Wyciek danych z Pekao SA. Kto winny? Internauci winni, Wykop.pl winny...

Banalną wręcz lukę w zabezpieczeniach odkrył internauta posługujący się nickiem Glucio, który na swoim blogu „Ja i inne moje ja” napisał o tym, że odkrył publicznie dostępny katalog www.zainwestujwprzyszlosc.pl/files/0/ na serwerze banku, w którym dzięki niekompetencji administratorów zabrakło pliku .htaccess. Efekt? Tysiące plików z aplikacjami osób zainteresowanych pracą w Pekao SA.

Teoretycznie po kilkudziesięciu minutach od upublicznienia tej wiadomości w Internecie – do której doszło dzięki największemu polskiemu serwisowi social news Wykop.pl – lukę w bezpieczeństwie danych usunięto. Lecz cóż z tego, skoro każdy kompetentny użytkownik Sieci wykorzysta Google'a – którego boty już zdążyły zaindeksować wszystko, co się dało. O tym, że tak jest, może się przekonać każdy, wpisując w pasek wyszukiwania Google "site:www.zainwestujwprzyszlosc.pl/files/0/ filetype:doc".

To jednak nie koniec afery. Bank przyznał, że „jest nam bardzo przykro, szczególnie że bank to instytucja zaufania publicznego” – ale zarazem uznał, że jest całkowicie niewinny. Kto jest zatem winien?

• winna jest firma Possum Communications, która świadczy bankowi usługi „collectingu danych” (pisownia oryginalna),
• i winni są internauci, którzy są zbyt pomysłowi – „możliwość wglądu do bazy z CV i listami motywacyjnymi na stronie internetowej banku nie była taka oczywista, bo należało znać odpowiednią ścieżkę http linku”.

Tak przynajmniej uważa dyrektor Biura Prasowego Pekao SA Arkadiusz Mierzwa. W rozmowie z tygodnikiem „Polityka” zapowiedział, że „kiedy zostaną ustalone numery IP tych internautów, którzy wykorzystali błąd informatyków i bezprawnie ściągali na swoje komputery prywatne dane z serwera używanego przez bank Pekao SA do ich przechowywania, osoby te zostaną pociągnięte do odpowiedzialności karnej”.

Jednak trudno oskarżyć i ukarać wszystkich internautów. Dlatego znana i barwna postać polskiego Internetu, właściciel serwisu Napisy.info Krzysztof J. Szklarski, zapowiedział na stronach swojego forum, że „w poniedziałek na biurku Prokuratora Okręgowego w Jeleniej Górze <<ląduje>> zawiadomienie o popełnionych przez zarząd Wykop.pl spółka z o.o. przestępstwach z żądaniem natychmiastowego zamknięcia tego serwisu”. Dodał tam też, że dzięki jego staraniom pokrzywdzeni przez bank Pekao SA będą mogli dochodzić od „Wykop.pl spółka z o.o., debila, który te dane ujawnił w Internecie, bardzo wysokich odszkodowań finansowych”.

Jak wielu wiadomo, Wykop.pl ujawnił pewne niewygodne fakty na temat życia pana Szklarskiego. Czy teraz właścicielowi Napisy.info uda się zemścić?

Całą historię można podsumować starym przysłowiem: „kowal zawinił, Cygana powiesili”. Zamiast odpowiedniej samokrytyki, zwolnień odpowiedzialnych za dział IT dyrektorów i odszkodowań dla poszkodowanych Pekao SA udaje, że nie jest niczemu winne. Niektórzy zaś nie odpuszczą żadnej okazji, by w takim wypadku nie zabłysnąć publicznie, kierując się niewątpliwie zasadą „dobrze czy źle, byleby o mnie mówili”.

Redakcja Webhostingu.pl gratuluje zaś internaucie Gluciowi czujności, choć uważa, że zanim opublikował tę informację na swoim blogu, powinien zgłosić tę sprawę policji. Serwisowi Wykop.pl natomiast konsekwencji w ujawnianiu ważnych i ciekawych historii, których być może oficjalna prasa nigdy nie odważyłaby się tak bezpardonowo przedstawić.

Aktualizacja:

Rzeczniczka GIODO poinformowała, że urząd Generalnego Inspektora Ochrony Danych Osobowych skontroluje Pekao SA i firmę Possum Communications. Więcej o tym piszemy w oddzielnej wiadomości.

źródła: Glucio blog, Wykop.pl, Polityka