Wiadomości

Bank Pekao SA komentuje sprawę wycieku danych

dodano: 
29.07.2008
komentarzy: 
3

Z Pulsu Biznesu dowiadujemy się, że 8 lipca w banku Pekao SA doszło do jednego z największych wycieków danych w Polsce. Sytuację oraz publikację w magazynie komentuje dla PRoto Magdalena Załubska-Król, zastępca rzecznika prasowego ds. produktowych w banku.

Redakcja PRoto: Co było przyczyną wypływu informacji?
Magdalena Załubska-Król: Na początku lipca portal – założony i administrowany przez zewnętrzną firmę – stał się obiektem nieautoryzowanego wejścia osoby, która zlikwidowała istniejące tam zabezpieczenia i podmieniła pliki systemowe. Dzień później link do strony z danymi zaczął krążyć po sieci. Bank złożył do prokuratury doniesienie o możliwości popełnienia przestępstwa w tej sprawie. IP, z którego dokonano zmian, jak również wykonane w aplikacji działania są dobrze udokumentowane i pozostają dowodem w sprawie. Warto zatem podkreślić, że mamy uzasadnione przypuszczenie, że Bank padł w tej sprawie ofiarą przestępstwa.

Red.: Zdaniem Bartłomieja Juszczyka z Grupy Adweb Technologie Internetowe, cytowanego przez PB, winny był nieodpowiednio zabezpieczony dostęp do danych i może wkrótce zaatakuje go haker...
M Z-K:: Choć strona, przeznaczona do rekrutacji absolwentów i studentów na nasze programy praktyk i staży, nie była umieszczona w infrastrukturze banku, aplikacja miała niezbędne zabezpieczenia, co potwierdził niezależny audyt. Gdyby – jak twierdzi ekspert – dostęp do danych był po prostu źle zabezpieczony, to najprawdopodobniej dane personalne wyciekłyby z niego już 8 kwietnia, kiedy rozpoczął on swoja działalność, a nie w połowie lipca. Bezpośrednia przyczyną wycieku danych była łamiąca prawo ingerencja osoby niepowołanej w tej aplikacji. Na początku lipca osoba ta zlikwidowała istniejące w aplikacji zabezpieczenia i podmieniła pliki systemowe.

Red.: Czy osoby, których dane zostały ujawnione, zostały o tym poinformowane, czy same zgłosiły się do banku z tym problemem?
M Z-K:O wycieku danych dowiedzieliśmy się z kilku źródeł jednocześnie – m.in. za pośrednictwem mediów i naszego call center. Jesteśmy obecnie w kontakcie z osobami bezpośrednio zainteresowanymi sprawą. Oczywiście bank wyraża ubolewanie z powodu zaistniałej sytuacji.

Red.:Czy obecną sytuację traktują Państwo jak kryzys czy raczej postrzegają ją w kategoriach problemu, który ma niewielkie konsekwencje wizerunkowe?
M Z-K:Przede wszystkim traktujemy tę sytuację jako lekcję na przyszłość. Bezpośrednio po jej zaistnieniu podjęliśmy liczne działania mające na celu zapobieżenie podobnej sytuacji. Jednym z pierwszych kroków będzie m.in. przeniesienie serwisu www.zainwestujwprzyszlosc.pl, który cieszył się bardzo dużym powodzeniem, na nasze wewnętrzne serwery. Oczywiście bank podejmuje również działania w celu poprawy tych obszarów, co do których zastrzeżenia może zgłosić Generalny Inspektor Ochrony Danych Osobowych po kontroli przeprowadzonej w banku. (kk)

Rozmawiała Kinga Kubiak

komentarzy:
3

Komentarze

(3)
Dodaj komentarz
30.07.2008
14:29:09
VaGla
(30.07.2008 14:29:09)
A korzystając z okazji i interesując się tematem mam takie pytanie: skoro domena "zainwestujwprzyszlosc.pl" jest zarejestrowana na osobę fizyczną, to kto ją - tak na prawdę - zarejestrował i jak bank chce tą domeną zarządzać? Czy bank kupi domenę od aktualnego abonenta?
29.07.2008
18:37:08
drwiący
(29.07.2008 18:37:08)
pytanie do znawcow od wizerunku: 1) jakie korzysci odniosl pekao z tego wywiadu? 2) dlaczego pani wicerzecznik zgodzila sie na taka rozmowe? 3) co byscie poradzili pani wicerzecznik w podobnej sytuacji?
29.07.2008
15:27:57
NomadowyBlog.bl...
(29.07.2008 15:27:57)
Przepraszam, ale Panstwo szanowni z banku, to caly czas o jednym. Ze jestesmy niewinni i ze to wina hakera. Wprawdzie wypowiedz p. Magdaleny jest o wiele bardziej stonowana od tekstow wyrzucanych z siebie przez p. Arkadiusza Mierzwe (ktos w koncu zabral mu mikrofon), to jednak jest ona w tym samym tonie (wypowiedz). A teraz troche komentarza: - co to za audytor, ktory w instytucji obracajacej milionami (miliardami) euro dopuszcza do przechowywania danych na tym samym serwerze, na ktorym uruchomiona jest aplikacja webowa? Proste zabezpieczenie: serwer webowy w DMZ, a dane na innym komputerze. W razie wlamania dane sa bezpieczne. Szanowni Panstwo nie dopelnili szczegolnych staran w ochronie danych osobowych, a nawet tych podstawowych. - bank padl ofiara przestepstwa, ale czy ktos monitorowal ten serwer? Przeciez jezeli mamy serwer, na ktorym przechowujemy dane, to poddajemy go (ten serwer) monitoringowi. W razie wlamania wylaczamy serwer i odtwarzamy stan z ostatniej koppi zapasowej. Jest jeszcze przeciez takie cos, jak wirtualizacja (system serwera uruchomiony jest na systemie hosta). W razie wlamania wystarczy podmienic pliki wirtualizacji i odpalic serwer ponownie. Cala operacja moze trwac do 10 minut. Z informacji, jakie pojawily sie w sieci wpis hakera o wlamaniu wisial kilka dni wlasnie na tym serwerze w aktualnosciach - szanowni Panstwo nie sprawdzali dzialania WLASNEGO serwera. Specjalnie slowo serwer pada tak czesto :) - procedury powlamaniowe leza i kwicza. Bank nie byl przygotowany na sytuacje kryzysowa. Swiadczy o tym zachowanie rzecznika p. Mierzwy (jego oskarzenia wszystkich i o wszystko), a takze brak jakichkolwiek krokow w celu usuniecia danych z googla (cache). A wystarczyly podstawowe dzialania jak odpowiedznie przygotowanie pliku robot.txt i sukcesywnie informacje znikalyby z serwerow googla. Tak na koniec - wlamanie hakera na serwer nie jest wytlumaczeniem wycieku. Odpowiedzialnosc za dane osobowe w dalszym ciagu spoczywa na ADO.
Graficzne pułapki CAPTCHA
generuj nowy kod
Wprowadź znaki widoczne na obrazku.
X

Zamów newsletter

 

Akceptuję regulamin