Ataki na klientów Plus Banku: skradzione dane tysięcy osób i kolejne fakty
W ostatnim czasie doszło do jednego z największych ataków na klientów polskich banków w historii. Zarówno liczba klientów, których bezpieczeństwo danych i finanse zostały narażone na szkodę oraz zwroty w akcji w całej historii godne są przeanalizowania. Zwłaszcza, że najpewniej to jeszcze nie koniec niebezpieczeństwa.
10 kwietnia tego roku eksperci Zaufanej Trzeciej Strony otrzymali po raz pierwszy maila od hakera przedstawiającego się jako razor4. Informował on, że posiada dostęp do obszernej bazy danych polskich użytkowników bankowości elektronicznej. W załączniku przesłał dane zawierające między innymi informacje o kartach płatniczych i adresy stu klientów jednego z polskich banków. Na stwierdzenie takiego stanu rzeczy Zaufanej Trzeciej Stronie pozwoliły identyfikatory IBAN sugerujące, że dane pochodzą z systemu jednego z polskich banków. Po skontaktowaniu się z przedstawicielami banku, ZTS udało się ustalić, że firmie fakt ataków jest znany, oraz że razor4 chce uzyskać okup za odstąpienie od opublikowania zdobytych danych.
Razor4 po raz drugi skontaktował się z blogerami z Zaufanej Trzeciej Strony, tym razem szerzej zapoznając ich ze swoimi działaniami w ciągu ostatnich miesięcy. Otóż haker utrzymywał, że dostęp do danych uzyskał już na początku roku, w związku niedopatrzeniami banku w zakresie aktualizacji oprogramowania. Dzięki zmodyfikowaniu strony banku, mógł on zmieniać numery rachunków, na które miały zostać przesyłane środki. W ten sposób w ciągu kilku dni miał on nielegalnie wzbogacić się o kilkaset tysięcy złotych. Zarówno skrypt, który miał posłużyć razorowi4 do pozyskania środków, jak i nadesłane przez niego dowody zostały przez Zaufaną Trzecią Stronę uznane za wiarygodne.
Wkrótce haker odnalazł kolejną podatność systemów banku na atak. W chwili dodania adresata przelewu na listę zaufanych odbiorców, możliwe było dokonanie przelewu przez klienta trzeciego bez konieczności autoryzacji za pomocą kodu SMS. W ten sposób razor4 miał niemal w całości skraść środki przechowywane na jednym z kont, w wysokości niemal 700 tysięcy złotych. Ponadto hacker załączył w mailu do Zaufanej Trzeciej Strony opisy innych kradzieży oraz dane tysięcy klientów. Autorzy bloga potwierdzają wiarygodność nadesłanych przez niego dowodów.
ZTS doczekała się także odpowiedzi od banku, który potwierdził próby ataków, jednak stwierdził, że bezpieczeństwo klientów nie jest zagrożone. Ponadto zawiadomione miały zostać odpowiednie organy będące już na tropie włamywacza. Zbliżał się jednak ustalony z bankiem termin publikacji wieści na temat ataków na łamach Zaufanej Trzeciej Strony. Krótko przed nią redaktorzy otrzymali wezwanie do odstąpienia od bezprawnego rozpowszechniania informacji dotyczących skutków prób ataków hakerskich na system teleinformatyczny Banku, a także – poprzez formularz kontaktowy dostępny na stronie – pogróżki.
Artykuł został opublikowany 8 czerwca. Zaledwie dzień później znana stała się lepiej tożsamość włamywacza. Na forum ToRepublic w sieci Tor został bowiem opublikowany wątek Włamanie do Plusbanku. Na jego łamach do przeprowadzenia ataku przyznał się administrator ToRepublic o pseudonimie Polsilver. Według Zaufanej Trzeciej Strony opublikowane w wątku informacje pozwalają stwierdzić, że Polsilver i razor4 to ta sama osoba.
Opublikowane zostały nie tylko kolejne dane, ale także bardziej szczegółowa historia ataku opisywana z punktu widzenia jego inicjatora. Według niego pierwsze informacje o włamaniu zostały przedstawione osobom sprawującym najważniejsze funkcje w Plus Banku już pod koniec marca. Jednocześnie otrzymały go między innymi także przedstawiciele MasterCard, Urzędu Ochrony Konkurencji czy Komisja Nadzoru Finansowego. Sprawą wykazała zainteresowanie tylko ta ostatnia instytucja. We wpisie zostały także opublikowane żądania Polsilvera – za odstąpienie od dalszego publikowania danych klientów hacker zażądał jednorazowego okupu w wysokości 200 tysięcy złotych bądź 40 tysięcy złotych wypłacanych przez dziesięć kolejnych miesięcy. Według niego oferta była uczciwa, gdyż biorąc pod uwagę liczbę klientów, których dane zdobył, za każdego z nich bank zapłaciłby w takim scenariuszu 2,50 zł. Na odpowiedź Plus Bank miał czas do 12 czerwca.
Nie udzielił jej. Polsilver krótko po upływie terminu spełnił swoją obietnice utrzymując, że okupu nie otrzymał. Na ToRepublic zostały zatem przez niego opublikowane szczegółowe dane 500 klientów łącznie z historią transakcji, adresami danymi kart płatniczych. W poście zostały także opublikowane nowe żądania – kwota w wysokości 200 tysięcy złotych miała zostać przelana na konto organizacji zajmującej się dobroczynnością. Dzień później pojawił się komunikat Plus Banku w tej sprawie:
Informacje zawarte w komunikacie stoją w sprzeczności z ustaleniami ekspertów Zaufanej Trzeciej Strony oraz anonimowych przedstawicieli firmy, którzy deklarują, że w wyniku działalności Polsilvera stracili 35 tysięcy złotych. Zapewne w najbliższych dniach pojawią się nowe fakty w sprawie ataku na Plus Bank, o których będziemy informować.