Piotr Konieczny

konsultant ds. bezpieczeństwa, podróżnik,
hobbystycznie fuksiarz i gadżeciarz
szkot, prawie spadochroniarz...
nienawidzi zielonego.

« wszystkie wpisy |

Sobota, 12 lipca 2008 :: 17:10:45
bugs, google, IT, przekręty, security, Szkocja

Z PEKAO wyciekły setki poufnych informacji!

Szczegółowe dane osobowe i zdjęcia tysiąca osób "nieświadomie" udostępnił w internecie bank PEKAO S.A. Wszystko za sprawą serwisu zainwestujwprzyszlosc.pl skierowanych do młodych ludzi ofert stażu. Setki listów motywacyjnych i CV pełne danych osobowych można znaleźć pod adresem http://www.zainwestujwprzyszlosc.pl/files/0/

Obecnie, serwis Zainwestuj W Siebie nie jest dostępny. Na (nie)szczęście kopie dokumentów zaindeksowało Google. Aby je przejrzeć należy zadać pytanie: site:zainwestujwprzyszlosc.pl inurl:files

Ci, którzy byli na moim wykładzie na konferencji Infoshare, wiedzą, że aby odczytać z pozoru "niedostępne" dane, należy użyć techniki zwanej cache-sliding (czyli rekurencyjnego odpytywania o treść z końca googlowej zajawki danego wyniku wyszukiwania – dzięki temu, "przewija się" zajawkę i czyta zaindeksowany, a nieudostępniony dokument).

W wywiadzie dla Polityki, Arkadiusz Mierzwa, dyrektor biura prasowego PEKAO SA tak opisał wpadkę:

- To pomysłowość internautów - trzeba było przecież specjalnie wstukać określony adres. Można było oczywiście wymyślić bardziej skomplikowany. Ale musi być jakieś miejsce na serwerze, gdzie fizycznie przechowywane są takie dane.

No właśnie, miejsce musi być, więc zapamiętajcie sobie, że nie wolno wstukiwać odpowiednich adresów! ;-) Przecież administrator serwera nie musi wiedzieć, jak go poprawnie skonfigurować. Ach, i pamiętajcie łączyć się wyłącznie przez serwery proxy — PEKAO już zapowiedziało, że dojdzie do adresów IP internautów, którzy — tu cytat — "bezprawnie ściągnęli dane" i przekaże je Policji...

Bankowo udostępnimy Twoje dane osobowe...

Strona WWW, podobnie jak każdy projekt informatyczny, może być pełna błędów. Bank, jak każda firma, może popełnić wpadkę... Dziwi mnie jednak to, że do tej pory w Polsce nie wykorzystuje się kryptografii do bezpiecznego przechowywania poufnych danych...

Zresztą nie tylko w Polsce – ileż to rządowych dokumentów zostało straconych w nieodpowiednio zabezpieczonych i zaginionych przesyłkach kurierskich w Wielkiej Brytanii? Na szczęście Szkocja radzi sobie troche lepiej – dzięki temu mogę spać spokojnie, bo moje dane osobowe i karta pacjenta, chociaż zgubione, są zaszyfrowane.

PEKAO – Zainwestuj w bezpieczeństwo!

Ciekawy jestem, jak dalej od strony PijaRowej bank PEKAO rozegra całą sprawę... Niewykluczone jest bowiem, że osoby, których dane są dostępne w internecie zgłoszą się z pozwami. Nie od dziś wiadomo, że banki pieniądze mają... Nie mają natomiast żadnego planu reagowania na tego typu incydenty - od serwera zazwyczaj wyciąga się wtyczkę. Tak było i w tym przypadku. Smutne...

pekao

Jak na ironię, w niedawnym raporcie o polskich bankach internetowych, przeczytać można było, że PEKAO w ogóle nie jest widoczne w sieci... A tu proszę, okazuje się, że jest... tylko nie od tej strony, od której powinno ;-)

PS: Ponoć stroną opiekował się nie sam bank, a agencja Possum Communication — czy tylko mnie się wydaje, że nazwa adekwatna do sytuacji? :). Domyślam się, że podobne rozwiązania odnośnie przechowywania danych zostały wykorzystane w innych projektach tworzonych przez tę firmę. Ciekawe, czy tzw. "cyberprzestępcy" już je badają... :>

P.P.S.: Nie sądziłem, że są jeszcze osoby, które w CV wpisują "znajomość Microsoft Word" :-)

• Następny post: Jestem za karaniem piratów!
• Poprzedni post: Barcamp w Poznaniu i Infoshare w Gdańsku

 

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

 

Tagi:

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

1. Piotr Konieczny Sobota, 12 lipca 2008, 17:17:54
 

ROTFL. Obok w AdSense wyświetla mi się reklama banku PKO ;-) Konkurencja nie śpi.

 
2. Zal Sobota, 12 lipca 2008, 17:41:03
 

Wpisują, wpisują ;> W wielu CV można sobie o bardzo ciekawych rzeczach poczytać.

A z tego, co widzę to większość osób wysyłających CV właśnie obsługą Worda się pochwaliła (znaczna część dokumentów nadesłana w formacie Worda - tylko nieliczne zapisane w PDF-ie).

 
3. Piotr Konieczny Sobota, 12 lipca 2008, 17:43:34
 

Ja tam znam osoby, które wysyłają CV w .txt, a jak jest wymóg Worda, to czcionka o stalej szerokosci znakow (Courier New ;-)

 
4. Livio Sobota, 12 lipca 2008, 17:51:45
 

Tylko jakim prawem ta firma ma nazwę taką jaka jest wymowa nazwy innej firmy?

PEKAO w wymowie to to samo co PKO.

 
5. Piotr Konieczny Sobota, 12 lipca 2008, 17:53:51
 

Ja się tam na historii polskiej bankowości nie znam, ale good point, Livio - ciekaw jestem, ile osób nabrałoby się na phishing bazujący na podobieństwie nazw PKO BP do Pekao S.A.

Sądząc z komentarzy internautów pod tekstami na portalach dot. "wlamania" do Pekao - prawie nikt nie rozróżnia tych dwóch instytucji...

 
6. Livio Sobota, 12 lipca 2008, 17:55:23
 

Nie rozróżnisz ich dopóki nie zobaczysz zapisanej nazwy firmy. Uważam, że PKO powinno pozwać Pekao za nazwę. I myślę, że wygrałoby, bo Pekao świadomie wprowadza w błąd cały naród.

 
7. Piotr Konieczny Sobota, 12 lipca 2008, 17:57:57
 

Kolejna ciekawa sprawa, to jak spadną zyski i zaufanie publiczne do banku PKO BP (tego, który nie zawinił) w świetle skandalu Pekao ;-)

...i czy PKO BP wyda jakieś absurdalne oświadczenie pt. TO NIE MY! lub zażąda odszkodawania od Pekao :>

 
8. Livio Sobota, 12 lipca 2008, 17:59:15
 

Nie mam pojęcia :> .

Wiem tylko, że mało kto wybiera teraz PKO - Millennium itd. podobno bardziej się opłacają. Nie bardzo wiem, bo nie mam własnego konta, ale pieniędzy nie trzymam u mamy w skarpecie :> .

 
9. tharkang Sobota, 12 lipca 2008, 18:11:16
 

Odszkodowania to można zaŻądać, a sąd je może zarządzić. Wstyd Panie Piotrze. ;-)

 
10. Piotr Konieczny Sobota, 12 lipca 2008, 18:19:55
 

*Ż*arliwie p*RZ*epraszam ;)

 
11. rzyjontko Sobota, 12 lipca 2008, 18:25:07
 

Pekao = Polska Kasa Opieki
PKO = Powszechna Kasa Oszczędności

Ale już wkrótce Pekao ma zmienić nazwę na UniCredit. W ten sposób pozostawią swoją złą sławę konkurentowi.

 
12. Adam Ziaja Sobota, 12 lipca 2008, 18:44:03
 

A wystarczyło..

echo 'Options -Indexes' > .htaccess

 
13. Maciek Szamowski Sobota, 12 lipca 2008, 18:49:36
 

Co do Word'a to wszyscy to wpisuja :)

 
14. lsr Sobota, 12 lipca 2008, 18:51:48
 

Bezprawnie ściągnęli dane? Porąbało ich w dekiel? To oni są odpowiedzialni za należyte zabezpieczenie danych. Jeśli nie trzeba być hackerem, żeby się do nich dostać, znaczy, że zostały źle zabezpieczone. Ot. I w razie czego bank odpowiada, a nie ten, kto pobrał niemalże upublicznione dane.

 
15. Piotr Konieczny Sobota, 12 lipca 2008, 18:54:29
 

lsr: Z tym, że prawo jest sprytne... u Vagli można znaleźć w archiwum przypadek kielczanina, który w podobny sposób ściągnał piosenke Depeche Mode - i naraził się na problemy (sprawa w sądzie).

rzyjatko: No i to chyba z punktu widzenia marketoidów najlepsze wyjście :-D

PS. Ja korzystam z Inteligo, które jest własnością PKO, które to PKO ma również usługę PKO Inteligo, inną od Inteligo... Widać, nie tylko Pekao ma problem z nazwami, ale i PKO. Czy coś powtórzyć? :-)

 
16. .wojtek Sobota, 12 lipca 2008, 19:01:22
 

@up
AFAIK już nie ma PKO inteligo tylko jest iPKO... rebrandneli się jakoś poczatkiem maja albo czerwca ;]

 
17. lsr Sobota, 12 lipca 2008, 19:01:56
 

A czy Ty, dając linka do tych danych, nie ryzykujesz problemów z tym sprytnym prawem?

 
18. Gynvael Sobota, 12 lipca 2008, 19:03:29
 

#14
No właśnie jestem tego samego zdania. Jeśli coś było dostępne z poziomu wyszukiwarki, to chyba jest publiczne ?
Ale fajnie by było jak by jakiś prawnik się zajął tematem, bo pewnie prawnicy mogą mieć swoje zdanie.
(Tak samo jak jest z SQL injection. Dla mnie to nie jest "przełamanie zabezpieczeń", tylko wykorzystanie braku zabezpieczeń; natomiast spotkałem się z opinią prawnika że to jednak JEST przełamanie zabezpieczeń... Cóż ;>)

 
19. Piotr Konieczny Sobota, 12 lipca 2008, 19:05:12
 

.wojtek: Rany Boskie, co iPhone zrobił z nazwami marek ;-)

lsr: Jak wsadzą Google, obiecuję, że pójdę siedzieć... w koszulce z napisem "I believed in Full Disclosure. I was wrong." :-)

Gynvael: Vagla pewnie zajmie się sprawą. Co do SQL i przełamywania zabezpieczeń... - z tego powodu w nowelizacji ustawy ma się pojawić coś w stylu "uzyskał dostęp do informacji nieprzeznaczonej dla niego" ;-)

 
20. Artur Jaworski Sobota, 12 lipca 2008, 19:39:25
 

teraz PEKAO broni sie tym, ze nie oni sa za to odpowiedzialni, tylko inna firma.

a ta inna firma twierdzi, ze zostali zaatakowani.

a mozna bylo tego w latwy sposob uniknac...

 
21. Piotr Konieczny Sobota, 12 lipca 2008, 19:49:20
 

Firma Possa-mu nie kłamie, mówiąc że została zaatakowana. Na jej blogu już ósmego lipca pojawił się post dodany przez włamywacza i wskazujący ścieżkę na serwerze, skąd można było pobrać dane osobowe.

http://www.zooomr.com/photos/konieczny/5299483/

Firma Possajmu kłamie natomiast, mówiąc, że tamtego dnia zabezpieczyła serwer. Do dziś do 12 można było bezpośrednio odwołać się do plików z CV.

 
22. Tyfus Sobota, 12 lipca 2008, 19:49:35
 

najlepiej wsadzic tego co wpisal taki adres - bandyta jeden :D dla banku gratulacje :D

 
23. Gynvael Sobota, 12 lipca 2008, 20:14:22
 

#19
Nic dodać, nic ująć. Zgodnie z przewidywaniem Vagla się tym zajął ;>
http://prawo.vagla.pl/node/7991

 
24. oggy Sobota, 12 lipca 2008, 21:23:33
 

Dużo CV zobaczyć można klikając na wersję HTML :)

 
25. Yano Sobota, 12 lipca 2008, 22:28:37
 

Heh, właśnie wyłuskałem trochę dodatkowych danych przez połączenie wyników z Google (imię, nazwisko, miasto) z ogólnopolską bazą danych osobowych „Nasza-Klasa”. ;)

PS: Jak zapytać Google, żeby mi podało mój stan konta w PKO? ;)

 
26. Radek Niedziela, 13 lipca 2008, 00:47:56
 

Przeczytałem ponad 50 CV, przynajmniej czuje się pewniej na rynku pracy.
Siedząc na Jogger.pl popadałem w kompleksy a tutaj w CV ludzie chwalą się umiejętnością : obsługa WinRaR....

Haczyk jest taki, że to napisała w CV osoba z tytułem magistra informatyki.

 
27. Carstein Niedziela, 13 lipca 2008, 11:25:06
 

Coś czuje, że zespół bezpieczeństwa w PEKAO dostanie po głowie :)

 
28. GiM Niedziela, 13 lipca 2008, 18:23:37
 

@Carstein: bezpieka? a samo pekao to nie dostanie?

 
29. kamre Niedziela, 13 lipca 2008, 18:31:34
 

Pewnie PR'owa linia obrony bedzie wygladala nastepujaco:
"Zrobili to źli czarni kapelusznicy, używając 'rocket science' i czarnej magii. Nic nie mogliśmy zrobić."

 
30. Michał Fikus Niedziela, 13 lipca 2008, 19:41:18
 

http://www.possum.pl/files/referencje_Possum_intranet_Bank_Pekao_SA.pdf

Mistrzostwo :)

 
31. Ha ha ha! Poniedziałek, 14 lipca 2008, 10:25:36
 

"Rozpoczęcie programu
Napisany 26/11/2007 – 18:21 przez Monika

Początek pracy… Nikt nie wiedział czego się spodziewać. O 9 rano stawiam się w oddziale w centrum Warszawy, po odstaniu 40 min w obowiązkowym, o tej porze dnia, korku.

Pracownicy oddziału okazali się bardzo sympatyczni i przyjaźnie nastawieni. Wszyscy mi się przedstawili, wraz z funkcją jaką zajmują, a następnie oprowadzono mnie po placówce banku.

Dowiedziałam się ze w oddziale znajdują się pracownicy trzech segmentów, tj. bankowości detalicznej, bankowości indywidualnej i prywatnej oraz kadra odpowiedzialna za kredyty hipoteczne. Oprócz tego, w banku znajduje się bankowe biuro maklerskie. Trzeba przyznać, że ten dzień przyniósł mi dużo wrażeń oraz ogrom informacji…"

Oj, prawdziwy ogrom informacji!

 
32. Ha ha ha! Poniedziałek, 14 lipca 2008, 10:35:32
 

Wazelina upaskudziła mi klawiaturę!

"Pierwszy dzień w centrali - wspomnienia z oddziału
Napisany 09/03/2008 – 13:05 przez Tomek

Trafiając do oddziału nie wiedziałem, co mnie czeka, opinie znajomych, którzy pracowali w bankach i mieli kontakt z klientem, nie były zbyt zachęcające. Wymęczysz się, będziesz miał nierealne cele sprzedażowe, takimi argumentami koledzy i koleżanki próbowali mnie przestraszyć. Dziś pracując w centrali banku muszę stwierdzić- NIE BYŁO WCALE ŹLE, co więcej trzy miesięczny staż w oddziale sporo mnie nauczył.

Trafiłem do oddziału w najgorętszym okresie z możliwych, w czasie fuzji operacyjnej, niewtajemniczonym wyjaśnię, że był to proces przechodzenia klientów z systemu BPH do systemu Pekao. Nie dostałem okresu ochronnego, ogrom pracy spowodował, że na dzień dobry zostałem rzucony na głęboką wodę- obsługiwałem klientów biznesowych. Szybko musiałem nauczyć się poruszać się w procedurach nowego banku, musiałem umieć zamówić kartę dla klienta, przypilnować, czy jego kredyty i pożyczki bez problemu przeszły z banku do banku, musiałem nauczyć się obsługiwać nowy system bankowości internetowej i co więcej musiałem umieć nauczyć klientów obsługi tego systemu. Każdy dzień przynosił mi, więc, nowe wyzwania, którym musiałem stawić czoło. Czasami nie było, z drugiej strony były też miłe chwile, gdy zadowolony klient- właściciel sieci włoskich restauracji, poszedł do dyrektora placówki, aby pochwalić moją pracę.

Dni spędzone w oddziale na pewno nie należały do dni nudnych, były w pewnym sensie małą szkołą życia, a na pewno szkołą bankowości. Wiedza i umiejętności nabyte podczas stażu z pewnością będą do wykorzystania w wieżowcu, na Grzybowskiej."

 
33. Leafnode Poniedziałek, 14 lipca 2008, 10:59:26
 

@carstein

Zespół Pekao? IMO w ogóle nie będą "tykani" w tej sprawie. Robiła to zewnętrzna firma, i pewnie to Possumy miały administrować stroną.

 
34. nbb Poniedziałek, 14 lipca 2008, 17:59:47
 

Witaj popie ;), ja chciałbym zwrócić uwagę na jeden fakt:
na jednej ze stron serwisu napisy.info można znaleźć info:
"(...)Kapitał zakładowy: w trakcie zmiany, zostaje podwyższony do kwoty nie mniejszej niż 30 mld PLN (słownie złotych: trzydzieści miliardów)" oraz "NIP: 611-21-72-146"

Jak ktoś pofatyguje się i sprawdzi numer nip w systemie VIESa dowie się, że numer nip nie jest aktywny (albo firma nie osiągnęła ok. 40tys. zysku (lub obrotu, however, z takim kapitałem zakładowym raczej to niemożliwe) i nie jest płatnikiem vatu albo po prostu nie istnieje :p)

 
35. koniczynek Poniedziałek, 14 lipca 2008, 20:38:04
 

Najgorsze w tym wszystkim jest to, że jak faktycznie złożą doniesienie do prokuratury to mimo bezsensowności tegoż człowiek, który nawet przez przypadek albo "z GG" kliknął w taki link do CV będzie miał jakieś wymierne kłopoty. Sprawy Pekao nie wygra, ale co ludziom krwi napsuje to już ich sprawa.

 
36. carstein Wtorek, 15 lipca 2008, 08:39:38
 

leafnode:
Obowiązkiem zespołu bezpieczeństwa jest sprawdznie zabezpieczeń firmy, której bank powierza jakikolwiek systemik informatyczny. Wiem, bo sam tak robie.

 
37. A. Środa, 16 lipca 2008, 00:01:11
 

Najgorszy z całej sprawy wydaje mi się fakt, że każda osoba, mogła przeczytać Twoje CV, list i się pośmiać, niczym Wy. Założę się, że gdybyście pisali według jakiegoś wzoru to wpisalibyście Worda bez głębszego zastanowienia. Bo czasem i tak pisze się życiorys gdy jest się studentem i za dużo nie da się do niego wpisać.

Ja tak zrobiłam. I wolę nie myśleć ile osób nabijało się z mojej aplikacji.


To pierwsze miejsce w necie na które natrafiłam gdzie się ktoś nabija z wyciekłych informacji. Profesjonalizmu gratuluję. Naprawdę.

 
38. mkredyty.net Poniedziałek, 11 października 2010, 08:23:13
 

Do mnie cały czas przychodzi wyciąg z konta zamkniętego 2 lata temu... 0 zł ;]

 

Dodaj komentarz:

Wyślij pustą wiadomość, aby śledzić komentarze przez bota.
Komentarze są własnością osób komentujących.
Właściciel bloga nie ponosi za nie odpowiedzialności.
Komentarze nie na temat będą usuwane.

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy