Czasami tupet internetowych włamywaczy bywa zaskakujący. Okazuje się, że jeden z nich nie tylko ukradł dane z pewnego banku, ale także – kilkaset tysięcy dolarów, z których zamierza… finansować nagrody dla innych internetowych włamywaczy.
Nagrody dla włamywaczy ufundowane z… kradzieży
Już samo stwierdzenie „nagrody dla włamywaczy” brzmi nieco dziwnie. To jednak obiecuje Phineas Fisher, który ma stać za kradzieżą danych (i przy okazji pieniędzy) z banku Cayman National Bank and Trust. Cała sprawa jest zresztą wyjątkowo nietypowa; opisuje ją portal Zaufana Trzecia Strona.
Organizacja „Distributed Denial of Secrets” opublikowała na Twitterze wpis z linkiem do danych wykradzionych ze wspomnianego wyżej banku. Co ciekawe, po opublikowaniu tych danych, do ich kradzieży „przyznał się” właśnie Phineas Fisher. W swoim oryginalnym manifeście poinformował, że to on stał za atakiem. Opisał też, w jaki sposób złamał zabezpieczenia i co musiał zrobić, by ukraść 2 TB danych. Ponadto przy okazji stwierdził również, że ukradł też kilkaset tysięcy dolarów. Pieniądze z kradzieży mają pomóc sfinansować… nagrody dla kolejnych włamywaczy. Jak obiecuje Fisher, za atak na podobne cele będzie można otrzymać nawet 100 tys. dolarów. Tym samym mężczyzna zorganizuje coś w rodzaju programu bug bounty. Tyle, że bez wiedzy, zgody i woli firm, które potencjalnie mogą zostać zaatakowane.
Nawet poważne instytucje nie zabezpieczają się w taki sposób, w jaki powinny
Tupet Fishera i jego przyznanie się do internetowego ataku, a także obiecywane nagrody dla kolejnych włamywaczy to jedno. Problem polega jednak też na tym, że nawet instytucje, które szczególnie powinny dbać o bezpieczeństwo danych (i środków) swoich klientów, takie właśnie jak banki, wciąż mają niezwykle dziurawe zabezpieczenia. Z raportu z włamania, opublikowanego przez firmę PwC wynika, że sporo czasu minęło od momentu, gdy włamywacz (niezależnie, czy pierwszym z nich faktycznie był Fisher, czy też nie) zaczął buszować po sieci banku do momentu wykrycia anomalii przez pracowników pracowników. Na uwagę zasługuje też fakt, że wykradzione dane zostały opublikowane dopiero po… trzech latach.
Niezależnie jednak od tego, czy przechwałki Fishera są w pełni prawdziwe, czy też niekoniecznie, należy też zwrócić uwagę na to, że w wielu wypadkach internetowi przestępcy jego pokroju z dziecinną łatwością łamią zabezpieczenia różnych instytucji. To wyraźny sygnał dla wszystkich firm, by w większym stopniu zwracały uwagę na swoje systemy i ochronę danych.