24.01.2014 | 09:03

Adam Haertle

Skandalu z utylizacją sprzętu ciąg dalszy, czyli co można kupić na Allegro

Na Allegro nadal można kupić urządzenia sieciowe z konfiguracją wskazującą na pochodzenie z banku PKO BP. Firma nimi handlująca nie przejęła się naszym artykułem sprzed pół roku i ciągle sprzedaje sprzęt, który powinien był trafić na przemiał.

Kilka miesięcy temu opisaliśmy, jak na Allegro za 50 PLN można kupić rutery banku PKO BP z danymi o konfiguracji sieci, w tym hasłach. Dzięki temu udało się skontaktować z osobą, która opowiedziała nam o tym, jak wygląda w Polsce proces utylizacji sprzętu komputerowego i w jaki sposób teoretycznie zutylizowane urządzenia trafiają na Allegro wraz z danymi w nich zawartymi.

Internauci potwierdzają istnienie problemu

Gdy nasz artykuł trafił z płomieniem na stronę główna Wykopu, pojawiło się pod nim kilka ciekawych komentarzy. Poniżej cytujemy kilka z nich.

Radbard: Norma – kiedyś wygrałem przetarg na „zużyte” komputery szpitala miejskiego….nawet im (informatykom) się nie chciało wyjmować dysków czy choćby formata walnąć. Miałem dostęp do wszystkich danych na dyskach (daty zabiegów, wyniki badań, karty pacjentów).

Blubi_su: Parę lat temu na giełdzie komputerowej w Warszawie kupiłem okazyjnie 12 komputerów DELL. Takie typowe desktopy. Ludzie. Ile ja tam znalazłem na tych dyskach… Programy księgowe, faktury, stany magazynowe.  

Dinth: Za granica nie jest inaczej. Nawet korporacje z FTSE zlecają utylizacje sprzętu komputerowego zewnętrznym firmom, firmy te zabierają sprzęt, a potem pojawia się on … na polskim Allegro.

Jak więc widać, proceder odsprzedawania używanego sprzętu bez wcześniejszego usunięcia informacji trwa w naszym kraju w najlepsze, a nasi kreatywni rodacy zaczęli nawet importować sprzęt „utylizowany” w Wielkiej Brytanii.

Skąd rutery biorą się na Allegro

Oddajmy głos osobie, która zna ten proceder od podszewki i na naszą prośbę zgodziła się go opisać:

Bank ogłasza przetarg na utylizację sprzętu komputerowego. Jedna z dużych polskich firm o obco brzmiącej nazwie, zajmujących się tą działalnością, wygrywa przetarg. Firma posiada wszystkie niezbędne kwalifikacje i zezwolenia na przewóz odpadów, ich składowanie, utylizację i recykling. Według umowy firma ma dokonać utylizacji i recyklingu, czyli sprzęt rozebrać na części, podzielić na materiały i zmielić, by odzyskać metale kolorowe. W rzeczywistości jednak firma utylizacyjna odsprzedaje część towaru, nadającą się do dalszej obróbki, firmie Infodruk z Białegostoku. Wybrane palety ze sprzętem jadą następnie do Białegostoku, gdzie pracownicy firmy dokonują segregacji asortymentu. Oddzielane są urządzenia działające, które trzeba tylko przed sprzedażą oczyścić od takich, które wymagają naprawy lub skompletowania jednego działającego z trzech zepsutych. Ze sprzętu precyzyjnie usuwane są naklejki czy inne znaki świadczące o poprzednim posiadaczu. Jeszcze jakiś czas temu firma zatrudniała osobę, której zadaniem było wyczyszczenie wszystkich danych ze sprzedawanych urządzeń, jednak obecnie ten etap przygotowania do sprzedaży jest pomijany. Gotowy sprzęt ląduje na Allegro a firma zaczyna się modlić, by podziałał od 3 do 6 miesięcy (bo na tyle z reguły udziela gwarancji). W ten sposób w ręce internautów trafiały już nie tylko rutery czy inne urządzenia sieciowe, ale także drukarki i ksera, których dyski twarde zawierały skany dowodów lub umów a nawet całe komputery z dyskami zawierającymi wszystkie możliwe dane. Cały proceder toczy się w niezakłócony sposób od co najmniej 10 lat.

Kolejne rutery PKO BP na Allegro

Można by pomyśleć, że po naszym poprzednim artykule przynajmniej urządzenia banku PKO BP znikną z internetowych aukcji. Nic bardziej mylnego. Kilka dni temu jeden z naszych Czytelników kupił na tej aukcji ruter Cisco 2651, zawierający konfigurację wskazującą na pochodzenie urządzenia z PKO BP. Jeśli plik konfiguracyjny nie kłamie, konfiguracja rutera była ostatni raz aktualizowana w lipcu 2011 a samo urządzenie działało w oddziale w Białymstoku lub okolicach. Łączących się z urządzeniem wita nieco inny komunikat niż w przypadku rutera opisywanego przez nas w sierpniu:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!To urzadzenie jest wlasnoscia Powszechnej Kasy Oszczednosci Banku Polskiego SA!
!          NIEAUTORYZOWANY DOSTEP DO TEGO URZADZENIA JEST ZABRONIONY           !
!Jezeli nie masz uprawnien do dostepu do tego urzadzenia natychmiast przerwij  !
!polaczenie. Urzadzenie jest monitorowane i wszystkie dzialania na nim         !
!wykonywane sa rejestrowane. Wszelkie przypadki dostepu, prob dostepu          !
!oraz innych dzialan wykonywanych na tym urzadzeniu przez osoby nieuprawnione  !
!beda skutkowaly konsekwencjami prawnymi dla tych osob.                        !
!                                                                              !
!  This equipment is property of Powszechna Kasa Oszczednosci Bank Polski SA   !
!          UNAUTHIRIZED ACCESS TO THIS DEVICE IS STRICTLY PROHIBITED           !
!If you do not have permission to access this device end the connection        !
!immediately. This device is monitored and all actions performed on it         !
!are logged. Any access, access attempts and other activities performed on this!
!device by unauthorized persons will result in legal consequences for them.    !
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Sama konfiguracja dla osób postronnych nie ma wielkiej wartości – ot, maszyna obsługująca komputery, telefony IP i bankomaty. Trochę list dostępowych, kilka haseł, map rutingu, typowa zawartość rutera przydatna tylko dla kogoś, kto chciałby po włamaniu do sieci banku poznać ją trochę lepiej. Można by jednak sądzić, że po poprzednim incydencie podobne nie powinny się zdarzyć. Jak mówił w sierpniu odpowiedzi na nasze pytania poszkodowany:

Po zakończeniu ustaleń PKO Bank Polski podejmie dalsze skuteczne działania w celu wyeliminowania możliwości zaistnienia podobnych przypadków w przyszłości.

Niestety jak widać dalsze działania nie były takie skuteczne. Poprosiliśmy bank o komentarz dotyczący efektów działań podjętych w sierpniu, a w odpowiedzi usłyszeliśmy:

Niezależnie od tego kiedy i gdzie kupione zostały zezłomowane urządzenia, tak jak w poprzedniej odpowiedzi przypomnę, że polityka bezpieczeństwa PKO Banku Polskiego nie przewiduje odsprzedaży urządzeń zawierających jakiekolwiek dane bankowe. Dane zawarte na wskazanych przez Pana urządzeniach były zdezaktualizowane już w chwili, gdy urządzenia przekazano do zutylizowania. Podobnie jak w tamtym przypadku dane jakie znalazł Pan i Pana Czytelnik nie mogłyby być wykorzystane na szkodę PKO Banku Polskiego i naszych klientów.

Może warto w końcu ukrócić odbywający się od wielu lat proceder, zanim ktoś na Allegro kupi dysk twardy wymontowany z bankomatu lub komputera kasjera?

Powrót

Komentarze

  • 2014.01.24 09:28 stachu

    Koledzy, ale ten „proceder” to normalna sprawa, samochody też się rozbiera na części i je odsprzedaje bo pozwala na to prawo, + kreatywnie wykorzystuje to co się nie sprzeda. Na tym polega odzysk/recycling. Kwestia żeby zrobić to bezpiecznie i bez zagrożenia dla właściciela sprzętu…

    Odpowiedz
    • 2014.01.25 11:04 dexterxx

      Obawiam się, że jeszcze nie odnaleziono sposobu odczytu poufnych dokumentów i danych osobowych z obudowy katalizatora…

      Odpowiedz
  • 2014.01.24 10:17 bzbzbzbz

    stachu: to wyslij mi swoj dysk.

    Odpowiedz
  • 2014.01.24 10:27 Maciej

    Kiedyś mi w łapy wpadł HPk z „wyczyszczonym” dyskiem… System faktycznie na nim nie wstawał, ale livecd ukazał mi MNÓSTWO dokumentów, faktur, skanów, danych osobowych i sporo pornografii :P
    Polizingowe kompy: polecam ;)

    Odpowiedz
  • 2014.01.24 12:29 anon

    no ja nie wiem czym sie podniecac , a niech sprzedaja na allegro, ebay , tablicy, nawet u pana zdzisia. skoro wedle banku to nie problem to nie straszmy ich co moze sie stac

    Odpowiedz
    • 2014.01.24 20:07 Sebastian

      Nie wiem czy to ironia czy nie. Jeśli nie to masz kiepściutką wyobraźnię.

      Odpowiedz
  • 2014.01.24 15:51 Paweł N

    @anon, to się może stać że dowiesz się po 3 latach że masz wzięty kredyt który ktoś wziął na Ciebie, skany dowodu są, wszystkie dane, adresy itp. Przykładów można podać krocie.

    Odpowiedz
  • 2014.01.24 19:05 steppe

    Zapewne dopiero jakaś spektakularna wpadka otworzyłaby oczy zarządzającym :(

    Odpowiedz
  • 2014.01.24 19:24 Viktor

    Firma dupa. W normalnych firmach z polityką bezpieczeństwa żaden dysk nie wychodzi poza mury firmy. Ksero czy komputer idzie do serwisu-dysk zostaje.
    Dział IT sam zajmuje się usuwaniem danych lub wynajmuje się firmę z niszczarką lub degausserem.
    To taki przykład z firmy produkcyjnej.

    Odpowiedz
    • 2014.01.28 15:46 Amadeuszx

      A u mnie w firmie dyski traktuje się młotkiem, to jest nieco tańsze rozwiązanie niż degausser :-)

      Odpowiedz
      • 2014.02.03 16:38 Gabriel

        @Amadeusz
        Ciekawostka: w Google też używają młotka, tylko takiego profesjonalnego, automatycznego, który miażdży dyski. No ale oprócz tego wcześniej nadpisują dane, a później palą połamane dyski. Tutaj jutjub wideło http://youtu.be/wNyFhZTSnPg?t=3m10s

        Odpowiedz
  • 2014.01.24 21:02 Elo

    Przeklejam swój komentarz z Wykopu. Przeczytajcie ustawę i napiszcie jakiś sensowny artykuł. „Nie macie pojęcia o czym mówicie. I przez lenistwo nie chce się Wam nawet nic sprawdzić. Więc pomagam. Ustawa z dnia 29 lipca 2005 r. o zużytym sprzęcie elektrycznym i elektronicznym nie zabrania handlować takim sprzętem, ale wręcz wymaga, żeby Zakłady Przetwarzania przekazywały część sprzętu, bądź elementów do powtórnego wykorzystania i raportowały ile dokładnie takiego sprzętu (części) przekazały (Art. 50, punkt 1a ) Przekazujący do zakładu przetwarzania np. bank może sobie zażyczyć zniszczenia tego czy tamtego, ale za profesjonalne zniszczenie przeważnie trzeba zapłacić.” Pozdrawiam

    Odpowiedz
    • 2014.01.24 21:40 Adam

      Oczywiście, że ustawa nie zabrania handlowania tym sprzętem. Zabrania tego umowa z bankiem, która nakazuje odbierającemu sprzęt jego utylizację, a nie wystawienie na Allegro. I o tym właśnie jest artykuł. Przeczytaj go i napisz jakiś sensowny komentarz.

      Odpowiedz
      • 2014.01.24 22:11 Elo

        Nie ma czegoś takiego jak „utylizacja” zużytego sprzętu elektronicznego. Znów zapraszam do ustawy. Mamy proces zbieranie-przetwarzanie-odzysk/recykling. Definicje odzysku i recyklingu masz w ustawie o odpadach. Jeżeli sprzęt odbierany jest w jako odpad to bank może na KPO poprosić o potwierdzenie odzysku/recyklingu czym jest również powtórne użycie. Czym innym jest umowa o zniszczenie wszelkich danych, wystawianie certyfikatów bądź wybranie firmy, która to zagwarantuje np. niszcząc sprzęt przy pracownikach banku, nagrywając to czy wystawiając potwierdzenie zniszczenia/usunięcia danych. Gwarantuję Ci, że banki wiedza lepiej co im grozi oddając router. Dyski i wszelkie inne nośniki poufnych danych są niszczone profesjonalnie. Bo to co piszesz o jakiejś całościowej utylizacji to głupota. Utylizacja całego sprzętu ? Myszki i klawiatury też należy przemielić? Tylko oddający sprzęt decyduje , który sprzęt powinien być szczególnie traktowany ze względu na bezpieczeństwo klientów/banków. Na podstawie szczegółowej umowy. I sam bank Ci odpowiedział, że ten sprzęt i dane na nim nic nie znaczą w tym momencie.
        I odnosząc się do artykułu, ktoś pisał na wykopie, że miał ze szpitala komputery ze wszelkimi danymi. Zakłady przetwarzania zużytego sprzętu za to nie odpowiadają, jeżeli nie wystawiały certyfikatu zniszczenia danych. Za dane odpowiada przekazujący, a nie przyjmujący.

        Odpowiedz
    • 2017.02.02 18:58 Vit

      Wreszcie ktos kto pisze z sensem. Ustawa jasno okresla ze recykling to rowniez ponowne wprowadzenie sprzetu do uzytku.

      Odpowiedz
  • 2014.01.25 00:01 Marcin

    chcesz zutylizować sprzęt to sam to zrób przemielić dysk twardy i części porozrzucać do wszelkich akwenach wodnych w okolicy ;-)

    Odpowiedz
  • 2014.01.26 06:37 Kamil

    Jesli chodzi o desktopy (rowniez wykorzystywane w oddzialach) to w niektorych bankach przestalo to byc juz problemem po wprowadzeniu rozwiazan typu Gemini Citrix. Przynajmniej w przypadku mozliwego wycieku danych finansowych.

    Odpowiedz
  • 2014.02.07 08:18 Paweł

    Tak jak wcześniej pisali o degausserach, z ciekawości zobaczyłem jak to działa,
    znalazłem filmik opisujący proces niszczenia dysków twardych,
    Zostawię linka dla tych co nie maja pojęcia o demagnetyzacji
    http://www.youtube.com/watch?v=CvviScmb-kY

    Odpowiedz

Zostaw odpowiedź do Vit

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Skandalu z utylizacją sprzętu ciąg dalszy, czyli co można kupić na Allegro

Komentarze