Skandalu z utylizacją sprzętu ciąg dalszy, czyli co można kupić na Allegro

dodał 24 stycznia 2014 o 09:03 w kategorii Wpadki  z tagami:
Skandalu z utylizacją sprzętu ciąg dalszy, czyli co można kupić na Allegro

(źródło: torkildr)

Na Allegro nadal można kupić urządzenia sieciowe z konfiguracją wskazującą na pochodzenie z banku PKO BP. Firma nimi handlująca nie przejęła się naszym artykułem sprzed pół roku i ciągle sprzedaje sprzęt, który powinien był trafić na przemiał.

Kilka miesięcy temu opisaliśmy, jak na Allegro za 50 PLN można kupić rutery banku PKO BP z danymi o konfiguracji sieci, w tym hasłach. Dzięki temu udało się skontaktować z osobą, która opowiedziała nam o tym, jak wygląda w Polsce proces utylizacji sprzętu komputerowego i w jaki sposób teoretycznie zutylizowane urządzenia trafiają na Allegro wraz z danymi w nich zawartymi.

Internauci potwierdzają istnienie problemu

Gdy nasz artykuł trafił z płomieniem na stronę główna Wykopu, pojawiło się pod nim kilka ciekawych komentarzy. Poniżej cytujemy kilka z nich.

Radbard: Norma – kiedyś wygrałem przetarg na „zużyte” komputery szpitala miejskiego….nawet im (informatykom) się nie chciało wyjmować dysków czy choćby formata walnąć. Miałem dostęp do wszystkich danych na dyskach (daty zabiegów, wyniki badań, karty pacjentów).

Blubi_su: Parę lat temu na giełdzie komputerowej w Warszawie kupiłem okazyjnie 12 komputerów DELL. Takie typowe desktopy. Ludzie. Ile ja tam znalazłem na tych dyskach… Programy księgowe, faktury, stany magazynowe.  

Dinth: Za granica nie jest inaczej. Nawet korporacje z FTSE zlecają utylizacje sprzętu komputerowego zewnętrznym firmom, firmy te zabierają sprzęt, a potem pojawia się on … na polskim Allegro.

Jak więc widać, proceder odsprzedawania używanego sprzętu bez wcześniejszego usunięcia informacji trwa w naszym kraju w najlepsze, a nasi kreatywni rodacy zaczęli nawet importować sprzęt „utylizowany” w Wielkiej Brytanii.

Skąd rutery biorą się na Allegro

Oddajmy głos osobie, która zna ten proceder od podszewki i na naszą prośbę zgodziła się go opisać:

Bank ogłasza przetarg na utylizację sprzętu komputerowego. Jedna z dużych polskich firm o obco brzmiącej nazwie, zajmujących się tą działalnością, wygrywa przetarg. Firma posiada wszystkie niezbędne kwalifikacje i zezwolenia na przewóz odpadów, ich składowanie, utylizację i recykling. Według umowy firma ma dokonać utylizacji i recyklingu, czyli sprzęt rozebrać na części, podzielić na materiały i zmielić, by odzyskać metale kolorowe. W rzeczywistości jednak firma utylizacyjna odsprzedaje część towaru, nadającą się do dalszej obróbki, firmie Infodruk z Białegostoku. Wybrane palety ze sprzętem jadą następnie do Białegostoku, gdzie pracownicy firmy dokonują segregacji asortymentu. Oddzielane są urządzenia działające, które trzeba tylko przed sprzedażą oczyścić od takich, które wymagają naprawy lub skompletowania jednego działającego z trzech zepsutych. Ze sprzętu precyzyjnie usuwane są naklejki czy inne znaki świadczące o poprzednim posiadaczu. Jeszcze jakiś czas temu firma zatrudniała osobę, której zadaniem było wyczyszczenie wszystkich danych ze sprzedawanych urządzeń, jednak obecnie ten etap przygotowania do sprzedaży jest pomijany. Gotowy sprzęt ląduje na Allegro a firma zaczyna się modlić, by podziałał od 3 do 6 miesięcy (bo na tyle z reguły udziela gwarancji). W ten sposób w ręce internautów trafiały już nie tylko rutery czy inne urządzenia sieciowe, ale także drukarki i ksera, których dyski twarde zawierały skany dowodów lub umów a nawet całe komputery z dyskami zawierającymi wszystkie możliwe dane. Cały proceder toczy się w niezakłócony sposób od co najmniej 10 lat.

Kolejne rutery PKO BP na Allegro

Można by pomyśleć, że po naszym poprzednim artykule przynajmniej urządzenia banku PKO BP znikną z internetowych aukcji. Nic bardziej mylnego. Kilka dni temu jeden z naszych Czytelników kupił na tej aukcji ruter Cisco 2651, zawierający konfigurację wskazującą na pochodzenie urządzenia z PKO BP. Jeśli plik konfiguracyjny nie kłamie, konfiguracja rutera była ostatni raz aktualizowana w lipcu 2011 a samo urządzenie działało w oddziale w Białymstoku lub okolicach. Łączących się z urządzeniem wita nieco inny komunikat niż w przypadku rutera opisywanego przez nas w sierpniu:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!To urzadzenie jest wlasnoscia Powszechnej Kasy Oszczednosci Banku Polskiego SA!
!          NIEAUTORYZOWANY DOSTEP DO TEGO URZADZENIA JEST ZABRONIONY           !
!Jezeli nie masz uprawnien do dostepu do tego urzadzenia natychmiast przerwij  !
!polaczenie. Urzadzenie jest monitorowane i wszystkie dzialania na nim         !
!wykonywane sa rejestrowane. Wszelkie przypadki dostepu, prob dostepu          !
!oraz innych dzialan wykonywanych na tym urzadzeniu przez osoby nieuprawnione  !
!beda skutkowaly konsekwencjami prawnymi dla tych osob.                        !
!                                                                              !
!  This equipment is property of Powszechna Kasa Oszczednosci Bank Polski SA   !
!          UNAUTHIRIZED ACCESS TO THIS DEVICE IS STRICTLY PROHIBITED           !
!If you do not have permission to access this device end the connection        !
!immediately. This device is monitored and all actions performed on it         !
!are logged. Any access, access attempts and other activities performed on this!
!device by unauthorized persons will result in legal consequences for them.    !
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Sama konfiguracja dla osób postronnych nie ma wielkiej wartości – ot, maszyna obsługująca komputery, telefony IP i bankomaty. Trochę list dostępowych, kilka haseł, map rutingu, typowa zawartość rutera przydatna tylko dla kogoś, kto chciałby po włamaniu do sieci banku poznać ją trochę lepiej. Można by jednak sądzić, że po poprzednim incydencie podobne nie powinny się zdarzyć. Jak mówił w sierpniu odpowiedzi na nasze pytania poszkodowany:

Po zakończeniu ustaleń PKO Bank Polski podejmie dalsze skuteczne działania w celu wyeliminowania możliwości zaistnienia podobnych przypadków w przyszłości.

Niestety jak widać dalsze działania nie były takie skuteczne. Poprosiliśmy bank o komentarz dotyczący efektów działań podjętych w sierpniu, a w odpowiedzi usłyszeliśmy:

Niezależnie od tego kiedy i gdzie kupione zostały zezłomowane urządzenia, tak jak w poprzedniej odpowiedzi przypomnę, że polityka bezpieczeństwa PKO Banku Polskiego nie przewiduje odsprzedaży urządzeń zawierających jakiekolwiek dane bankowe. Dane zawarte na wskazanych przez Pana urządzeniach były zdezaktualizowane już w chwili, gdy urządzenia przekazano do zutylizowania. Podobnie jak w tamtym przypadku dane jakie znalazł Pan i Pana Czytelnik nie mogłyby być wykorzystane na szkodę PKO Banku Polskiego i naszych klientów.

Może warto w końcu ukrócić odbywający się od wielu lat proceder, zanim ktoś na Allegro kupi dysk twardy wymontowany z bankomatu lub komputera kasjera?

Podobne wpisy