Po opublikowaniu danych bank ignorował pytania klientów, ale już zaczyna pracować nad ich bezpieczeństwem.
Ostatnimi czasy coraz więcej słyszy się o hakerskich napadach na banki świadczące usługi drogą internetową. Niedawno pisaliśmy problemach z bezpieczeństwem klienta iPKO, obecnie pod lupą jest jeden z większych wycieków ostatnich miesięcy, a dotyczy on Plus Banku i jego klientów. Sama instytucja dość długo nie wypowiadała się oficjalnie w tej sprawie, jednak w końcu podjęła pierwsze wyraźne kroki.
Cała sprawa rozgrywa się na przestrzeni ostatnich kilku miesięcy, a o szczegółach włamania piszemy w osobnym artykule. Podsumowując, niewiele jest w tej sprawie pewników. Wiadomo, że członek jednego z for dyskusyjnych opierających działanie na sieci Tor wykradł z banku poufne dane klientów, takie jak ich personalia, numery kart i historie transakcji. Początkowo za ich nieupublicznianie zażądał dla siebie okupu 200 tys. zł, później jednak zmienił treść roszczeń, wskazując że ta kwota ma być wpłacona na cel charytatywny. Pieniądze jednak nie zostały przelane, i informacje o 500 klientach zostały udostępnione na forum Tor. Plus Bank w wielu wypowiedziach twierdził jednak, że nic się nie stało, pieniądze są bezpieczne, dziury zostały załatane i problemu zwyczajnie nie ma. Kłopot w tym, że jest – pytanie tylko na jak dużą skalę.
Od strony technicznej całą sprawę opisuje artykuł na Spider’s Web. Od strony konsumenckiej natomiast, najbardziej bulwersujący zdaniem wielu internautów i mediów śledzących sprawę jest brak odpowiedzi banku na komentarze i pytania wystraszonych i zdezorientowanych klientów. Zauważyć można to było przede wszystkim na Facebooku, który – zdaje się – nie jest dla Plus Banku platformą społecznościowo-komunikacyjną, a jedynie statyczną wizytówką. Kolejne posty wyrażające wątpliwości co do bezpieczeństwa danych zostały z fanpage’a kasowane. Wszystko to argumentowano dbaniem o dobre imię i reputację banku. Wydawać by się mogło, że rezultat jest dokładnie odwrotny. Bez dokładnych wyjaśnień, podsumowań strat i wtajemniczenia w dalsze działania, pojawiają się spekulacje. Wskutek takiej polityki informacyjnej (a raczej jej braku), w sieci krążą już pogłoski o tym, jakoby haker pozyskał nie tylko dane klientów, ale także pokaźne zasoby ich gotówki, w kwocie przekraczającej milion złotych.
Działanie Plus Banku wygląda trochę tak, jak gdyby wskutek trzęsienia ziemi zawaliła im się główna siedziba, ale spece od PR wystawili przed nią płótno zasłaniające zgliszcza z napisem „Proszę się rozejść, nic się nie stało!”. Informacje krążą tak czy inaczej, a tylko kwestią czasu jest to, kiedy z zamkniętej sieci Tor dane klientów przenikną do internetu dostępnego dla „zwykłych śmiertelników”. Pytanie więc co – poza właściwym informowaniem o stanie rzeczy – można w tej kwestii zrobić.
Jednym z logicznych działań powinna być darmowa wymiana kart płatniczych klientów, a także zmiana numerów rachunków. Nie wiadomo bowiem czy wyciekły dane niezbędne na przykład do wykonania bezgotówkowej transakcji internetowej. Jest to scenariusz o tyle prawdopodobny, że akurat w tym zakresie Plus Bank w końcu podjął konkretne kroki – część kart została już zastrzeżona. Jest to oczywiście sygnał ostrzegawczy mówiący o tym, że przechwycone dane są istotne i muszą być podjęte działania. Równocześnie, wszyscy klienci, których karty wciąż działają, mogą mieć powody do niepokoju. Pozostaje im tylko sprawdzać w Biurze Informacji Kredytowej, czy „niechcący” nie zaciągnęli ostatnio jakiejś pożyczki. Jak wynika bowiem z doniesień, telefoniczne Centrum Obsługi Klienta nie podaje szczegółowych informacji, natomiast to właśnie do konsultantów z infolinii odsyłają moderatorzy fanpage’a na Facebooku.
Jakie konsekwencje prawne może mieć cała opisywana sprawa? Przede wszystkim, najprawdopodobniej rozpatrzy Główny Inspektor Ochrony Danych Osobowych. Po takim wycieku Plus Bank może spodziewać się wysokich kar. Jednak, jak wskazuje GIODO w swoim komunikacie, także dalsze rozpowszechnianie grozi informacji grzywną:
odpowiedzialności tej podlega nie tylko osoba, która dane wykradła, ale również i ta, która wykorzystując możliwość dostępu do nich w jakikolwiek sposób je przetwarza, np. podaje dalej do publicznej wiadomości
Finansowe roszczenia „z urzędu” to jednak nie wszystko. Z pewnością niejeden klient będzie także domagał się odszkodowania. Nawet ci, z których kont nie zniknęła żadna złotówka, mogli wiele stracić na ujawnieniu danych. Jeżeli udowodnią, że awaria wynikająca z zaniedbania banku spowodowała rzeczywiste straty, bank może czekać fala przegranych pozwów.
W tego typu sprawach na korzyść poszkodowanych przemawiają przynajmniej dwa aspekty – rozgłos oraz fakt, że problem nie dotyczy pojedynczych osób. Dlatego też, jeżeli czujecie że doznaliście strat wskutek włamania do systemów Plus Banku, warto zastanowić się nad wkroczeniem na drogę prawną. W tego typu sytuacjach skutecznym rozwiązaniem może być pozew zbiorowy. Oczywiście, w poprowadzeniu tego typu działań i to na tak dużą skalę, niezbędna jest pomoc prawników.
Jeśli więc zostałeś pokrzywdzony w omawianym ataku – nie wahaj się konsultować ze specjalistami. Szczególnie polecamy usługi zespołu prawników współpracujących z serwisem Bezprawnik.pl, dostępnych stale pod adresem kontakt@bezprawnik.pl.
