Wyciek danych z Pekao SA. Kto winny? Internauci winni, Wykop.pl winny...

Za jeden z najgorętszych skandali ostatnich miesięcy w polskim Internecie można niewątpliwie uznać sprawę wycieku tysięcy CV i listów motywacyjnych, które chętni do pracy w banku Pekao SA wysłali na stronę www.zainwestujwprzyszlosc.pl.

Banalną wręcz lukę w zabezpieczeniach odkrył internauta posługujący się nickiem Glucio, który na swoim blogu „Ja i inne moje ja” napisał o tym, że odkrył publicznie dostępny katalog www.zainwestujwprzyszlosc.pl/files/0/ na serwerze banku, w którym dzięki niekompetencji administratorów zabrakło pliku .htaccess. Efekt? Tysiące plików z aplikacjami osób zainteresowanych pracą w Pekao SA.

Teoretycznie po kilkudziesięciu minutach od upublicznienia tej wiadomości w Internecie – do której doszło dzięki największemu polskiemu serwisowi social news Wykop.pl – lukę w bezpieczeństwie danych usunięto. Lecz cóż z tego, skoro każdy kompetentny użytkownik Sieci wykorzysta Google'a – którego boty już zdążyły zaindeksować wszystko, co się dało. O tym, że tak jest, może się przekonać każdy, wpisując w pasek wyszukiwania Google "site:www.zainwestujwprzyszlosc.pl/files/0/ filetype:doc".

To jednak nie koniec afery. Bank przyznał, że „jest nam bardzo przykro, szczególnie że bank to instytucja zaufania publicznego” – ale zarazem uznał, że jest całkowicie niewinny. Kto jest zatem winien?

winna jest firma Possum Communications, która świadczy bankowi usługi „collectingu danych” (pisownia oryginalna),
i winni są internauci, którzy są zbyt pomysłowi – „możliwość wglądu do bazy z CV i listami motywacyjnymi na stronie internetowej banku nie była taka oczywista, bo należało znać odpowiednią ścieżkę http linku”.

Tak przynajmniej uważa dyrektor Biura Prasowego Pekao SA Arkadiusz Mierzwa. W rozmowie z tygodnikiem „Polityka” zapowiedział, że „kiedy zostaną ustalone numery IP tych internautów, którzy wykorzystali błąd informatyków i bezprawnie ściągali na swoje komputery prywatne dane z serwera używanego przez bank Pekao SA do ich przechowywania, osoby te zostaną pociągnięte do odpowiedzialności karnej”.

Jednak trudno oskarżyć i ukarać wszystkich internautów. Dlatego znana i barwna postać polskiego Internetu, właściciel serwisu Napisy.info Krzysztof J. Szklarski, zapowiedział na stronach swojego forum, że „w poniedziałek na biurku Prokuratora Okręgowego w Jeleniej Górze <<ląduje>> zawiadomienie o popełnionych przez zarząd Wykop.pl spółka z o.o. przestępstwach z żądaniem natychmiastowego zamknięcia tego serwisu”. Dodał tam też, że dzięki jego staraniom pokrzywdzeni przez bank Pekao SA będą mogli dochodzić od „Wykop.pl spółka z o.o., debila, który te dane ujawnił w Internecie, bardzo wysokich odszkodowań finansowych”.

Jak wielu wiadomo, Wykop.pl ujawnił pewne niewygodne fakty na temat życia pana Szklarskiego. Czy teraz właścicielowi Napisy.info uda się zemścić?

Całą historię można podsumować starym przysłowiem: „kowal zawinił, Cygana powiesili”. Zamiast odpowiedniej samokrytyki, zwolnień odpowiedzialnych za dział IT dyrektorów i odszkodowań dla poszkodowanych Pekao SA udaje, że nie jest niczemu winne. Niektórzy zaś nie odpuszczą żadnej okazji, by w takim wypadku nie zabłysnąć publicznie, kierując się niewątpliwie zasadą „dobrze czy źle, byleby o mnie mówili”.

Redakcja Webhostingu.pl gratuluje zaś internaucie Gluciowi czujności, choć uważa, że zanim opublikował tę informację na swoim blogu, powinien zgłosić tę sprawę policji. Serwisowi Wykop.pl natomiast konsekwencji w ujawnianiu ważnych i ciekawych historii, których być może oficjalna prasa nigdy nie odważyłaby się tak bezpardonowo przedstawić.

Aktualizacja:

Rzeczniczka GIODO poinformowała, że urząd Generalnego Inspektora Ochrony Danych Osobowych skontroluje Pekao SA i firmę Possum Communications. Więcej o tym piszemy w oddzielnej wiadomości.

źródła: Glucio blog, Wykop.pl, Polityka

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

11 skomentuj »

Komentarze

#1 Hash 2008-07-26 01:18:57 0
A ja powiem, że to nie żaden glucio znalazł lukę tylko luka została znaleziona wcześniej, a glucio upublicznił wyniki wykorzystania tej luki. W związku z tym zarówno "haker" jak i glucio popełnili przestępstwa - pierwszy się włamał na serwer, a drugi upublicznił dane tam dostępne szerokiemu gronu ludzi. Chociaż patrząc na to obiektywnie, "haker" też dane upublicznił pisząc notkę na blogu.

Słowo haker umieszczam w cudzysłowie, gdyż nie ma zwyczaju nazywać hakerami dzieci neostrady.
None
#2 K 2008-07-26 01:18:57 0
Jaki haker, jakie przestępstwo, jakie - włamał? Jak zostawisz drzwi samochodu szeroko otwarte, a kluczyk w stacyjce, to też zgłosisz WŁAMANIE? Czy raczej własną głupotę? O włamaniu można mówić, jeśli trzeba było sforsować jakieś zabezpieczenia, dostać się w miejsce umyślnie ukryte. A tu dane leżały na wierzchu...
None
#3 eimi 2008-07-26 01:18:57 0
Luka na pewno była wcześniej - ale to Glucio pierwszy o niej napisał, udokumentował problem. Być może żadnego włamania nie było, późniejsze działania banku i podwykonawcy sugerują raczej próbę zatarcia własnej nieudolności, by zrzucić winę na chakiera. Niech mi ktoś wyjaśni - dlaczego w ogóle takie dane leżały na publicznie dostępnym, podpiętym do Internetu serwerze?
None
#4 Piotrek 2008-07-26 01:18:57 0
Takie niedbalstwo, w głowie się nie mieści...teraz każdy na świecie po wpisaniu tego adresu jw. ma tysiące Danych personalnych. To raj dla spamerów, takie ElDorado. Czujecie to? Zmiana e-maila i numeru kom. przez każdą osobę, u której te informacje zostały zaindeksowane przez google, bo jeśli nie to zaleją ich tony spamu.
None
#5 Marcin 2008-07-26 01:18:57 0
Hash - piepszysz glupoty - całość jest dostępna w Google Cache więc Google też automatycznie się włamało? Czy może link był gdzieś publicznie udostępniony?
None
#6 lukas 2008-07-26 01:18:57 0
I jak zwykle kto "broni" pokrzywdzonych? wiadomo :D

Pan S. tak broni prawa oczerniając "gluta" i umieszczając jego zdjęcie. Brawo!

Poczytajcie sobie o pan S w sieci. "- Czy to prawda, ze firma, ktorej jest Pan prezesem, tj Korporacja Kapitałowa Inter POLRAD CO., LTD. Spółka z o.o. nie istnieje z prawnego punktu widzenia?

- Czy to prawda, ze ma Pan klopoty ze zdrowiem psychicznym?"
None
#7 lukas 2008-07-26 01:18:57 0
powyższy cytat umieszczony przeze mnie pochodzi z forum.napisy.info
None
#8 anon 2008-07-26 01:18:57 0
a propos pana S.: weak troll is weak
None
#9 Juku 2008-07-26 01:18:57 0
onet też winny ??? też opublikowali jak wejść na te CV

Tylko PKO jest winne , nikt inny . Reszta zadziałała jak robot google. A co do pana S. Nie rozumiem tego człowieka .
None
#10 kojak 2008-07-26 01:18:57 0
to było w końcu włamanie czy nie? znalazłem coś takiego: "dane rejestujacych sie lutkow sa dostepne dla fszystkich moszna se pobrac z http://www.zainwestujwprzyszlosc.pl/files/0 - lamy se zostafily hasioro do ftp na serwie… pozdro"

http://tiny.pl/2gxj
None
#11 Artur 2008-07-26 01:18:57 0
No to zainwestowali w przyszłość... Google już wycieło chache, bo widzę tylko link Podobne strony. Swoją drogą już z wyników wyszukiwania można wyczytać adres zamieszkania i niekiedy telefon.
None

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.