Plus Bank: Facebooka mamy tylko po to, żeby było przyjemnie. Z reklamacjami spadajcie na drzewo

Artykuł/Bankowość 15.06.2015
Plus Bank: Facebooka mamy tylko po to, żeby było przyjemnie. Z reklamacjami spadajcie na drzewo

Plus Bank: Facebooka mamy tylko po to, żeby było przyjemnie. Z reklamacjami spadajcie na drzewo

W co tak właściwie gra teraz Plus Bank, który padł ofiarą jednego z największych cyberataków w historii bankowości internetowej w Polsce?

Historia związana z atakiem na Plus Bank i kradzieżą pieniędzy oraz danych klientów to materiał na świetną książkę, a może nawet na dobry film akcji. Media zostały wtajemniczone w sprawę w kwietniu, gdyż wtedy z serwisami Zaufana Trzecia Strona i Niebezpiecznik skontakował się użytkownik, który stał za atakiem na Plus Bank. Serwisy zajmujące się bezpieczeństwem współpracowały również bankiem i udzielały mu wskazówek, jak powinien zachować się w danej sytuacji.

Włamanie, kradzież i groźby

Jako pierwszy o ataku na Plus Bank napisał serwis Zaufana Trzecia Strona. Początkowo jednak nie zdradził o jaki bank chodzi, gdyż sprawa była bardzo śliska. Mimo współpracy z bankiem pojawiły się naciski, żeby nie publikować materiału. Bank na 5 godzin przed planowaną publikacją artykułu, która była zresztą na polecenie Plus Banku wielokrotnie przekładana, wystosował do ZTS wezwanie do zaniechania naruszenia dóbr osobistych:

(…) wzywam do odstąpienia od bezprawnego rozpowszechniania informacji dotyczących skutków prób ataków hakerskich na system teleinformatyczny Banku i zastosowanych w związku z tym przez bank środków bezpieczeństwa (…). Informacje te są oparte na niewiarygodnych źródłach i nie uwzględniają stanowiska Banku w opisywanej sprawie. Rozpowszechnienie rzeczonych informacji stanowić będzie działanie jawnie i oczywiście bezprawne, godzące w dobra osobiste (reputację) Banku i prowadzące do powstania po stronie Banku trudnej do powetowania szkody.

Jakby tego było mało, na skrzynkę serwisu ZTS z nr IP 37.147.97.33 wysłano wiadomość z pogróżkami, które można interpretować jako zlecenie na autora publikacji:

Czesc sloneczko, zaczne od tego, ze juz masz u nas na pienku, wiec zastanow sie dwa razy czy chcesz opublikowac artykul o wlamaniu do [tu nazwa banku], 20k to nie jest duzo, a glowa leci, chcesz sie w koncu doigrac?

Bank nie zdecydował się wpłacić okupu za niepublikowanie danych swoich klientów. Włamywacz, który wcześniej okradł klientów Plus Banku, na kwotę około 1 mln zł, upublicznił dane klientów, po tym jak minął termin wpłaty okupu wysokości 200 tys. zł – początkowo haker chciał tych pieniędzy dla siebie, w ostatniej chwili zmienił zdanie i zadecydował, że wpłata ma być na konto dowolnego domu dziecka.

Bank nie potrafi wyjść z twarzą

Trudno ocenić, czy bank powinien negocjować z włamywaczem i zapłacić okup. Jedno jest pewne, bank powinien zrobić wszystko, żeby nie doszło do wycieku danych klientów. A skoro do niego doszło, to bank zrobił za mało.

plus-bank-atak-wyciek

W tej sprawie rzuca się w oczy nieudolność banku i jego dziwne podejście do ochrony wizerunku. Plus Bank skupiał się w dużej mierze na tym, aby o wycieku się nie mówiło, próbował wymusić na blogerach, żeby o sprawie nie pisano. Po tym jak mleko się już rozlało i dane klientów trafiły do Sieci bank poinformował, że pieniądze są bezpieczne, więc w zasadzie się nic nie stało.

W tym czasie na Facebooku banku trwał istny festiwal żenady. Moderatorzy usuwali wiele wpisów związanych z atakiem, gdyż “uderzały w dobre imię banku i jego klientów”. To smutne, że wiele pytań zaniepokojonych i zdesperowanych klientów pozostało bez odpowiedzi, a gaszenie pożaru polegało niemal wyłącznie na kasowaniu komentarzy. Ci, którym opowiedziano, zwykle byli odsyłani na infolinię, a dalsza próba dyskusji była bezcelowa, gdyż bank nabierał wody w usta.

Dziwne, bo na Facebooku padło wiele ważnych pytań związanych z konsekwencjami ataku i jego następstwami. Użytkownicy chcący wiedzieć jakie będą kolejne kroki byli uciszani, albo zbywani. Nie ma co, super podejście.

W związku ze wzmożoną aktywnością użytkowników Facebook, niejednokrotnie uderzającą w dobre imię Banku i jego Klientów, prosimy o przemyślane i zrównoważone wpisy na profilu. Zależy nam na tym, aby profil Banku służył wymianie ciekawych poglądów i rozwiązań. Wpisy nie związane bezpośrednio z tematem usług bankowych z powyższych przyczyn mogą być usuwane – czytamy na Facebooku Plus Banku.

Bank przyjął przedziwną taktykę i idzie w zaparte, że nic złego się nie stało. A wpadek było wiele.

Serwis Zaufana Trzecia Strona poinformował o tym, że w Sieci kilka miesięcy po włamaniu nadal dostępne były dwa serwery należące prawdopodobnie do firmy, która wykonywała dla Plus Banku witrynę internetową. Serwery były wykorzystywane do prac nad stroną banku i można na nich znaleźć produkcyjną kopię strony oraz wersję deweloperską. Obecnie strona ta wyświetla komunikat o błędzie, który zawiera m.in. login i hasło do bazy danych.

Zaufana Trzecia Strona pisze również o kliencie, który stracił podczas włamania do banku 35 tys. zł i do teraz, mimo złożonych reklamacji, nie może ich odzyskać. Co więcej, do rachunku klienta został przypisany nikomu nieznany nowy pełnomocnik, którego usunięcie można było zlecić wyłącznie w oddziale banku.

W tym kontekście zapewnienia banku wyglądają dość komicznie:

W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze Klientów PlusBanku były i są bezpieczne. (…) Żaden z Klientów Banku nie poniósł uszczerbku finansowego.

Wyciek? Jaki wyciek?

Niebezpiecznik opisał przykład rozmowy klienta Plus Banku z pracowniczką reprezentującą bank. Klient został poinformowany o “próbie włamania”, która została “udaremniona”. Przedstawicielka zapewniła również, że bank posiada teraz “wzmocnione zabezpieczenia”, a pieniądze klientów są “całkowicie bezpieczne”. Zaś na pytanie “czy dane klientów wyciekły?” klient otrzymał odpowiedź, że “żadnych takich informacji nie mamy”.

I tu pojawia się pytanie, po co właściwie Plus Bank na Facebooku odsyła klientów na infolinię, skoro pracownicy banku w rozmowach z klientami opowiadają takie głupoty?

W obecnej sytuacji dla banku liczy się wyłącznie to, żeby o sprawie jak najszybciej zapomniano. Wszelkimi sposobami Plus Bank próbuje zamieść aferę pod dywan. Zaczęło się od blokowania publikacji na temat ataku, później uruchomiono cenzurę na Facebooku, a teraz w rozmowie z klientami opowiada się bajki.

Jakie jest wyjście z obecnej sytuacji?

Nie da się ukryć, że Plus Bank boryka się z ogromnym kryzysem zaufania. Po cyberataku, publikacji niewygodnych danych i licznych dowodów włamania do banku, nie udaremnił wycieku do Sieci danych klientów.

W obecnej sytuacji wielu klientów obawia się o swoje bezpieczeństwo. Na Facebooku nie brakuje komentarzy, z pytaniami, co mają zrobić osoby, których informacje osobowe połączone ze stanami konta wpadły w niepowołane ręce. Osoby te boją się o bezpieczeństwo własne oraz najbliższych osób.

Maciej Samcik uważa, że bank powinien wydać każdemu klientowi nowe karty płatnicze oraz przydzielić nowe numery rachunków bankowowych. Dodatkowo Plus Bank powinien ufundować usługę “ochrony tozsamości” w bazach danych: BIK, Infomonitor, KRD, ERIF oraz wypłacić rekompensaę funansową np. w przypadku, gdyby klient chciał zmienić dowód osobisty. Samcik sugeruje również, że dobrze by było, gdyby bank zaoferował klientom wsparcie prawne w sytuacjach, gdyby wyciek danych spowodował u nich konieczność obrony w sądzie swojego imienia lub pieniędzy. Uzupełnieniem tych działań według Macieja Samcika powinno być przeprowadzenie niezależnych audytów bezpieczeństwa i uzyskanie konkretnych certyfikatów, które potwierdziłyby bezpieczeństwo banku.

Bo w słowa Plus Banku trudno już wierzyć. Szczególnie w momencie, gdy zgłaszają się klienci, którzy nie mogą odzyskać pieniędzy, a bank w tym samym czasie podaje, że “żaden z Klientów Banku nie poniósł uszczerbku finansowego”.

Po Plus Banku spodziewałbym się, a jeśli byłbym klientem, to wręcz wymagał, odbudowania zaufania przez realne działania mające na celu podniesienie bezpieczeństwa oraz decyzji, które pomogłyby klientom w sprawnym odzyskaniu pieniędzy oraz ewentualnej zmianie wszystkich danych, które wyciekły, a których zmiana jest możliwa.

Szkoda, że zamiast tego Plus Bank gra w jakąś dziwną grę i próbuje zamieść śmieci pod dywan.

Dla klientów powinien być to czytelny sygnał.

* Grafiki: Shutterstock

Musisz przeczytać:

Dołącz do dyskusji

Advertisement