WYCIEK DANYCH

W minioną sobotę ze stron internetowych banku Pekao S.A. wyciekło ponad tysiąc CV zawierających dane osób aplikujących na praktyki, staże oraz inne stanowiska banku. Dziennik Internautów przyjrzał się sprawie oraz zebrał opinie banku Pekao S.A., Glutha - blogera, który pokusił się o nagłośnienie wycieku, Generalnego Inspektora Ochrony Danych Osobowych,  Piotra Waglowskiego z serwisu VaGla Prawo i Internt, Michała Iwana - specjalisty od zabezpieczeń z firmy F-Secure  oraz samych poszkodowanych.

Wpadka Pekao S.A. miała związek ze stroną www.zainwestujwprzyszlosc.pl, gdzie każdy chętny do zasilenia szeregów banku mógł przesłać swoje CV oraz list motywacyjny. Jak się później okazało pliki były publicznie dostępne w jednym z katalogów na serwerze. Zostały również zindeksowane przez wyszukiwarkę Google przez co każdy internauta miał dostęp do tych danych.

Większość internautów dowiedziała się jednak o liście z danymi nie przeszukując wyszukiwarkę, czy "grzebiąc" w katalogach serwera wspomnianego serwisu, a dzięki publikacji jednego z blogerów. Swój wpis Gluth promował najpierw w popularnym wśród internautów serwisie Wykop.pl, a stamtąd podchwyciły sprawę kolejne media, w tym również te największe.

PEKAO S.A. POZWIE INTERNAUTÓW?

Pierwsza reakcja banku na informację o wycieku była niezwykle kontrowersyjna. Pani Magdalena Załubska, rzecznik prasowa Pekao poinformowała Dziennik Internautów, że

"osoby pobierające dane z serwera Pekao S.A. być może zostaną pociągnięte do odpowiedzialności karnej"

Po kilku dniach stanowisko banku zostało nieco stonowane. Podczas rozmowy DI z Arkadiuszem Mierzwą, przedstawicielem biura prasowego Pekao SA, usłyszeliśmy następujące wytłumaczenie słów pani Załubskiej:

"Przestrzegaliśmy, że jeżeli ktoś bezprawnie te informacje ściąga, a następnie ich używa to podlega odpowiedzialności karnej i tak należy rozumieć to sformułowanie. Bynajmniej nie tak, że bank Pekao będzie wyciągał konsekwencje prawne wobec tych, którzy te dane ściągnęli".

INTERWENCJA BANKU

Pan Mierzwa zapewnił przy tym, że po otrzymaniu informacji o wycieku bank podjął natychmiastowe działania: "W ciągu 7 minut od uzyskania informacji o problemach bank zamknął swoją stronę internetową, w której w skutek działania hakerskiego doszło do wycieku danych".

Rzecznik prasowy banku dodaje, że pracownicy Pekao S.A. kontaktowali się z administratorami najpopularniejszych wyszukiwarek internetowych m.in. Google, gdzie w wyniku interwencji zostały usunięte pliki z pamięci cache wyszukiwarki.

Niestety, jak - nie bez racji - zauważył w swoim komentarzu czytelnik Dziennika Internautów podpisujący się jako absurd: "prawda jest jednak taka, że jeśli już coś zostało publicznie udostępnione i poszło to w świat to nie są w stanie tego zatrzymać".

Dowodem na błyskawiczny, niczym nieskrępowany przepływ dokumentów wśród internautów było pojawienie się opisywanego archiwum z plikami na jednym z największych na świecie trackerze torrentów: The Pirate Bay. Na szczęście dla poszkodowanych wkrótce kontrowersyjny torrent został z TPB usunięty. Nie wyklucza to jednak dalszego obiegu tych danych innymi kanałami wymiany plików.

GIODO: RESPEKTUJCIE PRAWA POSZKODOWANYCH OSÓB

Sprawą zainteresował się również Generalny Inspektor Ochrony Danych Osobowych, który uznał, iż "jest to jeden z największych przypadków wycieku danych osobowych w formie elektronicznej, które zdarzyły się w Polsce od chwili wejścia w życie ustawy o ochronie danych osobowych." Co więcej, GIODO na swoich stronach opublikował stosowny apel do internautów:

W związku z upublicznieniem, w sposób naruszający chronione przez Konstytucję RP jak i obowiązujące standardy prawa w zakresie ochrony danych osobowych, dane osób które złożyły do Banku Pekao S.A. dokumenty związane z ubieganiem się o pracę w tym Banku, zwracam się z apelem do wszystkich, którzy weszli w posiadanie danych o respektowanie praw tych osób.

Apeluję o niewykorzystywanie ich danych, o ich nie rozpowszechnianie, a także o ich usuwanie. Generalny Inspektor Ochrony Danych Osobowych podjął czynności prawne w celu zgodnego z prawem przetwarzania danych przez Pekao S.A. ale jednocześnie będąc rzecznikiem obywateli w zakresie ochrony ich danych osobowych zwraca się o poszanowanie godności ludzi jako naczelnej wartości państwa prawa, która jest podstawą ochrony danych osobowych.

Kilka dni temu GIODO poinformował Dziennik Internautów o rozpoczęciu kontroli w Pekao S.A. Obecnie inspektorzy instytucji ustalają stan faktyczny, od którego zależeć będzie czas trwania kontroli. Ma ona wykazać kto prawnie odpowiada za wyciek wspomnianych danych. Wynik kontroli pozwoli również odpowiedzieć na pytanie "czy bank zadbał o bezpieczeństwo danych" - poinformowała Dziennik Internautów Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO.

OKIEM PRAWNIKA - PIOTR "VAGLA" WAGLOWSKI

"Moim zdaniem nie ma podstaw do uruchamiania procedury karnej przeciwko osobom, które dane pobrały, ale zgadzam się z GIODO, że należy szanować godność ludzką oraz prawo do prywatności. Oczywiście uważam, że dalsze publikowanie pobranych danych jest działaniem nagannym.

Zgodnie z art. 3a. ust. 1 pkt. 1) ustawy o ochronie danych osobowych: ustawy nie stosuje się "do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych". Skoro dane były powszechnie dostępne nie można też mówić o przełamaniu zabezpieczeń, a więc nie widzę możliwości zastosowania art. 267 kodeksu karnego - cały czas myślę o "pobieraniu danych". Jeśli jednak ktoś dane udostępni w Sieci - tu będzie już inny stan faktyczny i będzie można mówić o odpowiedzialności takiej osoby (np. na podstawie przepisów o ochronie dóbr osobistych; por. I ACa 564/04)." - pisze na swojej stronie Waglowski.

PRZYŁOŻONO SIĘ DO WYGODY, ZAPOMNIANO O ZABEZPIECZENIACH

W całej sprawie kontrowersyjna wydaje się sprawa zabezpieczeń, a w zasadzie ich braku. Dziennik Internautów zasięgnął opinii specjalisty od zabezpieczeń - Michała Iwana, dyrektora zarządzającego F-Secure w Polsce.

Dziennik Internautów: Dlaczego doszło do włamania?

Michał Iwan: Z informacji, które w tej chwili są dostępne wynika, że nie było żadnego włamania. Dane przekazywane bankowi, które w jego imieniu zbierała firma Possum Communications, były dostępne w katalogu publicznym. Strony z poufnymi danymi powinny być zaszyfrowane przy użyciu chociażby najprostszych protokołów, a już na pewno dostępne po podaniu właściwego loginu i hasła. Tymczasem wszystko wskazuje na to, że ta strona była dostępna tak, jak każdy inny katalog publiczny. Sama budowa linku www.zainwestujwprzyszlosc.pl/files/0/ nie stanowi żadnego zabezpieczenia.

DI: Jak można było zapobiec wyciekowi danych?

MI: Należało zaszyfrować stronę, bazę uczynić dostępną po podaniu hasła i loginu, a przede wszystkim pomyśleć o zabezpieczeniu powstającej bazy danych, a nie tylko o prostym w obsłudze narzędziu. Możemy się tylko domyślać, ale wszystko wskazuje na to, że dużo więcej uwagi poświęcono aspektom informacyjnym i samemu wyglądowi tej witryny niż kwestiom bezpieczeństwa. Może to dziwić w przypadku banku, który jest instytucją zaufania publicznego.

DI: Jakie zabezpieczenia powinno się stosować w tego typu projektach?

MI: Mechanizmów zabezpieczeń jest oczywiście wiele, przykładem jednego z nich jest wspominany już przez większość komentujących tę sprawę Internautów, plik .htaccess. Warto zaznaczyć, że zabezpieczenie takiej bazy jest kwestią istotną ale niezbyt skomplikowaną. Nawet najprostsze zabezpieczenia potrafiłby założyć średnio zdolny administrator. Myślę, że tym razem kwestia bezpieczeństwa została po prostu pominięta, a nie wynikała z braku znajomości technologii ponieważ bank Pekao S.A., który oferuje swoje usługi także w wersji on line stosuje ochronę poufności na dużo bardziej zaawansowanym poziomie.

ROLA BLOGERA, CZYLI PIERWSZE ŹRÓDŁO INFORMACJI O WYCIEKU

Warto przy okazji przypomnieć, że wiele z osób znajdujących się na wspomnianej liście wciąż jest nieświadomych tego, że ich prywatność została wystawiona na forum publicznym. Dzięki ujawnionym danym oraz nieświadomości poszkodowanych, nowatorscy i pełni pomysłów cyberprzestępcy mają ułatwione zadanie podczas prób kradzieży kolejnych, jeszcze bardziej poufnych danych tych osób.

Czy wstrzemięźliwość Jakuba "Gluth" Nietrzeby, który jako pierwszy opublikował informację o wycieku na swoim blogu, jednocześnie promując ją w serwisie Wykop.pl, zapobiegłaby temu, że wspomniana lista stała się praktycznie dokumentem publicznym? Można przecież było opublikować jedynie zrzuty ekranu, które dowodziłyby błędu popełnionego przez bank, zakrywając adres do listy i katalogu na serwerze. Można było również skontaktować się z bankiem przed publikacją, dając adminom czas na naprawienie błędu i dopiero po tym opublikować stosowną informację.

Dziennik Internautów spytał Jakuba "Glutha" Nietrzebę o powody decyzji publikacji o wycieku, której to nie poprzedził kontaktem z bankiem, ani w której nie pokwapił się o elementarne zabezpieczenie informacji o ścieżce dostępu do wspomnianych danych.

"Ludzie wiedzieli o tym od kilku dni i od kilku dni pobierali [dane - przyp. red.], a dzięki takiemu nagłośnieniu sprawy żadna inna instytucja nie pozwoli sobie na coś takiego. (...)Jeśli podobno na stronę było włamanie i była ona przez dość dużo czasu otwarta na oścież, to trudno tu zachowywać jakąkolwiek dyskrecję. Nikt nie zainteresował się tym, co dzieje się na serwerze firmowanym logiem banku. Ani żaden opiekun strony, ani nikt z banku.(...) Poza tym miłym i cichym można być wobec instytucji, które nie mają dość środków albo mocy na sprzęt i technologie."  - tłumaczy Gluth.

W innym wywiadzie, udzielonym serwisowi Techkultura.pl, bloger uważa ponadto, że "w momencie, gdyby sprawa była załatwiona po cichu, nikt z Pekao nie pokwapiłby się poinformować tych ludzi o zaistniałej sytuacji, z oczywistych względów".

Niestety, jak dowiedział się Dziennik Internautów u samych poszkodowanych, wielu z nich wciąż nie wie o tym, że ich dane krążą po sieci. Wydaje się, że nietrudno było przewidzieć, że kontakt z ponad tysiącem osób zajmie bankowi co najmniej kilka, jeśli nie kilkanaście lub kilkadziesiąt dni... To natomiast jest idealna sytuacja dla cyberprzestępców.

Prawdopodobnie w przypadku podjęcia wspomnianych wyżej kroków przed publikacją, dziś o sprawie nie byłoby tak głośno, przedstawiciele banku nie zaliczyliby tyle niefortunnych wpadek podczas prób tłumaczenia się, bank nie zostałby poddany kontroli GIODO, a Gluth nie stałby się bohaterem części blogosfery.

Rodzi się zatem pytanie co jest ważniejsze w takich sytuacjach? Czy "dokopanie", chwilowe ośmieszenie dużej instytucji, która i tak błyskawicznie podniesie się po tej wpadce, bo ma na to aż nadto środków, ludzi i metod. Czy dbałość o współużytkowników internetu, którzy nie dość że nieświadomie, to nie ze swojej winy zostali narażeni na niebezpieczne ataki?

GLUTH: NIE JESTEM WINNY CAŁEJ SPRAWIE

Jakub Nietrzeba poinformował Dziennik Internautów, że nie czuje się winny temu, iż dane teleadresowe postronnych osób, dzięki wyciągnięciu przez niego na światło dzienne wpadki Pekao, mogły się dostać w niepowołane ręce:

"Nie udostępniłem tych informacji publicznie, były cały czas udostępnione - kolejne strony podały linki, gazeta.pl w pierwszej wersji artykułu też miała bezpośredni link, na obrazkach była cała ścieżka, obok nazwa serwera, metoda wyszukania też była podana. Nie chcę tu się porównywać do takiego tuzy internetu, ale on chyba ma większy wpływ na sieć niż ja.(...) To nie moja publikacja jest winna, tylko osoba albo instytucje, które nie dopełniły swoich obowiązków."

Gluth również nie martwi się, że może zostać pociągnięty do odpowiedzialności za słabe zabezpieczenie baz danych: "Nie ja się tymi danymi miałem opiekować, nie ja uczyniłem je otwartymi na Google i całą resztę sieci" - argumentuje bloger.

KTO ODPOWIADA ZA ZAMIESZANIE?

Kto jest tak naprawdę winien ciężko stwierdzić. Obecnie możemy tylko spekulować. Małgorzata Kałużyńska-Jasak z GIODO tak opisuje sytuację:

"Biorąc pod uwagę specyfikę środowiska jakim jest Internet i funkcjonowanie narzędzi automatycznego kopiowania informacji - na co nie ma wpływu użytkownik - w chwili obecnej trudno jest przesądzić o jego winie."

Natomiast Michał Iwan z F-Secure komentuje sprawę następująco:

"Internauta o Nicku Glucio odkrył bazę przypadkiem, używając legalnych metod wyszukiwania. Z tego co wiemy nie złamał prawa ani nie wykorzystał żadnej metody hakerskiej, aby zdobyć dostęp do danych. One po prostu, przynajmniej z informacji, które mamy w tej chwili tak wynika, były dostępne."

Głosy internautów w tej sprawie są podzielone. Część stoi murem za decyzją blogera o publikacji, inni ją krytykują i wskazują dodatkowo na bezmyślność (a może celowe działanie) tych, którzy listę skierowali do sieci p2p.

Warto również odnotować, że po pierwszych niefortunnych sformułowaniach, Magdalena Załubska z Pekao zadeklarowała, iż "Bank Pekao S.A. bierze odpowiedzialność za opisywaną sprawę i bardzo przeprasza wszystkie osoby poszkodowane za tę sytuację".

NIEŚWIADOMI POSZKODOWANI

W całym tym zamieszaniu jedno jest pewne - Bank Pekao S.A. ma wystarczające możliwości, by wyjść z tej sytuacji bez większego szwanku. Pracownicy banku zapewne wyciągną  odpowiednie konsekwencje i naukę z popełnionych błędów i pozostałe bazy danych zostaną znaczenie lepiej zabezpieczone.

Trudno to samo powiedzieć o osobach, których dane zostały ujawnione - tak naprawdę to one zostały przez nagłośnienie tej sprawy najbardziej poszkodowane, a konsekwencje mogą ponieść w najmniej oczekiwanym przez nich momencie. Przestępcy są bowiem nie tylko sprytni, ale i cierpliwi.

Dziennik Internautów zadzwonił do siedmiu przypadkowo wybranych osób. Udało nam się porozmawiać jedynie z pięcioma (dwie miały wyłączony telefon). Podstawowy wniosek płynący z naszych rozmów jest zatrważający:

wielu z poszkodowanych wciąż NIE WIE O WYCIEKU DANYCH!

Trzy z pięciu osób, z którymi udało się nam porozmawiać nie miało świadomości o zaistniałej sytuacji. Warto przy tym pamiętać, że cyberprzestępcy coraz chętniej korzystają z takich okazji, a mając dostęp do części danych na temat wybranej osoby, dużo łatwiej jest im zdobyć kolejne poufne dane. Można się również spodziewać, że najwięcej ataków nastąpi kiedy wszyscy o wycieku zapomną. Nasi rozmówcy zdają się jednak nie brać takiego scenariusza pod uwagę.

Poniżej fragmenty rozmów Dziennika Internautów z ofiarami tego zdarzenia:

MICHAŁ W. - WYCIEK DANYCH TO NIC SPECJALNEGO

Pierwszy z rozmówców, którego dane znalazły się na wspomnianej liście, nic nie wiedział o wycieku. Kiedy został przez DI poinformowany o sprawie, zareagował nad wyraz spokojnie. Co istotne bank jeszcze nie kontaktował się z nim w tej sprawie. Michał nie zamierza jednak wkraczać na drogę sądową w związku z zaistniałą sytuacją:

"Gdyby to były jakieś poważne dane, to być może jakoś tam trzeba byłoby zareagować, a tak to właściwie (...) tam nic specjalnego nie było" - bagatelizuje. Michał nie przejmuje się też potencjalnym zagrożeniem ze strony złodziei danych, ani atakami phishingowymi.

BĘDZIE POZEW

Nasz kolejny - tym razem anonimowy - rozmówca już wiedział o wycieku danych.

"Początkowo pomyślałem, że to mnie nie dotyczy, ale jak się zaczęły telefony, to stwierdziłem, że jednak jest inaczej. Najpierw znalazłem mój list motywacyjny, potem znalazłem CV, więc odnalezienie tych danych to chyba nie jest problem. Z tego, co wiem to dalej w różnych serwisach te archiwa są dostępne." - powiedział Dziennikowi Internautów.

Rozmówca zaznacza przy tym, że sam nie ma wpływu w tym momencie na to, że dane krążą po internecie. Poszkodowany jeszcze nie zareagował, ale zamierza podać bank do sądu za rozpowszechnianie danych osobowych.

"Ja wysłałem CV do banku i nie obchodzi mnie komu oni wydzielili serwer, komu powierzyli opiekę nad tymi danymi. W liście motywacyjnym jest ewidentnie napisane Bank Pekao S.A. Dział Personalny. Ja uważam, że to ewidentnie jest wina banku."

Anonimowy rozmówca nie zanotował większej liczby spamu na swojej skrzynce, natomiast otrzymał kilka ofert pracy. Jest świadomy ataków phishingowych, ale śmiało mówi, że zna metody stosowane przez przestępców i nie bierze ich pod uwagę. Poszkodowany nie zamierza zmieniać adresu email oraz numeru telefonu i na zakończenie dodaje: "Zobaczę, co się będzie działo. Myślę, że tych telefonów będzie kilka w ciągu tygodnia, a potem się ludzie uspokoją."

Także w jego przypadku bank jeszcze nie zdążył się skontaktować w tej sprawie: "To jeszcze nie nastąpiło, bardzo czekam na ich telefon. Do tej pory nie było żadnego kontaktu ani mailowego ani telefonicznego."

JEST OK, PÓKI NIE POJAWIĄ SIĘ PROBLEMY

Kolejna rozmówczyni, która także chce zachować anonimowość, nie słyszała o wycieku danych, a bank nie kontaktował się z nią w tej sprawie. Poszkodowana nie zamierza wkraczać na drogę sądową podając, że "nie ma na taką zabawę, ani siły, ani czasu, ani ochoty".

Kobieta do czasu dialogu z Dziennikiem Internautów nie otrzymywała telefonów od nieznajomych i nie zanotowała większej liczby spamu. Dopóki nie pojawią się żadne problemy  poszkodowana nie rozważa zmiany numeru telefonu oraz skrzynki e-mail. Jest też świadoma możliwych prób phishingu.

Rozmówczyni DI nie potrafi jednoznacznie wskazać winnego wyciekowi danych: "nie słyszałam o tym problemie, nie bardzo się w to wgłębiłam, także trudno mi odpowiedzieć. Ale na pewno jest to bank Pekao S.A. lub firma obsługująca stronę zainwestujwprzyszlosc.pl"

SERWISY SPOŁECZNOŚCIOWE I WYCIEK

Pozostałe 2 osoby nie zgodziły się na publikację ich wypowiedzi. Jedna spośród nich nie wiedziała o wycieku danych, druga wiedziała, lecz nie miała świadomości, że są tam jej dane.

Z żadną z nich bank Pekao nie skontaktował się w opisywanej sprawie. Pierwsza z osób bierze pod uwagę proces sądowy z bankiem, druga wręcz przeciwnie: "bo to gra nie warta świeczki". Jedna z nich bierze natomiast pod uwagę wytoczenie procesu... redaktorowi Dziennika Internautów, który do nawiązania z nią kontaktu i ostrzeżenia wykorzystał dane z listy, która została ujawniona.

Osoby te zdają sobie sprawę ponadto sprawę z zagrożeń płynących z phishingu. Co więcej jedna z nich sugeruje nawet, że pewną rolę w atakach mogą odegrać nawet serwisy społecznościowe. Jak dotąd rozmówcy nie zaobserwowali jednak wzrostu liczby niechcianej korespondencji, nie odbierali też telefonów od nieznajomych.

POSZKODOWANI = OSZUKANI?

Dziennik Internautów dowiedział się również od Arkadiusza Mierzwy, przedstawiciela Pekao, że osoby znajdujące się na wspomnianej liście stale kontaktują się z bankiem oraz "bank również się kontaktuje z nimi i będzie się kontaktował indywidualnie z każdą z osób, które mogły by być poszkodowane". Zapewnieniom tym przeczą jednak nasze rozmowy z losowo wybranymi poszkodowanymi. Możliwe, że akurat mielismy pecha.

Wielu internautów zauważa, że sprawa wycieku położyła się cieniem na wizerunku banku. Tak naprawdę największą uwagę należy skierować w stronę osób, których dane przedostały się do sieci, bo to one są szczególnie narażone na niebezpieczeństwo i to jeszcze przez długi czas od wycieku.

Obecnie nie wiadomo w jaki sposób i czy w ogóle bank Pekao S.A. zrekompensuje osobom udostępnienie ich danych osobowych. Kontrola GIODO wciąż trwa. Nie wiemy również ile z poszkodowanych osób zdecyduje się wystąpić na drogę sądową.  O wszelkich informacjach dotyczących sprawy wycieku danych Dziennik Internautów będzie informował na bieżąco.