg z konta hotelu:

Okradane konto hotelu - fragment wyciągu

Okradane konto hotelu – fragment wyciągu

Razor4 sugeruje, że mimo stosowania hasła maskowalnego przez bank nie miał problemu z przechwyceniem cudzych haseł, ponieważ zbierał je w ciągu kilku logowań. Poza tym twierdzi, że bank umożliwiał w trakcie logowania wielokrotne losowanie miejsc hasła maskowalnego, które należało uzupełnić – umożliwiając atakującemu łatwiejsze trafienie w posiadane znaki. Istotnie mechanizm logowania do konta banku losuje za każdym podejściem inny zestaw znaków, zatem wystarczy próbować dostatecznie długo, by otrzymać ten sam zestaw, który został wcześniej przechwycony. Oprócz tego wśród dowodów włamania, z którymi mogliśmy się zapoznać, była ponad setka prawie lub całkowicie kompletnych haseł użytkowników banku.

Trzecim atakiem, który według swoich opowieści przeprowadził razor4, była próba wyprowadzenia około 3 milionów złotych. W tym celu najpierw użył kont z dwoma rachunkami, gdzie jeden był rzadko używany, do ich sklonowania w innych bankach (poprzez przelew o określonym tytule można założyć konto w innym banku). Następnie ustalił, że modyfikacja jednego z parametrów przekazywanych przez aplikację bankową pozwala na ominięcie wymagania autoryzacji przelewu kodem SMS. Do ataku wybrał rzadko używane konta z dużymi saldami i w nocy wygenerował wiele przelewów, jednak bank najwyraźniej zorientował się, że dzieje się coś niedobrego i zablokował wszystkim klientom dostęp do systemu transakcyjnego a następnie usunął intruza z systemu. Na te próby kradzieży nie mamy dowodów, jednak wydarzenia te znajdują częściowe potwierdzenie w wyrażanych przez klientów banku w serwisach społecznościowych pretensjach związanych z brakiem dostępu do serwisu transakcyjnego przez 2 dni.

Czwartym epizodem z historii opisywanej przez razora4 jest wykorzystanie posiadanych loginów i haseł klientów banku. Twierdzi, że dzięki nim mógł między innymi okraść konto jednej z firm zajmujących się szybkimi przelewami pomiędzy bankami oraz obsługą płatności internetowych, generując przelewy na jej konta wewnętrzne, założone specjalnie w tym celu. Według niego ukradł tą drogą jeszcze 30 tysięcy złotych. Poszkodowana firma potwierdziła nam fakt kradzieży środków z jej rachunku z winy banku.

Dowody na dostęp do serwera

Włamywacz na dowód posiadania dostępu do serwera WWW banku pokazał nam listing odpowiedniego katalogu serwera. Analiza listingu pozwala z dużym prawdopodobieństwem uznać, że razor4 faktycznie miał kontrolę nad serwerem WWW banku. Listing o rozmiarze prawie 5 megabajtów zawierał przede wszystkim spis wszystkich plików wielu instancji serwera aplikacyjnego Weblogic, których ścieżki, nazwy i poszczególne pliki w 100% pokrywają się z plikami udostępnionymi na stronach banku w serwisie bankowości elektronicznej we wszystkich dostępnych wersjach. Co więcej, w listingu plików znaleźć można także ślady wyglądające jak efekt działalności włamywacza. Mogą one oczywiście być celowo podłożone – ale listing wygląda bardzo wiarygodnie.

Wśród wielu plików możemy np. znaleźć taką perełkę:

-rw-r----- [xxx]/[xxx] 3905 2013-07-08 20:49 [xxx]/xxx/xxx/xxx/xxx.png
-rw-r----- [xxx]/[xxx] 2359902208 2015-03-04 13:35 [xxx]/xxx/xxx/xxx/k.tar
-rw-r----- [xxx]/[xxx] 676 2013-07-08 20:49 [xxx]/xxx/xxx/xxx/xxx.jpg

Serwer „xxxx” to instancja mobilna interfejsu bankowości elektronicznej. Tam, w katalogu pełnym grafik z roku 2013, znaleźć można było plik k.tar o rozmiarze ponad 2 gigabajtów, stworzony 4 marca 2015 o godzinie 13:35. Sam listing pochodzi najprawdopodobniej z tego samego dnia, z godziny 16. Plik k.tar wygląda jak archiwum obejmujące cały system plików, wystawione do pobrania na serwerze WWW banku. Oczywiście plik został już usunięty, jednak pozostałe ścieżki są ciągle aktualne.

Oprócz tego włamywacz pokazał nam także pliki konfiguracyjne serwera oraz kopię aplikacji bankowości elektronicznej. Potwierdza to, że włamywacz miał możliwość odczytu, tworzenia i modyfikowania plików na serwerze WWW banku obsługującym klientów.

Dodatkowo razor4 twierdzi, że udało mu się także wykraść dane części klientów banku. Aby to potwierdzić, pokazał nam ponad 25 tysięcy rekordów z historii transakcji różnych rachunków, dane tysiąca klientów takie jak imię, nazwisko, adres, numer telefonu i adres email a także dane około 600 różnych kart płatniczych, 10 tysięcy numerów telefonów należących podobno do klientów banku oraz grubo ponad setkę loginów i haseł do kont bankowych.

Wszystkie opisane powyżej wydarzenia są prawdopodobne z technicznego punktu widzenia. Przedstawiona przez włamywacza historia jest spójna i nie znaleźliśmy w niej żadnych sprzeczności lub istotnych luk. Część twierdzeń włamywacza potwierdzają także dowody z niezależnych źródeł (informacja poszkodowanej firmy, zarejestrowana fałszywa domena banku czy skargi klientów na niedostępność serwisu bankowości elektronicznej).

Reakcja banku

Po długim oczekiwaniu otrzymaliśmy stanowisko banku, którego obszerne fragmenty dotyczące meritum sprawy publikujemy poniżej. W naszej ocenie w oświadczeniu nie ma ani jednego zdania zaprzeczającego opisanym wyżej zdarzeniom – nie ma także ani jednego zdania, które by je wprost potwierdzało.

W pierwszym kwartale br., [tu nazwa banku] zidentyfikował próby ataków hackerskich. Dzięki systemom bezpieczeństwa oraz działaniom służb bezpieczeństwa Banku, ataki zostały wykryte, a co najważniejsze wszystkie środki pieniężne klientów Banku były i są w pełni bezpieczne. W związku z nielegalnymi działaniami przestępców, Bank zawiadomił i intensywnie współpracuje z właściwymi organami ścigania, w tym z odpowiednimi jednostkami Policji oraz Prokuraturą. […]

W związku z przesłanymi pytaniami, skierowanymi do [tu nazwa banku], pragniemy wyjaśnić, że cała otrzymana korespondencja pochodzi od osoby, która zamierza zaatakować dobry wizerunek Banku w sposób nieuprawiony i niezgodny z obowiązującymi przepisami prawa. Wszelkie tego typu działania są i będą przez Bank zgłaszane do organów ścigania.

W zakresie szczegółowych danych zawartych w przesłanej korespondencji, z uwagi na obowiązujące regulacje prawne oraz bezpieczeństwo działania Banku, [tu nazwa banku] nie jest upoważniony do udostępniania informacji lub udzielania publicznych komentarzy odnoszących się do funkcjonowania zabezpieczeń informatycznych stosowanych przez Bank lub danych dotyczących jego Klientów.

Podkreślamy, że środki Klientów Banku są bezpieczne, systemy bankowe właściwie zabezpieczone.

Szczególnie ostatnie zdanie sugeruje, że jeśli doszło do kradzieży środków klientów banku, to straty zostały pokryte przez bank.

Wezwania i pogróżki

Tydzień temu, na 5 godzin przed zaplanowaną publikacją artykułu (wcześniej wielokrotnie na prośbę banku przekładaną) otrzymaliśmy wezwanie do zaniechania naruszenia dóbr osobistych zawierające następujący akapit:

[…]wzywam do odstąpienia od bezprawnego rozpowszechniania informacji dotyczących skutków prób ataków hakerskich na system teleinformatyczny Banku i zastosowanych w związku z tym przez bank środków bezpieczeństwa […]. Informacje te są oparte na niewiarygodnych źródłach i nie uwzględniają stanowiska Banku w opisywanej sprawie. Rozpowszechnienie rzeczonych informacji stanowić będzie działanie jawnie i oczywiście bezprawne, godzące w dobra osobiste (reputację) Banku i prowadzące do powstania po stronie Banku trudnej do powetowania szkody.

Z kolei w piątek około godziny 11 z adresu IP 37.147.97.33 przez nasz formularz kontaktowy dotarła taka wiadomość:

Czesc sloneczko, zaczne od tego, ze juz masz u nas na pienku, wiec zastanow sie dwa razy czy chcesz opublikowac artykul o wlamaniu do [tu nazwa banku], 20k to nie jest duzo, a glowa leci, chcesz sie w koncu doigrac?

Pozdrawiam serdecznie

O tym, że planujemy publikację artykułu, wiedziało tylko wąskie, zaufane grono współpracowników redakcji, włamywacz oraz bank. Nie wiemy, kto był nadawcą wiadomości. Nad treścią wezwania można długo dyskutować a pogróżki uznać za gołosłowne, jednak każdy ma swój akceptowalny poziom ryzyka i w tym wypadku nasz został przekroczony. Jednocześnie uważamy, że klientom banku należy się informacja o tym niecodziennym incydencie – chociażby po to, by zmienili swoje hasła (i to nie tylko w banku) oraz przejrzeli wyciągi. Dodatkowo włamywacz grozi, że sprzeda lub upubliczni skradzione informacje – stąd nasza decyzja o opublikowaniu artykułu nawet w tak okrojonej formie.

Jestem klientem banku, co robić

Niestety nie możemy zawęzić bardziej grupy adresatów tej instrukcji – lecz wierzymy, że wszyscy na niej skorzystają bez względu na to, czy to właśnie ich bank padł ofiarą włamania. Zatem jeśli choć raz logowaliście się do interfejsu banku (zwykłego lub mobilnego) w tym roku i nie był to bank z grona tych największych, to po pierwsze zmieńcie natychmiast hasła do swoich kont bankowych. Jeśli tego samego hasła, co do banku, używaliście również do innych zasobów (poczta, inny bank itp.), tam również je zmieńcie – i od razu na inne niż to z banku.

Gdy już pozmieniacie hasła, sprawdźcie dokładnie historię wszystkich swoich transakcji ze wszystkich rachunków w 2015 roku. Jeśli znajdziecie w nich pozycje, których nie potraficie wyjaśnić, poproście o wyjaśnienie bank. Najbardziej podejrzane są dwie kategorie:

  • przelewy na nieznane Wam rachunki, na istotne kwoty,
  • przelewy z nietypowymi tytułami (np. „otwarcie rachunku”, „potwierdzenie założenia rachunku”) na kwoty 1 grosz, 1,01 złotych lub podobne.

Jeśli takie znajdziecie, to możliwe, że to nie infekcja Waszego komputera była ich przyczyną.

Obserwujcie również historię transakcji kartowych. Gdy znajdziecie podejrzane wpisy to pomyślcie, czy nie warto poprosić o zastrzeżenie starych i wydanie nowych kart płatniczych – pełne dane dotychczasowych mogą być w rękach włamywacza.

Gdy wykonaliście już wszystkie powyższe operacje, to nadal zalecamy daleko posuniętą ostrożność. Co prawda wygląda na to, że bank już usunął intruza ze swojej sieci, ale jeśli wyciekły Wasze dane osobowe i kontaktowe, to mogą ciągle znajdować się w rękach przestępców i być przedmiotem dalszej odsprzedaży. Mogą oni próbować je wykorzystać, by np. brać na Wasze dane pożyczki lub próbować wyłudzić od Was inne informacje za pomocą poczty elektronicznej lub drogą telefoniczną. Bądźcie czujni, sprawdzajcie regularnie swoje wyciągi, nie zaszkodzi także weryfikacja raportu BIK. Jeśli natraficie na coś niepokojącego, możecie także skontaktować się z nami – w miarę możliwości pomożemy.

Prośba do Czytelników
Prosimy o unikanie spekulacji na temat tego, który bank padł ofiarą włamania.
Powrót

Komentarze

  • 2015.06.08 20:49 Michał

    No to się porobiło.
    Nie ważne który to bank, ważne jest to iż dla sporej części ludzi upadł mit o „bezpiecznych bankach”. Bo o ile kradzież poprzez trojana na komputerze klienta jest jeszcze do ogarnięcia. O tyle nielimitowany dostęp do serwera WWW przez 2 miesiące, już nie.

    Odpowiedz
  • 2015.06.08 20:50 d33tah

    Chciałem podkreślić fragment artykułu: „Zatem jeśli choć raz logowaliście się do interfejsu banku (zwykłego lub mobilnego) w tym roku i nie był to bank z grona tych największych, to po pierwsze zmieńcie natychmiast hasła do swoich kont bankowych.”

    Odpowiedz
  • 2015.06.08 20:55 :)

    robicie liste osób wiedzących o informacji , załączacie groźby karalne ( no bo główki nie da się przykleić ponownie ) i do tej samej prokuratury co bank robicie zgłoszenie :) ,zresztą moim zdaniem może zorientowaliście się że jasna strona mocy na coś śmierdzącego między palcami … mam nadzieję że jednak jest to prostacki i głupi żart bo mimo wszystko ciekawie piszecie….

    Odpowiedz
    • 2015.06.09 10:34 kez87

      Obawiam się,że gdyby to była „jasna strona” czyli bank,to nie było by o mitycznej dzisiaj raczej sumie 20k ale o znajomościach czy czymś w ten deseń.No chyba,że to jakieś SKOKi czy inne AmberGoldy ;) No chyba,że to akurat była część dezinformacyjna.
      I jeśli ktoś nazywa banki albo służby „jasną stroną” to chyba żył dotychczas pod kloszem.Są to instytucje legalne działające głównie (tam gdzie to widać) w granicach prawa.I tylko tyle. Mieszkam na podkarpaciu,ostatnio u nas wyciekła imienna lista agentów CBA w związku z Burym z PSLu przy okazji donosu (jaja na cały kraj,zwłaszcza że zasady operacyjne zakładają,że agent raczej stosuje imię własne).A w donosie dodatkowo – oskarżenia ws. jednego z ludzi tej „firmy” o insider trading,handelek kradzionymi autami itp…

      Odpowiedz
  • 2015.06.08 20:59 Ja

    Fajnie, pięknie.
    Ale bez podania nazwy banku, cały ten wpis to tylko podbijanie sobie liczby wejść na stronę i szerzenie fermentu. Regularnie są włamania do banków, ujawnione oraz co gorsza nieujawnione. Kolejny ogólnikowy wpis nic w tym temacie nie zmienia.

    Odpowiedz
    • 2015.06.08 21:00 Adam

      Ujawnione? Które na przykład?

      Odpowiedz
  • 2015.06.08 21:01 desf

    Włamanie do banku zdarza się, nawet najlepszym, ale za taką formę radzenia sobie z incydentem to chyba ktoś tam po dupie powinien zdrowo dostać. Wiadomość z formularza też gruba.

    Odpowiedz
  • 2015.06.08 21:06 Proximus

    Skoro nie chcą artykułu o nich to pewnie poszli na ugodę i zapłacili okup. A teraz chcą rżnąć głupa…

    Odpowiedz
    • 2015.06.09 17:06 kjlk

      Rozsądnie rzeczesz.
      A pogróżki to zapewne część umowy, tj. bank stwierdził „skoro dajemy kasę, to zrób pan coś, żeby z3s nie opublikowało naszej nazwy”, i rzeczony razor wysłał pogróżkę.

      Odpowiedz
  • 2015.06.08 21:06 Leo5

    No to pięknie was załatwili. Mam nadzieje, że byliście dobrze opłacani przez bank przynajmniej.

    Odpowiedz
    • 2015.06.08 21:11 Adam

      Nie braliśmy i nie zamierzamy brać pieniędzy od żadnej ze stron.

      Odpowiedz
      • 2015.06.08 21:26 Leo5

        Za darmo pomagaliście bankowi który was teraz szantażuje? O mój Boże, w jakim kraju my żyjemy…

        Odpowiedz
        • 2015.06.08 23:09 Big Dog

          „Za darmo pomagaliście bankowi który was teraz szantażuje?”
          Adam jest bezstronny i publikuje „pomagając za darmo”.
          Więc czemu pyskujesz? Chciałeś zabłysnąć, a wyszedłeś na wiechola.

          Odpowiedz
          • 2015.06.09 01:12 Leo5

            Wyjaśnisz mi może, gdzie tu widzisz pyskowanie? Albo próbę zabłyśnięcia? Ja się tylko użalam nad losem jaki spotkał Adama a ty mnie atakujesz.

          • 2015.06.09 16:50 Hyc31

            Co to ma byc w ogole za komentarz ?
            Dziwie sie, ze jeszcze Cie tu nie zbanowali. „Żenada i słoma” – to Twoja domena.

  • 2015.06.08 21:21 Bodzio

    Cześć słoneczko —- (wyobraźnia zaczyna działać) :)
    a to umysłowa gimbaza z siwym łbem próbuje straszyć, samemu ze strachu będąc obsranym

    Odpowiedz
  • 2015.06.08 21:23 Marcin

    Moglibyście przynajmniej podać które banki uważacie za TOP 10, wtedy spora część ludzi by się przestała bać :)

    Odpowiedz
  • 2015.06.08 21:26 mir

    Czy wobec tego wszystkiego zmiana hasła w tej chwili nie spowoduje, że całe nowe hasło znajdzie się w rękach włamywacza?

    Odpowiedz
  • 2015.06.08 21:28 eee

    przegapiłem coś, czy w artykule brakuje informacji kiedy pojawi się informacja o jaki bank chodziło?

    Odpowiedz
    • 2015.06.09 14:00 cm

      przecież wszyscy wiedzą o który bank chodzi, tylko nie można mówić (właśnie nie wiem dlaczego)

      Odpowiedz
      • 2015.06.09 18:16 Asia

        ja nie wiem :> ktoś mi powie?

        Odpowiedz
        • 2015.06.09 22:49 sjf

          Naucz się korzystać z wyszukiwarek :) Ja np. znalazłem zanim opublikowali dzisiejszy wpis z nazwą – za dużo informacj podali w artykule.

          Odpowiedz
  • 2015.06.08 21:32 Razor4

    Kwota okupu wynosia 200,000 zl. Baza danych klientow skladala sie z ponad 80 tys rekordow, wychodzilo 2.5 zl od klienta. Byla mozliwosc rozbicia na raty. Mam nadzieje ze zaden z bankow nie popelni juz tego samego bledu.

    Odpowiedz
    • 2017.03.17 00:00 Rafał

      Hej Razor, potrzebuję twojej pomocy odnośnie jednego z banków. Daj znać czy był byś w stanie pomóc. Pozdro

      Odpowiedz
  • 2015.06.08 21:40 MarcinB

    Pytanie ile z tego jest prawda skoro 2 miechy grzebali w serwerze a bank o tym nie wiedział
    I czemu bank nie poinformował o tym klientow skoro taka była skala ataku !!?

    Odpowiedz
  • 2015.06.08 21:40 Pan Informatyk

    Tylko podpowiem, że listę polskich banków macie na wiki. Szczęśliwcy wyeliminują swój bank z 90% prawdopodobieństwem, reszta drży.

    http://pl.wikipedia.org/wiki/Bank#Najwi.C4.99ksze_banki_dzia.C5.82aj.C4.85ce_w_Polsce

    Odpowiedz
    • 2015.06.08 23:48 turrysta

      Już myślałem, że to wspaniały nowy mBank ale nie, on za wysoko na liście. Przynajmniej nie muszę się bać tym razem.

      Odpowiedz
      • 2015.06.09 22:00 Jafi

        No i mbank nie używa maskowania haseł;)

        Odpowiedz
    • 2015.06.08 23:49 Monika

      To nie jest lista polskich Banków .. tylko lista Banków działających w polsce. Banków z wyłącznym polskim kapitałem jest 3 może 4 jeżeli coś przeoczyłam ..

      Odpowiedz
      • 2015.06.09 09:34 Ninja

        Dobrze kombinujesz.

        Odpowiedz
      • 2015.06.09 10:29 Kaczus

        Banków jest więcej z polskim kapitałem, tyle, że są to małe spółdzielczaki.

        Odpowiedz
      • 2015.06.09 11:29 Ala

        Zawiodę Cię – w Polsce nie ma ani jednego banku z wyłącznie polskim kapitałem. Największy bank ma nieco ponad połowę kapitału czysto polskiego.

        Odpowiedz
        • 2015.06.09 15:18 JAn

          BGK

          Odpowiedz
          • 2015.06.09 21:48 maslan

            Ale to nie bank komercyjny. Mają chyba 1 bankomat

        • 2015.06.09 23:34 qtaz

          A Banki spółdzielcze?

          Odpowiedz
  • 2015.06.08 21:47 Sztefen

    > groźba sugerująca możliwość wydania zlecenia
    W sensie, że co? Że killim?

    Odpowiedz
  • 2015.06.08 22:00 brthn

    Marna ta wolność słowa w tym marnym państwie, jeśli to dziennikarze tak łatwo są powstrzymywani pismami o „godzenie w dobra osobiste”. Jasne, ochrona (a właściwie kary) przed jawnym kłamstwem i oszczerstwem powinna być… ale nie gdy publikacja opisuje fakty oraz sensowne i rzetelne dochodzenie. Smutne.

    Ale najciekawsza jest chyba groźba. Włamywacz to raczej nie był, bo skoro się odezwał do z3s to raczej chciał publikacji. Zostaje więc bank, tylko kto? Zdenerwowany pracownik, np. administrator rozdziewiczonej sieci? :) A może ktoś wyżej?

    Swoją drogą powinny być przepisy, które po jakimś czasie prawnie wymagają ujawnienia o włamaniach w (regulowanych) bankach. W końcu to pieniądze ludzi przechowywane w instytucjach, które (niby) biorą na siebie „wielką” odpowiedzialność. A niektóre z tych instytucji zachowują się jakby miały zero zobowiązań, jakby były tylko maszynkami do robienia pieniędzy. I znów, prawo im tylko sprzyja, widać to na przykładzie kradzieży z kont i zwrotów. Jasne, trudny problem, ale prawda jest taka że bank zawsze może zwalić na „trojany i wirusy” na urządzeniu użytkownika, bez żadnego dochodzenia. A to na banku powinna ciążyć konieczność udowodnienia tego.

    Niestety, ale prawda jest taka, że zwykły szary człowiek może stracić cały swój majątek życia przechowywany w banku od tak, nie z własnej winy. Mogło się jeszcze wydawać, że bezpieczeństwo w bankach jest na wysokim poziomie i można się czuć bezpiecznie, jak się przestrzega zasad bezpieczeństwa po swojej stronie. Ale jak widać, nie we wszystkich bankach tak jest. Zastanawiam się ile żyć mógłby zniszczyć włamywacz, gdyby działał w ostrożny, przemyślany sposób – najlepiej tak, by ukraść i zatrzeć za sobą ślady? Bo założyłbym się, że to nie bank wtedy pokryłby „straty”.

    Ciesze się, że zdecydowaliście się to opublikować. Cieszę się, że to do was, a nie do kogo innego przyszedł włamywacz. Zawsze mieliście ciekawsze artykuły niż konkurencja. Niebezpiecznik zaczyna przy was wyglądać jak „Pudelek” przy „The Times”…

    Odpowiedz
    • 2015.06.09 10:17 kez87

      Kto ? Powiedziałbym,że podejrzanych miałbym 2:
      „Czesc sloneczko, zaczne od tego, ze JUŻ MASZ U NAS NA PIENU, wiec zastanow sie”
      – a to sugeruje darknet i być może torepublic. Znając życie na pieńku może mieć za te karty BP ? ;) Drugi podejrzany o straszenie to ktoś w strukturach banku.Nie mam jednak czasu by przekopywać się przez archiwalne artykuły i sprawdzać tą teorię oraz zastanawiać się w jaki sposób i kto. Co do stawek typu 20k „za głowę” – jako uczciwy obywatel nie wiem za dużo o mordercach zabijających na zlecenie,ale w literaturze różnej i internecie właśnie ta stawka się przewijała więc wygląda to bardziej jak straszenie.Choć nigdy nie wiadomo – to fakt. Jakoś nie wierzę jednak,że na czarnym rynku zabójstw na zlecenie stawki są tak stałe,żeby stawka była taka jak wspomniana dawno dawno temu przez pewnego prawnika czy dziennikarza. Zwłaszcza,że poza specsłużbami bandyci się nie bawią dziś w morderstwa na taką skalę – poza motywowanymi politycznie „samobójstwami” jest w miarę spokojnie – a to musiało podnieść ceny.To nie lata 90-te gdzie mafie strzelały do siebie jak do kaczek i robiły zamachy.Monopolizacja i kartelizacja oraz kontakty z władzą byłych SBków zrobiły swoje.Za morderstwo jest ciągle dość konkretna kara,co czyni sprawę chyba droższą jak 20k dla różnych bandziorków spoza układu – to zatem chyba tylko straszenie.Ale @Adam – „strzeżonego…” – przy takich groźbach już uważać faktycznie trzeba. I radziłbym to robić,mimo że nazwy banku nie podajesz.

      Odpowiedz
      • 2015.06.10 10:33 kez87

        Korekta.To jednak nie Torepublic i nie jacyś anonimowi szantażyści – na podstawie tego co jest na niebezpieczniku wygląda na to,że akurat razor4 był zainteresowany opublikowaniem tego a bank nie.
        Co do pogróżek to jednak faktycznie może chodzić o kogoś z tym bankiem. Tobias Solorz na pastebinie.Syn TEGO Solorza.Zwłaszcza,że to też bank Solorza. No to faktycznie… Jest się czego bać a te 20k to pewnie odwrócenie uwagi albo takie wzmocnienie argumentu.Zważywszy że facet jest praktycznie właścicielem takiego Polsatu przez różne pośrednie spółki.Zważywszy na to,że przez niektóre osoby nazwijmy to krytyczne wobec obozu władzy jest określany jako jeden z bankierów/słupów byłych Wojskowych Służb Informacyjnych (WSI) to na miejscu razor4 (i tego Polsilver’a) na wszelki wypadek profilaktycznie pomyślałbym o przedłużonych wakacjach w Reichu albo u naszych południowych sąsiadów albo choć zwiększyłbym ostrożność do poziomu paranoic-max.Ponieważ wg. ostatniego z wywiadów „Masy” (tak,tego świadka koronnego z mafii Pruszkowskiej) WSI to najwyższy level mafii u nas… Albo ktoś ma stalowe jaja,albo komuś brak rozumu – bo nawet PollyPocket z tym ekspertem ABW jest w takim ujęciu sprawy bezpieczniejszy.

        Odpowiedz
    • 2015.06.09 12:16 Stefan

      Banki oszczedzaja na bezpieczenstwie zwlaszcza na ludziach i to glownie z IT wiec nie nalezy sie dziwic w koncu mamy kryzys i trzeba oszczedzac …

      Odpowiedz
    • 2015.06.09 19:48 lavaredo

      Przecież niebezpiecznik już od dawana ma poziom pudelka. Abstrahując od poziomu merytorycznego autorów niebezpiecznika (szacunek dla wiedzy Piotra), to niusy tam są pisane jak dla gimbusów.

      Odpowiedz
  • 2015.06.08 22:10 m

    Środki są bezpieczne z prostego powodu. Bank dopisze w systemie parę zer i po sprawie ;]

    Odpowiedz
  • 2015.06.08 23:08 Kawak

    Jak byłem biedny tak dalej jestem biedny… Szkoda ze nikt nie wysyła kasy na losowe adresy, tylko każdy tą kasę zabiera :-(

    Odpowiedz
  • 2015.06.08 23:08 AAA

    Jeśli temat wyjdzie na światło dzienne to KAŻDY klient tego banku powinien was pociągnąć do odpowiedzialności za spowodowane straty. Pomyślcie ile osób PRZEZ WAS STRACI DOROBEK SWOJEGO ŻYCIA. Nie podając nazwy tego banku jesteście tacy sami jak ten złodziej – brawo!!!

    Odpowiedz
    • 2015.06.08 23:15 BBB

      Gdyby podali nazwę banku prawdopodobnie mogliby się już pakować i tyle by było z Z3S.

      Odpowiedz
    • 2015.06.08 23:16 Большая собака

      Biedaku, mylisz skutek z przyczyną.
      Przynajmniej nie siej FUDu.
      A w ogóle, to nie komentuj tu, bo strasznie nudzisz…
      Nie pozdrawiam

      Odpowiedz
      • 2015.06.14 16:18 AAA

        O nie nie zainteresowałem cię, jaka szkoda:( Strasznie mi się przykro zrobiło, tak mi dopiekłeś. W pięty mi poszło:( Już lepiej nie będę pisał, bo pewnie ziewasz…
        Pewnie wkurza cię to, ze 99% ludzi, których znasz ma inne poglądy. Kiedyś może jak będziesz miał szczęscie, dużo poczytasz (ale tak bez nudzenia się) to zrozumiesz, że oni wszyscy mieli zawsze rację. Wtedy ich możesz serdecznie pozdrowić!

        Odpowiedz
    • 2015.06.08 23:17 X

      1. Kto szuka ten znajdzie, A kamieni w polsce o tym kształcie jest mało.
      2. Wpierw niech zrobią im ci klienci rzutkę na prawników.
      3. Wdech i wydech.

      Odpowiedz
    • 2015.06.08 23:20 Michał El

      Jestem ciekaw jak ty byś się zachował w sytuacji gdy prowadzisz blog i nagle Bank (instytucja z ogromnym zapleczem) grozi ci prawnikami i otrzymujesz groźby.
      Pomyślałeś o tym że może autor ma rodzinę?

      Odpowiedz
      • 2015.06.08 23:51 turrysta

        I nie ma równowartości rocznych zarobków prezesa tego banku do wydania na adwokatów…

        Swoją drogą, ciekawe czy ktoś zawiadomił GIODO?

        Odpowiedz
  • 2015.06.08 23:24 rwerr

    Dziwi mnie brak reakcji banku. Przecież w każdej chwili gość może zacząć używać danych kart i co wtedy? Bank będzie dopisywał zera bo nie stać go na wymianę wszystkim kart?

    Odpowiedz
  • 2015.06.08 23:36 Hatred

    A można zakodować nazwę tego banku? Coś w deseń wyborów: myśliwska kontra podwawelska (Komoruski myśliwy kontra Duda mieszkający w mieście z widokiem na Wawel).

    Odpowiedz
  • 2015.06.08 23:36 Laszlo

    Proponuje zmienić dowód. zmiana dowodu to koszt zdjęcia

    Odpowiedz
  • 2015.06.08 23:38 Marcin

    Bardzo dużo ważnych informacji podaliście. Jeśli ktoś ma pojęcie o tym jak wygląda struktura katalogów w serwerze aplikacyjnym na dużym systemie typu UNIX to bardzo szybko drogą eliminatki dowie się, o który bank chodziło. To było proste.
    A teraz po Waszej stronie powinno być zgłoszenie do prokuratury o właściwościach miejscowych banku zawiadomienia o popełnieniu przestępstwa ściganego z art 190 par 1 KK w związku ze zgłoszeniem przestępstwa z art 278KK oraz 287 par 1 KK, możliwa jest także akcja jako oskarżyciel posiłkowy, co umożliwi prezentację dodatkowego materiału dowodowego przed sądem. Informację na ten temat przekazuje się także do KNF (jest to instytucja z urzędu związana z nadzorem nad poszkodowaną organizacją). Ze względu na fakt, że istnieją przesłanki, że było to przestępstwo obejmujące mienie o znacznej wartości z elektronicznego systemu bankowego, KNF przekaże sprawę do właściwej dla niego miejscowo prokuratury.

    Odpowiedz
  • 2015.06.08 23:54 Artur

    Nawet nie musieliście pisać, że to polski bank. W żadnym innym do podobnych reakcji na włamania by nie doszło, nie teraz.
    Jako przykład niech posłuży włam do PSN, gdzie Sony posypało głowę popiołem i zapewniło ochronę tożsamości oraz monitoring kart kredytowych użytych w serwisie wszystkim użytkownikom potencjalnie poszkodowanym we włamaniu.
    Kolejny przykład, w czwartek ujawniono włamanie i wyciek danych z amerykańskiego Office of Personnel Management i wszystkim potencjalnie poszkodowanym (nie znany jest faktyczny zakres i ilość wykradzionych danych) zaoferowano usługi ochrony tożsamości i pomoc przy ochronie ich i ich rodzin w związku z możliwymi atakami ukierunkowanymi. Można? Można, trzeba tylko rozejrzeć się dookoła i zdać sobie sprawę, że pewne wzorce zachowań odeszły w niebyt.
    Jednym z nich jest przerzucanie odpowiedzialności na uzytkownika i „jego” malware. Czy który kolwiek z managerow ryzyka operacyjnego tego banku ma pewność, że atakujący był jedyną osobą, która posiada rzekomo wykradzione dane? Że działał sam? I że dane nie zostaną tak czy inaczej ujawnione? Co wtedy ze stratami wizerunku, nie tylko tego banku ale całego środowiska? Czy rzeczywiście można tak sobie igrać z polskim klientem i jego zaufaniem do instytucji finansowych juz i tak mocno nadwątlonym?
    Sama forma komunikatu do Z3S jest krótko mówiąc dla banku nieprzyzwoita. Bądź co bądź, o ile jest to bank, z ważną licencją bankową, to jest to instytucja zaufania publicznego i takie jej zachowanie jest karygodne.

    Odpowiedz
  • 2015.06.09 00:25 Pebet

    Nie podanie nazwy banku daje wam zero autentyczności i rzetelności. Trzeba było w ogóle nie pisać artykułu albo zrobić to dobrze.

    Odpowiedz
    • 2015.06.09 00:37 Ha

      Jeśli byś miał choć trochę pod deklem i chwilę czasu, to sam byś doszedł do tego o jaki bank chodzi. Artykuł świetny, bo obnaża sposób w jaki funkcjonuje nasz świat.

      Odpowiedz
    • 2015.06.09 09:28 xor

      Dziwie sie że czytasz takie mądre strony a nie potrafisz dojść do tego jaki to bank

      Odpowiedz
  • 2015.06.09 01:34 ah77777

    Co za ludzie.
    Mają wirusy, nie potrafią odróżnić fałszywej strony od prawdziwej.
    Może jeszcze autoryzują hasła smsowe bez sprawdzania kwot i numerów kont.
    Okradani są kretyni i kompletni ignoraci.
    Po to banki wprowadziły hasła smsowe, żeby oddzielić komputery od haseł jednorazowych.
    A ludzie sami pchają się z dziurawymi smartfonami do banków.
    Nic tylko czekać na grupę podrózników-czyścicieli kont z imsi catcherami.
    Wtedy nawet nie pomogą hasła sms w ochronie kasy.

    Odpowiedz
    • 2015.06.09 17:08 kjlk

      mam wrażenie, że nie zrozumiałeś(aś) szczegółów tego ataku.
      Opcjonalnie Twoi rodzice byli bliskimi krewnymi.

      Odpowiedz
    • 2015.06.09 17:22 lol

      Ale to nie klientów atakowano tym razem
      Skoro klient = idiota to jak nazwać bank mający zapewne dział .sec który zalicza taki fuckup ?
      Kto tam pracuje, musiały być już ze 3 restrukturyzacje pierwszy sort, drugi sort, trzeci sort ;D

      Odpowiedz
    • 2015.06.09 17:37 leech

      Ten wyciek dotyczy włamania do systemu IT banku a nie fraudu spowodowanego infekcja po stronie klienta.
      Prosba o komentarze w temacie.

      Wycieki i fraudy sa rzecza powszechna i zdazac sie beda.
      Najwazniejsze aby istnialo prawodastwo obligujace instytucje finansowe do ich ujawniania niezwlocznie po wykryciu (jak to ma miejsce w amerykanskim regulatorze SOX)

      Odpowiedz
  • 2015.06.09 01:35 kuba

    To nie ten bank. Reportaż mówi o przypadkach z połowy 2014 roku.

    Odpowiedz
  • 2015.06.09 01:57 kuba

    Zwróćcie uwagę na jedną rzecz – w pierwszym mailu razor4 prosi o upublicznienie informacji. Scenariusz był więc pewnie taki:
    1. razor4 szantażuje bank
    2. bank go olewa (większość instytucji ma taką zasadę, że z szantażystami się nie gada, chyba że się to bardzo, ale to bardzo kalkuluje)
    3. razor4 pisze do z3s z prośbą o publikację informacji wiedząc, że efekt oburzonych klientów przenoszących konta sprawi, że bankowi zacznie się jednak kalkulować rozmowa z razorem4

    Publikując informacje od razu z3s przysłużyłaby się razorowi4. Zachowali się profesjonalnie nawiązując kontakt z bankiem. Niestety w banku, jak to w banku okazało się, że pracują zwykłe ch. Tym świstkiem od radcy można sobie podetrzeć tyłek. Dla banku kilka baniek straty to koszt dobrej kampanii reklamowej, a żadna kampanie nie naprawi tak nadszarpniętego wizerunku. Dlatego sprawy tego typu taniej jest zamieść pod dywan i pokryć z własnego budżetu. Takie rzeczy są skalkulowane i przewidziane. Pewnie z analizy ryzyka wychodzi, że taniej założyć mały fundusz na takie incydenty niż wdrażać zabezpieczenia. Dopóki straty się mieszczą w widełkach w interesie banku nie jest się przyznawać. Czy ktoś słyszał kiedyś o banku, który by się przyznał do takiej wtopy? I zgodził na publikację tej informacji?

    Odpowiedz
  • 2015.06.09 02:46 Grzegorz

    Jeśli nie możecie podać nazwy banku, to może możecie podać nazwę banków (w innym artykule) o których nie mieliście ostatnio informacji, że doszło do włamania?

    Odpowiedz
  • 2015.06.09 03:50 krzaq

    Zgodne z opisem, klienci wykorzystujący NoScript byli bezpieczni :)

    Odpowiedz
    • 2015.06.09 07:26 manto

      jasne… tylko, że skrypt serwowany był ze strony banku, którą musisz mieć na white liście bo inaczej nie działa Ci 96% funkcjonalności interfejsu… chyba, że ktoś z Was zna system transakcyjny banku, który będzie działać z wyłączonym JS… ja nie znam…

      Odpowiedz
      • 2015.06.09 10:53 LordBlick

        Jakbyś czytał ze zrozumieniem tekst, to byś doczytał, że skrypt był hostowany z innej domeny, chociaż łudząco podobnej, na która trzeba też „kliknąć”.

        Odpowiedz
        • 2015.06.10 08:34 Damian

          Ale jak miał pełny dostęp do serwera to dlaczego hostował plik gdzie indziej?

          Odpowiedz
  • 2015.06.09 04:59 mpan

    z3s, wielkie dzięki za publikację nawet pomimo zaistniałej sytuacji! Trzymajcie się ciepło.

    A ludki, które mają pretensje o nieujawnienie nazwy autora gróźb, niech sobie odpuszczą. Adam ma większe jaja od was wszystkich razem wziętych. Pomimo zagrożenia procesem o naruszenie dóbr osobistych opublikowane zostało, ile się dało. A wy, gdy już nazwa zostanie podana w mediach „ogólnych”, nie ruszycie nawet tyłka, tylko odważnmie pogadacie sobie zza klawiatury na facebooku, puścicie tweeta o bojkocie, dacie głos na populistę obiecującego gruszki na wierzbie w sprawie „sprawiedliwości wobec banków”, po czym grzecznie i cichutko zostaniecie w tym samym banku.

    Odpowiedz
  • 2015.06.09 06:28 a

    Sorry ale minus dla zaufanej za tą akcję. Albo mówicie wszystko co wiecie albo nic. Proszenie o unikanie spekulacji jest zabawne…

    Odpowiedz
  • 2015.06.09 06:55 Marcin

    Gdybym byl na Twoim miejscu Adam, to pierwszym krokiem byloby sprawdzenie w danych, do których mialbym dostep, kto w piatek okolo 11 łączył się z adresem, z którego wysłano mail. Może to nie TOR tylko VPN albo zwykłe proxy.

    Odpowiedz
  • 2015.06.09 07:38 Radek

    Adam – masz karę za pomaganie za darmo dużej firmie. Ja wiem, że temat piękny i ciekawy ale dokładnie takiego zachowania można się było po nich spodziewać.
    Jak coś robisz za darmo lub za tanio to jesteś traktowany jak śmieć, którego trzeba jak najbardziej wycisnąć i na końcu wyrzucić (a najlepiej jeszcze czymś zagrozić).

    Jeżeli chodzi o artykuł – dobra robota, ale nie daj się podpuścić nikomu i nie zwracaj uwagi na krzykaczy. Siedź cicho i chroń swój tyłek bo jak się na Ciebie rzucą to nikt nie pomoże.

    Odpowiedz
    • 2015.06.09 09:01 maslan

      I zgłoś na policję groźbę zabójstwa….

      Odpowiedz
  • 2015.06.09 08:14 debilek wiadomo skąd

    ej za narażenie danych osobowych na wyciek są bagiety, nie?

    Odpowiedz
  • 2015.06.09 08:16 zatroskany

    Adam robisz świetną robotę, nie zwracaj uwagi na gorzkie żale smarków w komentarzach. Najważniejsze jest Twoje bezpieczeństwo. Pozdrawiam.

    Odpowiedz
  • 2015.06.09 08:19 s

    Jedna uwaga – w artykule podana jest jasna informacja odnośnie losowania znaków przy kolejnych próbach wprowadzania hasła maskowalnego, to kategoryczny błąd, który byłby wykryty przez każdy audyt. Nie znam banku, w którym tak to działa lub działało, ale jeżeli ktoś zauważył takie funkcjonowanie w swoim banku to poza obowiązkową zmianą haseł i zablokowaniem dostępu, profilaktycznie może też zgłosić takie proszenie się o problemy banku do KNF. – Adam, szacunek za przekazanie tych ważnych informacji w odpowiedzialny sposób.

    Odpowiedz
    • 2015.06.10 02:03 Camis

      Nie znasz ?, ja znam BZWBK. Wpisujesz NIK (login), bank pyta na przyklad o haslo z pol nr:

      1
      3
      5

      Teraz nic nie wpisujac cofasz sie wstecz i jeszcze raz sie 'logujesz’ NIK. Bank teraz pyta o inny zestaw pol. Mozna zrobic tak dziesiatki razy i bank tego nie blokuje.

      Czyli znajac tylko kawalek hasla i NIK bez problemu mozna sie zalogowac komus na konto.

      Odpowiedz
  • 2015.06.09 08:38 Piotr

    To jest jakaś kipna….bank dał dupy i nie można poinformować który to ?

    Odpowiedz
  • 2015.06.09 08:44 G

    Prawdę mówiąc wydaje mi się że publikując nazwę banku zapewnił byś sobie bezpieczeństwo.

    Natomiast obecnie … 3 osoby wiedzą o jaki bank chodzi … wiec idąc za „liścikiem” to jest jakieś 60k PLN i spokuj :-).

    Odpowiedz
    • 2015.06.09 10:19 Maciek

      Jakie 3 osoby jak już cały Internet o tym wie.

      Odpowiedz
  • 2015.06.09 08:50 M

    Bardzo dobra dziennikarska robota! Niezależność przede wszystkim!

    Odpowiedz
  • 2015.06.09 08:56 maslan

    „Kilka godzin przed planowaną publikacją otrzymaliśmy wezwanie do zaniechania naruszenia dóbr osobistych od radcy prawnego reprezentującego bank”

    Że przepraszam jakie naruszanie dóbr? Naruszać dobra to można kłamliwym artykułem, w przeciwnym wypadku to jest nie naruszanie dóbr a ostrzeganie opinii publicznej….

    A zlecenie to już jest żenada, jak się jakkolwiek dowiem jaki to bank to postaram się wszystkich znajomych powiadomić….

    Odpowiedz
  • 2015.06.09 09:00 maslan

    Pytanie też np. o tego dilera samochodów. Czy bank nadal zasłania się trojanami (k****) czy już nie a tylko grozi Adamowi (nadal k****) ?

    Odpowiedz
  • 2015.06.09 09:01 Tomasz Klim

    Adam,

    jeśli chodzi o to, że boisz się podać nazwę banku z uwagi na możliwe konsekwencje prawne, to daj mi tylko zgodę na przedruk artykułu na blogu http://fajne.it – ja jestem gotów zawalczyć.

    Tomasz Klim
    Dyrektor IT
    Fajne.IT

    Odpowiedz
  • 2015.06.09 09:04 Jan

    Nie to nie, niebezpiecznik napisze więcej :D

    Swoją drogą to straszenie to na bank nie ze strony hakjera. Przecież ten pisal po to by zdobyć mołojecka sławę. Zgłoście sprawę na policję niech się na coś przydadzą.

    Odpowiedz
  • 2015.06.09 09:14 Kamil

    Adam, kawał dobrej roboty. Teraz jestem już przekonany, że wyrzucenie niebezpiecznika z subskrypcji i zaufanie tylko Twojemu portalowi było bardzo dobrym pomysłem. Nie „sprzedaj” się tak jak Piotr proszę. Zarabianie na portalu to nic złego, ale czasami wręcz hamskie zachowania to przesada.

    Powodzenia!

    Odpowiedz
  • 2015.06.09 09:30 Dev0

    ” Bank według włamywacza zrzucił problem na konie trojańskie na komputerach klientów. ”

    Tyle w temacie. Tak jak i w przypadku wyłudzenia kredytu na Kowalskiego, Kowalski ma problem, nie bank.

    @Z3S – bardzo dobry artykuł. Duże brawa za odwagę by go opublikować.

    Odpowiedz
  • 2015.06.09 09:50 Roman

    Na innych portalach od wczoraj podają co to za bank, a po więcej szczegółów odsyłają tutaj.

    Odpowiedz
  • 2015.06.09 10:02 wielki minus

    Wielki minus dla banku i jego pracowników. A czy tego typu groźby nie powinno się zgłaszać do prokuratury?

    Odpowiedz
  • 2015.06.09 10:07 TakToJest

    Niestety taka jest rzeczywistość. Nawet jeśli Adam zgłosi na policję fakt straszenia i poda ten adres IP, to policja sprawę umorzy. Miałem już różne akcje z ancymonami z zagranicy i nigdy policja żadnego nie znalazła ;) A co do banków, to ja tam mam tylko kredyty :D

    Odpowiedz
  • 2015.06.09 10:11 Tomasz

    Razor4 sugeruje, że mimo stosowania hasła maskowalnego przez bank nie miał problemu z przechwyceniem cudzych haseł, ponieważ zbierał je w ciągu kilku logowań. – kilka banków, które za każdym razem wymagają podania całego hasła przy logowaniu odpada ;)

    Odpowiedz
  • 2015.06.09 10:21 ale_my_wiemy_kocie

    Widzę, że mój komentarz został usunięty :D Albo nie opublikowany. Powraca zatem pytanie- jeśli informacje są prawdziwe, to dlaczego nie chcecie podać nazwy banku/banków? Bo?

    Odpowiedz
    • 2015.06.09 11:59 Frędzel

      A czytałeś artykuł? W szczególności fragment z nagłówkiem „Wezwania i pogróżki”?

      Odpowiedz
  • 2015.06.09 10:22 Eros

    http://samcik.blox.pl/html

    No to poszło już.

    Odpowiedz
  • 2015.06.09 10:24 roko

    Już są ogłoszenia o pracę dla admina w banku ;]

    Odpowiedz
  • 2015.06.09 10:34 Kamil z Dietmap

    Straszna plaga z tymi włamaniami teraz. Strach na każdym kroku. Ja zostałem kiedyś okradziony z PayU. Swoją drogą moglibyście podać jaki to bank, bo nie wiem, czy mam się bać…Heh, a mój dziadek zawsze powtarzał, że najlepszy jest „bank ziemski” :P

    Odpowiedz
  • 2015.06.09 10:45 cyhfonax

    pozdro dla kumatych ^

    Odpowiedz
    • 2015.06.09 17:13 klient

      Skąd wiesz?

      Odpowiedz
  • 2015.06.09 11:12 hmmm

    Swietny artykul Adamie, swietna robota. Bardzo mi przykro z powodu tego że tak Ciebie potraktowali do tego grożąc smiercią za ujawnienie nazwy banku. Mam nadzieję że w zamian włamywacz ujawni wszystkie dane oraz nazwe banku w innych miejscach sieci psując ich „dobrą” reputację.

    Odpowiedz
  • 2015.06.09 11:39 Frędzel

    Czy dobrze rozumiem, że bank groził Wam śmiercią albo trwałym kalectwem? To się nadaje do prokuratury.

    Odpowiedz
    • 2015.06.09 11:55 Adam

      Nie wiemy kto stał za groźbami.

      Odpowiedz
  • 2015.06.09 11:47 Nikt

    Po pierwsze narzuca się pytanie dlaczego ten razor tak chciał się pochwalić swymi dokonaniami. Normalnie jest tak, że złodziej nie chwali się tym, że okradł (co innego w przypadku deface strony w stylu „tu byłem – Tony Halik”). Po drugie, dlaczego włożył tyle wysiłku żeby przekonać szanowną redakcję o swoich dokonaniach. Coś mi to bardziej wygląda na grę „włamywacza” obliczoną na osłabienie pozycji banku i być może powiązych z nim sił (politycznych?) niż na finansowo motywowany włam. A może to tylko teoria spiskowa w rodzaju talibów w Klewkach czy Kiejutach.

    Odpowiedz
    • 2015.06.09 13:19 Marcin Rybak

      pewnie z tego samego powodu dlaczego nie tak dawno „producenci” ransomware wypuścili klucze szyfrujące. Razor wg podanych przez siebie danych zgarnął dużą bańkę i może sobie spokojnie zaszyć się gdzieś gdzie go albo nie znajdą, albo nie ma umowy ekstradycyjnej z PL. Zauważ też, że nie jest to żaden sławny nick w sieci, być może stworzony tylko na potrzeby tego deface.

      Odpowiedz
  • 2015.06.09 11:50 Mietek

    Czy „historia transakcji” i „potwierdzenie przelewu” pochodzą bezpośrednio z systemu naszego anonimowego banku?

    Odpowiedz
  • 2015.06.09 12:27 Michał

    Mimo wszystko powinniście to wyjawić

    Odpowiedz
  • 2015.06.09 12:58 Paweł Nyczaj

    Kiedy w końcu KNF zabroni zakładania kont na przelew? Chyba już czas na taki krok. To, co miało ułatwiać założenie nowego konta w nowym banku ułatwia życie także przestępcom, bo lewe konta bankowe są oferowane na rynku. Kupują je zarówno osoby chcące uciec przed komornikiem, alimenciarze, ale też przestępcy, bo przecież kradzież to dopiero pierwszy krok (ci, którzy nie są zaawansowanymi hakerami po prostu wyłudzają chwilówki na takie lewe konto). Kasę trzeba jeszcze wyprać i bywa to trudniejsze od samej kradzieży, a do tego podstawą są lewe konta.

    Warto tez dodać, że kilka banków jest na sprzedaż i może chodzić o zaniżenie wartości któregoś z nich. Jeśli to mały bank to zapewne przyoszczędził na security, bo prezes chciał więcej zarobić. W dzisiejszych czasach ten, kto oszczędza na IT security ginie, jednak jeszcze nie każdy zdaje sobie z tego sprawę. Na Zachodzie (może jeszcze nie w PL, ale wszystko przed nami) bywają też włamy do banków w celu sfinansowania tzw. Państwa Islamskiego (było kilka takich incydentów we Francji).

    Odpowiedz
    • 2015.06.09 15:37 Zenek

      A co ci przeszkadza konto na przelew mi takie konto tylko jest potrzebne innego nie potrzebuję.

      Odpowiedz
  • 2015.06.09 13:20 Zbyszek

    Mnie ciekawi uzycie formularza kontaktowego na stronie przez „Szakala”, ktos nieobeznany technicznie wszedl na tora i szybko wyslal grozbe przez ten formularz nie dbajac o bezpieczenstwo tylko dzialajac szybko, w panice.

    Ktos ogarniety wyslal by zaszyfrowanego maila majac wyjebane na nick itp.

    Odpowiedz
    • 2015.06.09 13:25 Adam

      To nie był Tor. Więcej dzisiaj wieczorem.

      Odpowiedz
      • 2015.06.09 14:46 taqie

        Rozumiem że już wiecie kto wysłał wam groźbę ?

        Odpowiedz
  • 2015.06.09 13:50 marian marianowski

    Szacunek za to, że Z3S ujawniła informacje o włamaniu. I tak dużo ujawniliście.
    Dzisiejszy świat finansów opiera się niestety na pieniądzu fiducjarnym, fiat money (słowa klucze). Z góry opiera się na wierze w to, że osoby nim administrujące będą mądrze nim zarządzały, nie manipulowały. Kiedyś, gdy był standard złota nie można było wytworzyć kolejnych ilości złota zgodnie z wolą jakichś ludzi z rządu/banku centralnego. Nie ma się więc co dziwić, że obawiają się utraty wizerunku i stosują security by obscurity.

    Odpowiedz
  • 2015.06.09 14:01 Polak

    Dobrze, że nie mam konta w banku, więc nie mam problemu z włamaniami zresztą 620zł się trzymać na koncie nie opłaca i jeszcze opłaty no sami wiecie.

    Odpowiedz
  • 2015.06.09 14:13 Tony

    Ja na jego miejscu bym zrobił tak wziął kasę zakupił sobie jakaś zajebistą furę dom i żył bym już długo i szczęśliwie. Ale ktoś taki jak ja zawsze ma pod górkę.

    Odpowiedz
  • 2015.06.09 16:19 lolex

    wow
    Chciało by się zapytać co z dobrami osobistymi klientów .

    Odpowiedz
  • 2015.06.09 16:26 misiou

    Adam, dobra robota!

    Odpowiedz
  • 2015.06.09 16:29 Wujek

    Dobra robota, artykuł na duży plus.

    Odpowiedz
  • 2015.06.09 17:14 kjlk

    odpowiedź dla prawnika należałoby przygotować wraz ze swoim.
    Z grubsza o treści

    „Ochrona dobrego imienia banku musi ustąpić ochronie wartości nadrzędnych: ochronie danych osobowych klientów banku, ochronie majątku klientów banku.
    O jednoznacze rozstrzygnięcie tego zwracamy się do SO w …… .

    Ponadto, w imię ochrony majątku właścicieli banku podjęliśmy decyzję o poinformowaniu nadzoru wlaścicielskiego banku oraz nadzoru bankowego. Podejmujemy to działanie, aby właściciele banku oraz regulator mogli świadomie ocenić ryzyko związane z ewentualnym „zamieceniem problemu pod dywan”, na co wskazuje wielomiesięczne swobodne działanie włamywacza w systemie banku”

    Odpowiedz
  • 2015.06.09 18:44 shogoki to moja waifu

    Grożenie zabójstwem to dobra zabawa, bagiety nie mogą nic zrobić xD
    Ekipie Z3S polecam zabawe w zlewy + groźby karalne pod adresem sklepów złych na wracające paczki xD

    Odpowiedz
  • 2015.06.09 20:01 Zygmunt

    Po co pomagać bankowi? I koniecznie trzeba podać nazwę banku, niech ludzie wiedzą.
    Artykuł na czwórke. Z plusem.

    Odpowiedz
    • 2015.06.09 23:16 Patryk

      Hahahahaha, dobre :)

      Odpowiedz
  • 2015.06.09 20:44 motherfucker

    tylko 20 k za glowe? starsznie tanio lol

    Odpowiedz
  • 2015.06.09 21:45 republika

    na torrepublice wszystko juz jest;) kto to zrobił , jaki bank
    http://nco5ranerted3nkt.onion/viewtopic.php?id=7306

    Odpowiedz
  • 2015.06.09 22:10 Michał

    Zdecydowanie warto przeanalizować zdarzenie w kontekście czasu reakcji oraz podjętych działań przez zarząd banku, jednak niezależnie od konkretnego banku, wszystkie instytucje finansowe a z pewnością banki powinny pochwalić się wynikami takiego audytu.

    Odpowiedz
  • 2015.06.09 22:50 Patryk

    Czy to nie jest przypadkiem echo tej sprawy: http://poszkodowaniprzezpkobp.pl/ ? Wygląda to na dość podobny schemat działania…

    Odpowiedz
  • 2015.06.09 22:50 Wojtek758

    Bardzo wątpliwe zeby Bank otwarcie przyznał sie do de facto wlamania i przejecia przez atakującego wrazliwych danych. Nawet za cene rekompensaty strat wynikajacych z ataku.. mysle ze nawet nie informujac potencjalnej ofiary, ze zwrocone zostaly srodki, ktore ktos ukradł. Sam fakt ujawnienia takich info i dowod na ich posiadanie (nawet ten przedstawiony) to mocny sygnał ze faktycznie cos złego mialo miejsce.

    Odpowiedz
  • 2015.06.09 23:30 Marek

    Co do tego o jakim banku mowa nie trzeba spekulować – można spróbować wydedukować
    Zdaje się, że większość banków z top 10 to spółki akcyjne, które mają obowiązek co kwartał publikować raporty finansowe dla akcjonariuszy. Jeśli straty były pokryte przez bank to zapewne musiał je wykazać w raporcie za Q1. Wystarczy porównać kwoty, o ile rzecz jasna nie zostały sprytnie zakamuflowane i połączone z innymi wydatkami w rubrykach w rodzaju „Pozostałe koszty” :)

    Odpowiedz
  • 2015.06.10 11:40 Marcin

    A teraz nie działa już strona tegoż banku. Hakery znów dały znać o sobie.

    Odpowiedz
  • 2015.06.11 21:11 kalina_15

    Powyższy artykuł jest sygnałem, by w kontaktach elektronicznych z bankiem przestrzegać zasad bezpieczeństwa informacji. Pomimo wszelkich starań nigdy nie mamy 100% pewności, że nasze oszczędności czy dane osobowe nie trafią w niepowołane ręce. Każdy klient logujący się przed miesiącem maj na swoje konto w banku mógł paść ofiarą działań włamywacza. Żaden przeciętny użytkownik konta nie jest w stanie zapobiec, ani przewidzieć działań hakerskich, ale może w pewnym stopniu zadbać i polepszyć własne bezpieczeństwo. Zgodnie z zapisem w normie PN-ISO-IEC_27002 w rozdziale 6.2 Polityka stosowania urządzeń mobilnych „zaleca się zachowanie ostrożności podczas korzystania z urządzeń mobilnych w miejscach publicznych, salach konferencyjnych i innych niezabezpieczonych obszarach. Zaleca się stosowanie środków ochrony, aby uniknąć nieautoryzowanego dostępu do tych urządzeń i ujawnienia informacji przechowywanych i przetwarzanych te urządzenia”. Przytoczona norma daje ogólne wskazówki zabezpieczania się przed różnego typu włamaniami. My chcemy jednak podkreślić, że to od klienta w dużej mierze zależy bezpieczeństwo jego konta. Klient nie jest zdany jedynie na łaskę banków i ich metody zabezpieczania. To człowiek jest podatny na sugestie i różne propozycje, na oddziaływanie cyberprzestępców. Często nawet nie zdajemy sobie sprawy, że właśnie zainstalowany program może okazać się szkodliwą aplikacją, dzięki której logowanie się z różnych miejsc do naszego konta będzie możliwe. Dlatego też nie bagatelizujmy tego problemu i zastosujmy się chociażby do wskazówek naszego banku, który ma na celu ochronę naszych środków a nie utrudnianie nam życia. Każdemu z nas przecież zależy aby być bezpiecznym, żeby nie zostać oszukanym czy pozbawionym naszych środków.

    Odpowiedz
  • 2015.06.11 22:55 master

    Podobno nie jest to Orange Bank, ani T-mobile bank ani tym bardziej Play bank…

    Odpowiedz
  • 2015.06.12 19:21 max

    To typowe wyprowadzenie kasy z systemu. Nastepnie uwiarygodnienie the story.Widac wyraznie, ze gra sie tu na zasadzie bank to ten dobry, wlamywacz to ten zly i na odwrot. mieszanie pojec by wywolac odpowiedni metlik. tu jest tylko jedna grupa dzialajaca razem. Przeczytajcie te historie jeszcze raz ale z nastawieniem, ze jeden i drudzy to ta sama strona medalu.
    Adam zglos te grozbe karalna przeciwko zyciu. chodzi o nie pozostawianie takich rzeczy samopas. w sama grozbe nie wierze, bo byla wydalona w celu uwiarygodnienia narracji, ale jest ona scisle powiazana z tematem i powinna znalezc tam swoje miejsce od strony procesowej.

    Odpowiedz
  • 2015.06.13 09:25 hipolit

    Czy ja dobrze rozumiem, że „redaktorzy” tego „felietonu” współpracują z przestępcą?

    Odpowiedz
  • 2015.06.14 10:55 Seweryn

    Ciekawe czy namierzą Razora4, sprawa zrobiła się na tyle poważna że bank wreszcie zaczął się tym interesować i pisać oświadczenia. Szkoda mi tych wszystkich klientów, zwłaszcza tych okradzionych.

    Bank mógł to załatwić po cichu i dogadać się z razorem4 na jakąś sumę, w zamian za pokazanie luk i błędów.

    Odpowiedz
  • 2016.07.02 14:07 Arne Allen

    O Lord, help me to be pure, but not yet.

    Odpowiedz
  • 2022.09.18 11:16 janusz

    Bank ma u mnie dużego plusa. Taki Plus Bank!

    Odpowiedz

Zostaw odpowiedź do d33tah

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Poważne włamanie do polskiego banku, skradzione dane i hasła klientów

Komentarze