Home > Analiza > Aero2 odpowiada oficjalnie na wpis o potencjalnym wycieku danych

Aero2 odpowiada oficjalnie na wpis o potencjalnym wycieku danych

Otrzymałem dzisiaj oficjalne stanowisko firmy Aero2 na temat informacji z opublikowanego artykułu Afera z włamaniem do Plus Banku znacząca też dla Aero2. Informowałem w nim o tym, że włamanie do Plus Banku i potencjalnie upublicznienie wykradzionych z tej instytucji danych może wiązać się także z wyciekiem danych osobowych klientów Aero2. Sprawa wiąże się z tym, że w historii rachunków spółki Aero2, prowadzonych właśnie w tym Banku, znajdują się dane osób wysyłających kaucję i opłatę za wysyłkę. Jeżeli wykradzione zostały dane wszystkich klientów banku wraz z historią rachunku, to poza danymi kont źródłowych nadawców przelewów, w opisach przelewu znajdują się także numery PESEL korzystających z BDI.

Operator w swojej odpowiedzi przekazuje informacje, że Plus Bank poinformował Aero2, że dane klientów spółki nie zostały skradzione w wyniku tego ataku. Zwraca ponadto uwagę, że nigdy nie informował o liczbie korzystających z BDI oficjalnie. Wskazuje także, że atak trwał „nie dłużej, niż 3 miesiące”, a z tego nie można spekulować o zagrożeniu dla wszystkich klientów Aero2.

Pełna treść oświadczenia w rozwinięciu artykułu.

Rzecznik prasowy spółki, pani Edyta Wiącek-Różycka, przesłała do mnie wiadomość o następującej treści:

Aero2 ze szczególną troską dba o dane osobowe udostępniane Spółce zarówno przez Użytkowników Darmowego Dostępu do Internetu (BDI), jak i rosnącą grupę Klientów usług komercyjnych. Dlatego też Aero2 jest w stałym kontakcie ze swoimi partnerami handlowymi i monitoruje na bieżąco potencjalne ryzyka. Tak też było od samego początku w przypadku bieżącego incydentu związanego z atakiem przestępczym na Plus Bank.

Wiedza jaką Aero2 posiada bezpośrednio z Plus Banku pozwala na stwierdzenie, że dane osobowe Użytkowników BDI oraz Klientów komercyjnych usług telekomunikacyjnych Aero2 nie zostały w wyniku tego ataku skradzione, nie istnieje więc opisywane przez Autora ryzyko ich ujawnienia. .

Aero2 wyraża żal, że Autor Artykułu nie zadał Aero2 żadnych pytań w związku z przygotowaniem i publikacją materiału prasowego.

W sposób istotny narusza to standardy rzetelnego dziennikarstwa.

Ponadto, w rezultacie takiego działania grono czytelników serwisu jdtech.pl zostało wprowadzone w błąd i niepotrzebne zaniepokojenie przez Autora.

Dodatkowo, chcemy wskazać dodatkowe istotne błędy merytoryczne zawarte w Artykule:

1)      Aero2 nie informowało dotychczas o liczbie Osób Korzystających z Bezpłatnego Dostępu do Internetu, a zatem przytaczana w Artykule wielkość „ponad pół miliona” jest jedynie spekulacją Autora Artykułu,

2)      Z informacji powszechnie dostępnych wiadomo, że atak przestępczy na Plus Bank był ograniczony w czasie i trwał nie dłużej niż 3 miesiące, co dodatkowo dowodzi błędnej spekulacji Autora o zagrożeniu „wszystkich Klientów”, którzy dokonywali wpłat depozytu.

Komentarz autora bloga

Jestem absolutnie pewny, że Aero2, podobnie jak każdy operator telekomunikacyjny, bardzo poważnie podchodzi do sprawy danych osobowych. Ja osobiście przekazałem operatorowi swoje dane z pełną ufnością co do ich bezpieczeństwa i w tym zakresie nie zawiodłem się na żadnym etapie współpracy z Aero2, ani z żadnym innym operatorem telekomunikacyjnym. W zasadzie nie kojarzę w historii GSM w Polsce, aby pojawił się jakikolwiek wyciek danych z winy operatora komórkowego.

W tym wypadku Aero2 nie jest w żadnym stopniu winne jakichkolwiek zaniedbań w tym zakresie, a jest jedynie potencjalnie poszkodowaną stroną afery wokół ataku na Plus Bank.

Cieszy mnie zapewnienie, że w wyniku ataku na Plus Bank nie została wykradziona historia dwóch rachunków spółki związanych z BDI. Będę uważnie obserwował sprawę. Sytuacja jest ciągle rozwojowa, a mój niepokój wiąże się z tym, że włamywacz oświadczył wprost, że uzyskał dostęp do grupy kont firmowych klientów banku, a do tego uzyskał pełen dostęp do serwera WWW interfejsu bankowego. A to potencjalnie umożliwia uzyskanie dostępu pośredniego lub bezpośredniego do historii rachunków wszystkich klientów. I stąd właśnie moje zaniepokojenie przekazane w poprzednim artykule.

W kwestii liczby korzystających sprawa jest bardzo prosta – dzięki wsparciu czytelników mam dostęp do pojedynczych numerów ICCID wydawanych kart SIM. Przez wiele miesięcy wydawane karty miały kolejne numery, a obserwacje w kolejnych latach wydawania kart potwierdzają w miarę liniową numerację kart. Oczywiście numeracja ta nie oddaje w 100% liczby korzystających (karty są zwracane, mogą być wydawane wtórniki itd.), jednak można w ten sposób ocenić, ile w sumie kart SIM zostało wydanych i stąd wzięła się ta liczba. Początki tych obserwacji można znaleźć w historii artykułów na blogu o liczbie wydanych kart SIM. Liczby aktywnie wykorzystywanych kart nie da się w ten sposób ustalić i jest to kompletnie inna sprawa, choć przez jakiś czas dało się ustalić, ile maksymalnie osób może jednocześnie korzystać z Aero2, co także opisywałem na blogu.

Natomiast czas trwania skutecznego ataku na Plus Bank ograniczony do 3 miesięcy w żaden sposób mnie nie pociesza. W bankowości nawet pojedynczy nieuprawniony dostęp do danych jest już nie do zaakceptowania, o ile winnym zaniedbania nie jest użytkownik końcowy (patrz: wirusy i trojany). Wystarczy jeden, pełen dostęp do historii rachunku, aby… mieć kompletną historię rachunku.

Podsumowując: celem artykułu było wskazanie możliwości potencjalnego wycieku danych osobowych osób, które przelewały kaucje na konto Aero2 w Plus Banku. Operator w żaden sposób nie ponosi odpowiedzialności za tę sytuację, a jedynie mógłby być ewentualną ofiarą sytuacji. Zapewnienie o tym, że Plus Bank nie stwierdził manipulacji na kontach Aero2 cieszą i uważam, że możemy przyjąć, iż tak faktycznie było.

Tak czy inaczej zawsze należy uważać, komu powierzamy nasze dane osobowe, jak są przetwarzane i odpowiednio chronić (zwłaszcza nasze dokumenty) przed niepowołanym kopiowaniem i wykorzystaniem ze względu na coraz wymyślniejsze metody wykorzystania ich w celach niezgodnych z naszą wolą. Nasze dane osobowe mają konkretną wartość i należy je po prostu chronić.

Kategorie:Analiza
  1. t_j
    Czerwiec 22nd, 2015 at 18:48 | #1

    Nie, nie możemy przyjąć, iż tak faktycznie było. Teraz Jakubie możesz udowodnić że wbrew temu co napisała rzecznik prasowy jesteś rzetelny czyli możesz zwrócić się co Polsilvera o sprawdzenie czy na rzeczonych rachunkach jest coś o aero2 a przy kolejnej publikacji niech jakiś wycinek opublikuje.

    • Czerwiec 22nd, 2015 at 19:22 | #2

      Daj mi kontakt do Polsilvera, to się do niego zgłoszę. Na forum w TOR płacąc bitcoinami rejestrować się nie zamierzam.

  2. iks
    Czerwiec 21st, 2015 at 22:03 | #3

    Polsilvera trzeba zapytać… Ciekawe czy będzie ogłaszał jakie to kompromitujące strony odwiedzały Janusze z danymi peselami…

    • Czerwiec 22nd, 2015 at 13:56 | #4

      No tego to akurat Polsilver nie będzie robił, bo posiadanie numeru PESEL nijak nie wiąże się z historią przeglądania. Włam nie był do systemów billingowych Aero2, tylko Plus Banku.

  3. ghoes
    Czerwiec 21st, 2015 at 19:45 | #5

    powinniśmy się cieszyć, że Polsilver nie wytrzymał ciśnienia i buszował tylko trzy miesiące, mógł 3 lata ;-)

  4. bibi
    Czerwiec 21st, 2015 at 12:06 | #7

    Z tego listu wynika, że Aero nie wie czy wykradziono dane użytkowników i nic więcej. Przypuszczenie, że nie wykradziono byłoby nadinterpretacją treści. – "Wiedza jaką Aero2 posiada"

    • Czerwiec 21st, 2015 at 20:57 | #8

      Wiedza ta opiera się na zapewnieniach Plus Banku. I tyle wiemy. Na razie możemy im zaufać (tym informacjom, bo z Plus Bankiem nie mam pewności już aż takiej co do ogólnego zaufania).

  5. spag
    Czerwiec 20th, 2015 at 19:40 | #9

    Tak czytam co aero odpisało i nie wiem czy płakać czy śmiać sie z tego. Wyrażają żal ze Jakub ich nie zapytał i czepiają sie ze określił ilośc użytkowników BDI na podstawie danych od nich a nie od aero. To jakby szukanie dziury zamiast skupienie sie na temacie, inna rzecz to informacja powszechnie dostępna czyli ze przez maks 3 miesiące ktoś szalał sobie po danych w banku i zasysał co chciał. Wiec zdaniem Pani Edyty to oznacza ze zagrożeni sa tylko ci klienci którzy uzyskali karty BDI wpłacając w ostatnich 3 miesiącach? Jesli przestępca miał dostęp przez 3 miesiące to należy przypuszczać ze mógł miec dostęp do operacji na koncie praktycznie od początku otwarcia konta…. Każdego konta nie tylko aero, wiec Pani Edyta wykazuje sie chyba ignorancja bo tu występuje podobna spekulacja jak przy wirusach chorób jesli jakaś osoba została zarażona mozna spekulować ze osoby które miały z nią kontakt tez sa zarażone i osoby kontaktujące sie rownież. Póki nie ma potwierdzenia sa to tylko spekulacje wiec jest możliwe ze dotyczy wszystkich, przecież Polsilver nie zostawił wpisu na każdym koncie które przeglądał wpisu "tu byłem Polsilver" Chyba ze uznamy ze jedyna słuszna spekulacja bedzie Polacy nic sie nie stało na podstawie wiedzy z plus banku. Do niedawna bank nawet nie chciał żeby ujawniono jego nazwę. Zamiast wyjsć i powiedzieć sorry daliśmy D..y staramy sie zlikwidować lukę w zabezpieczeniu, oszacować co wyciekło współpracujemy z organami ścigania aby odnaleźć przestępcę.

    • Czerwiec 20th, 2015 at 21:26 | #10

      Nie mamy szczegółów informacji, jakie wyrwał Polsilver, ale trudno uzyskać dostęp do historii rachunku bez pozostawienia śladów, więc teoretycznie Plus Bank ma możliwość ustalenia, czy koleś grzebał na tym koncie, czy nie. Pamiętajmy, że Polsilver uzyskał dostęp nie do systemów rozliczeniowych banku, tylko do "międzymordzia" bank<->internet, przez który przechodzą wszystkie dane, ale nie są tam trzymane wszystkie informacje cały czas, a wyciągane na żądanie klienta w zakresie umownym.
      Kompletnie inną sprawą jest to, czy w zapewnienia skompromitowanego (także w znaczeniu jak w angielskim, czyli compromised) banku można wierzyć w 100%. Właśnie dlatego nie próbowałem zadawać pytania bankowi. Znowu Aero2 nie przesłałem zapytania, bo wcześniej próbowałem kiedyś zadawać pytania spółce i odpowiedzi nie otrzymywałem, więc poprzestałem na analizach własnych.
      A to, że Aero2 nie ujawni liczby korzystających i wydanych kart to wiemy – nie musi (w końcu Aero2 BDI to nie jest usługa telekomunikacyjna), a są do ważne dane handlowe. Ale skąd mam te informacje to podawałem wielokrotnie na blogu i nigdy żadnego dementi nie było z żadnej strony.

  6. kamil
    Czerwiec 20th, 2015 at 19:32 | #11

    Ktoś przaz 3 miesiące sobie wchodził na serwery banku i przeglądał co chciał a oni z tego się cieszą. No normalna drwina z klientów.

  7. mnb
    Czerwiec 20th, 2015 at 18:58 | #12

    a może jakiś artykuł o testach HD Voice między Play i T-mobile? Między niektórymi prefixami działa już cały czas. :)

    • Czerwiec 20th, 2015 at 21:19 | #13

      Mi takiego połączenia nie udało się nawiązać, a Play zapewnia o działaniu tego rozwiązania (w ramach kart Play w sieci własnej i w roamingu T-Mobile), jednak też mi to nie działa. O tym, że z można pogadać między abonentem T-Mobile a abonentem Play z zachowaniem HD Voice to raczej mowy nie powinno być, bo punktu styku z obsługą tego protokołu jeszcze nie uruchomili – w każdym razie oficjalnie.
      Raczej nie zależy to od prefiksów, a od HLRów, które nie zawsze mają związek z prefiksami.
      Opisz dokładniej, jak i co udało ci się uzyskać.

      • mnb
        Czerwiec 20th, 2015 at 21:49 | #14

        na przykład w połączeniach – każdy numer w Play(w sieci własnej) do T-mobile z prefixami 88x – HD Voice działa zawsze.
        zresztą nie będę się rozpisywał. Lepiej dam link do forum: http://www.telepolis.pl/forum/viewtopic.php?f=24&…
        Najlepiej czytać od 5, ewentualnie 7 strony, bo tam już są konkrety i potwierdzenia działania HD Voice na odpowiednich prefixach. W roamingu jeszcze nie działa, choć niektórym się udało takie połączenie zestawić.

        Oficjalnie takim puntem styku będą się chwalić w momencie pełnego uruchomienia gdy będzie to już działało dla wszystkich numerów. Wydaje mi się, że teraz są takie jakby testy i pilotażowo rzucili pulę numerów z jednym prefixem dla którego HDV zawsze działa. W ostatnich dniach pojawiły się już nowe prefixy, ale nie zawsze działają (tak samo było w przypadku prefixu 88x).

        Możliwe, że plany były takie, że już powinno działać i Play się zbytnio pospieszył i "chlapnął" za dużo.

        Tutaj jest bliźniaczy temat na forum Play: http://forumplay.pl/showthread.php/25684-HD-Voice… Najlepiej zacząć czytać od około strony 12.

        Co do samego połączenia HD Voice – jakość jest dokładnie taka sama jak w rozmowach w jednej sieci, a to pewnie z racji małej ilości zestawianych takich połączeń. Jakość rozmów w roamingu też ostatnio się znacznie poprawiła i zdecydowanie idą w najwyższych kodekach przed HD Voice.

        Raczej nowy punkt styku jako taki jak my myślimy nie powstaje, a raczej rozbudowywane są obecne punkty styku i łącza międzyoperatorskie żeby były w stanie unieść większy bitrate rozmów (o ile HD Voice nie będzie w niższym bitrate niż obecne kodeki). Pewnie do obecnych serwerów powoli wgrywana jest aktualizacja oprogramowania, która pozwoli przekazywać rozmowy poza sieć.

        Mówi się też o udanych połączeniach z HDV między Orange i T-mobile, ale nie jest to w żaden sposób powtarzalne i zadziałało tylko w obrębie jednego pasma NetWorkS! (U900). ;-)

        • mnb
          Czerwiec 20th, 2015 at 21:51 | #15

          *w obrębie jednego nadajnika i jednego wspólnego pasma

        • Czerwiec 20th, 2015 at 22:18 | #16

          Ciekawe informacje. Postaram się zebrać i opublikować.

          • mnb
            Czerwiec 20th, 2015 at 22:23 | #17

            no to miłej lektury i wytrwałości w czytaniu tych wszystkich komentarzy :-)

          • Czerwiec 21st, 2015 at 20:56 | #18

            Komentarze i testy jeszcze muszę zrobić.

          • mnb
            Czerwiec 21st, 2015 at 21:03 | #19

            tak więc czekam :) Kiedy można oczekiwać artykułu?

          • Czerwiec 22nd, 2015 at 08:47 | #20

            Tydzień – dwa – w tej chwili jestem poza "bazą" i nie mam nawet sprzętu na testy.

          • Czerwiec 22nd, 2015 at 11:02 | #21

            A co z artykułem o darowiznach?

          • Piotr
            Czerwiec 22nd, 2015 at 12:39 | #22

            Jakubie załóż sobie konto w jakimś zagranicznym serwisie croudfundingowym to nie będziesz musiał podatków płacić i po problemie ;)

          • Czerwiec 22nd, 2015 at 14:00 | #23

            Z tego co rozumiem, to sposób zdobywania środków nie ma znaczenia, podatek od dochodu płacę tam, gdzie się znajduję, a więc w PL i tutejsze przepisy mnie obowiązują. Proste.

  8. Misiek
    Czerwiec 20th, 2015 at 09:51 | #24

    No to czekamy na info, w której paczce z wycieku pojawił się nr konta Aero2 ;)

    • Czerwiec 20th, 2015 at 20:34 | #25

      Liczę jednak na to, że do konta Aero2 koleś się nie dobrał. Wolę wierzyć Aero2/Plus Bankowi, niż uruchamiać cykl artykułów o ochronie własnego tyłka po kradzieży danych.

      • Misiek
        Czerwiec 20th, 2015 at 21:58 | #26

        Jeżeli Razor ma wyciągi tylko z wybranych kont (m.in. Tobias Solorz i spółka), to zainteresowanie spółkami zależnymi jest dość prawdopodobne. Choć jest szansa że umknęła mu kwestia PESEL-i w tytułach i w tym jest nadzieja. Pewnie w ciągu kilku tygodni się dowiemy.

  9. Marian Koniuszko Jr
    Czerwiec 19th, 2015 at 23:42 | #28

    Niezłe pocieszenie dla klientów, w końcu "atak przestępczy na Plus Bank był ograniczony w czasie i trwał nie dłużej niż 3 miesiące". Nie wiem czy to oficjalne stanowisko zarządu czy radosna twórczość rzecznika banku. Jeśli to drugie, to od poniedziałku p. Edyta powinna już szukać nowej pracy. Oczywiście rozważamy co stałoby się w normalnej firmie. W biznesach należących do WSI i firmowanych twarzą Solorza nie takie rzeczy przechodzą bez echa. To inny świat.

    • Marian Koniuszko Jr
      Czerwiec 19th, 2015 at 23:48 | #29

      Jeszcze jedno. Jeśli ktoś ma wątpliwości, czy jego dane są cokolwiek warte. A jeśli tak, to ile? Podam przykład z życia wzięty. Orange za dane każdego swojego abonenta przy odsprzedaży bazy dostaje 40 PLN.

      • Czerwiec 20th, 2015 at 00:00 | #30

        Pytanie, jakie metadane dają do tych danych osobowych. To świadczy o wartości danych, a nie samo nazwisko i adres plus zgoda na ich przekazanie dalej.

        • t_j
          Czerwiec 22nd, 2015 at 18:51 | #31

          Na pewno adres email i numer telefonu. Nabywca potrzebuje tego żeby klientowi coś wcisnąć.

          • Czerwiec 22nd, 2015 at 19:23 | #32

            To za mało, żeby dane były szczególnie wartościowe. Ale już wysokość rachunków, albo kierunki połączeń – to już coś konkretnego.

    • Czerwiec 19th, 2015 at 23:58 | #33

      Zacytowałem w 100%, bo uważam, że to poważny temat i Aero2 ma absolutnie tutaj prawo głosu zwłaszcza, że są zupełnie niewinni. Z Plus Bankiem to już zupełnie inna sprawa, mogliby mi zacząć grozić jak zaufanej trzeciej stronie :)
      Natomiast faktycznie 3-miesięczny atak na bank nie pociesza :)

  10. Czerwiec 19th, 2015 at 23:38 | #34

    A wystarczyło, żeby plus bank przeprowadził testy penetracyjne z prawdziwego zdarzenia i nic by się nie wydarzyło. W sumie to się cieszę, że ta sprawa mnie nie dotyczy.

    • Maciejbe
      Czerwiec 19th, 2015 at 23:42 | #35

      z testami to nie jest tak, że wskażą, że nieuprawniony dostęp jest niemożliwy.
      Wskażą tylko, że tej ekipie się nie udało :-)

      • Czerwiec 19th, 2015 at 23:53 | #36

        Teoretycznie masz rację, ale z reguły ekipa ma wiedzę o systemie i potencjalnych podatnościach. Nie ma systemu nie do złamania, jest tylko zbyt mało uzdolniony haker.

        • Czerwiec 20th, 2015 at 00:01 | #37

          Ogólnie należy podejść do tego tematu tak, że o ile koszt włamania jest większy, niż potencjalny zysk, to wtedy jest nieźle. Ale to wymaga stałej pracy wykwalifikowanej i doświadczonej na tym polu ekipy.

      • Czerwiec 19th, 2015 at 23:56 | #38

        Ale wykażą, że nie ma typowych i oczywistych wad i problemów. A to podstawa i dobry punkt wyjścia. Przy okazji odpowiedni bat na ekipę tworzącą system i UI – lepiej dopracowują swoje dzieło i mogą przemyśleć co i jak. Niestety tworzenie systemów "in house" to zawsze spore zagrożenie – ale nie zawsze można użyć gotowych rozwiązań.

        • Pok
          Czerwiec 21st, 2015 at 23:06 | #39

          Z opisu włamu wynika, że to nie system był słabym punktem, tylko nie zabezpieczono właściwie serwera, co pozwoliło wstrzyknąć zainfekowany skrypt. Czyli wina bardziej po stronie adminów w banku i kto wie czy na testach bezpieczeństwa (robionych na środowiskach testowych) w ogóle by to wyszło.

          Co do wycieku naszych danych, to można mieć nadzieję, że to co napisała na rzeczniczka to prawda (w przypadku gdyby to było kłamstwo, to przy postępowaniu przez GIODO i KNF bank by się tylko pogrążył). A to dlatego, że Aero2 obraca ogromnymi kwotami i niekoniecznie korzysta z Plusbank24.pl, lecz raczej z MultiCash lub czegoś podobnego.

          • Czerwiec 22nd, 2015 at 13:59 | #40

            Wstrzyknął kod do serwera WWW po czym uzyskał do niego pełen dostęp – bo ma kopię całej maszyny serwującej strony dla klientów łączących się przez WWW. Czyli znakomitej większości. Trudno mi uwierzyć, że Plus Bank informując Aero2 skłamało, ale jeżeli jednak historia (lub jej część) konta Aero2 wypłynie w publikacjach Polsilvera, to w trudnym położeniu będzie nie tylko Plus Bank, ale przede wszystkim Aero2, a ja z pewnością tej informacji nie pominę. Na razie jednak śpimy spokojnie.
            Co do komunikacji systemów Aero2 z bankiem to powinno stosować API jakieś, a nie wprost przez plusbank24.pl, jednak cholera wie, czy na pewno wcale nie używają interfejsu bankowego. Czasem to może być przydatne.

  11. Czerwiec 22nd, 2015 at 19:16 | #41

    Za szkody powstałe w związku z wyciekiem danych osobowych (a tego tutaj nie było z winy Aero2) Aero2 odpowiada przez GIODO i cywilnie przed każdym z nas. Nie odpowiadają za sprawy telko, w tym jakość i o tym było w regulaminie.

  1. Brak jeszcze trackbacków
Musisz być zalogowany aby dodać komentarz.
>