Home > Analiza > Afera z włamaniem do Plus Banku znacząca też dla Aero2

Afera z włamaniem do Plus Banku znacząca też dla Aero2

Logo Plus BankWiększość z aktywnych użytkowników Internetu słyszała na pewno o aferze z włamaniem do Plus Banku. Bank ten należy do tego samego właściciela, co Plus, Cyfrowy Polsat, NFI Midas, a więc i Aero2. W skrócie sprawa wygląda tak, że w pierwszym kwartale 2015 nastąpiło włamanie do systemu informatycznego Plus Banku, które objęło także dane księgowe wszystkich kont w systemie banku. Sytuację dość ogólnie potwierdził sam bank.

Jednocześnie tzw. haker (trudno użyć tego słowa wobec złodzieja-szantażysty, ale tak mówią o nim media) o nicku Polsilver (także posługujący się nazwami Raz i Razor) chwali się, że to jego dzieło i zażądał 200 tys. PLN za milczenie i przekazanie danych technicznych o włamaniu do banku. Nie otrzymawszy tej kwoty opublikował dane 500 wybranych klientów banku i ostrzegł, że jeżeli bank nie przekaże 200 tys. PLN tym razem na dowolny dom dziecka, będzie regularnie publikował kolejne dane klientów, aż do znudzenia.

Afera ma wiele różnych odcieni, kontekstów i kwestii do omówienia, w tym te związane z zaufaniem użytkowników do systemu bankowego. Chciałem sprawę opisać na blogu jako taką, ale jej związek z technologiami komórkowymi był do tej pory dość odległy. Jednak mnie zainteresował kluczowy temat – czy sprawa ma znaczenie dla użytkowników Aero2? Okazuje się, że… tak.

Konta Aero2 w Plus Banku

Dociekliwi klienci Aero2 zauważyli, że oba znane powszechnie konta tej spółki są obsługiwane właśnie przez Plus Bank. Warto wspomnieć, że do niedawna był to Invest Bank, który zmienił nazwę właśnie na Plus Bank w ramach popularnej ostatnio kooperacji operatorów z bankami.

No dobrze, ale jakie to ma znaczenie dla nas, klientów Aero2? Przecież to pieniądze Aero2 i obsługiwane przez bank konto, a więc to ich ewentualna strata i problem, no nie? Niestety nie do końca.

Nasze dane w historii kont Aero2

Rejestrując się jako korzystający z bezpłatnego dostępu do Internetu Aero2 najczęściej wykonujemy przelew z własnego konta bankowego, a w tytule przelewu Aero2 prosi nas o przesłanie… numeru PESEL. W ten sposób identyfikuje przelewy nie tylko nasze własne, ale także te dotyczące innych użytkowników, w imieniu których wykonywany jest przelew.

W ten sposób na wyciągu konta Aero2 znajduje się całkiem spora ilość wrażliwych danych osobowych: imię, nazwisko, adres, a także zupełnie gratis dla ewentualnych przestępców… numer PESEL związany z tymi danymi. Dodatkowo jest tutaj także… numer rachunku bankowego, z którego przelew przyszedł.

W sytuacji najgorszej (i wydaje mi się bardzo częstej) wszystkie te dane dotyczą jednej i tej samej osoby, co potencjalnym przestępcom daje najbardziej kompletne dane.

W stosunkowo lepszej sytuacji są osoby, które płaciły kaucję za pomocą znajomych lub na poczcie – tutaj mamy do czynienia tylko z imieniem i nazwiskiem oraz numerem PESEL, ale bez adresu połączone z niepowiązanymi danymi bankowymi. Jeżeli ktoś zgodnie z zaleceniem operatora przesłał imię i nazwisko ORAZ numer PESEL, to można dodatkowo zweryfikować, czy dane konta źródłowego są zgodne z danymi w opisie przelewu i czy można powiązać numer PESEL z resztą danych.

Osoby, które odebrały kartę osobiście i płaciły w punktach odbioru osobistego w Warszawie (opcja taka była dostępna przez ponad rok) prawdopodobnie są całkiem bezpieczne, ponieważ ich dane wcale nie były przekazywane jakimikolwiek przelewami.

Jak widzimy w niepowołane ręce mogło dostać się całkiem sporo naszych danych osobowych nawet wtedy, gdy nie jesteśmy klientami Plus Banku.

Bezpośrednie zagrożenie wyciekiem

Szantażysta poinformował, że zamierza publikować tylko krótki fragment historii – około 50 pozycji. To nie jest wielki problem dla korzystających z Aero2. Jednak jeżeli uzyskał dostęp do pełnej historii konta Aero2, a więc bazy ponad pół miliona klientów Aero2, sytuacja robi się nieciekawa także dla Aero2.

Wydaje mi się, że nie trzeba panikować, jednak miejmy świadomość, że jako użytkownicy Aero2, którzy wpłacili kaucję, nasze dane mogły już wyciec poza Aero2 i Plus Bank. Ewentualną odpowiedzialność za tę sytuację ponosi Plus Bank (a nie Aero2).

Zagrożenia

Warto mieć świadomość, że sam wyciek nie stanowi bezpośredniego zagrożenia dla nas, o ile będziemy po prostu uważać. Dane, które przestępcy uzyskali stanowią te elementy naszych personaliów, których nie możemy zmienić, może poza numerem rachunku bankowego i jako takie nie umożliwiają bezpośredniego wyrządzenia jakiejkolwiek szkody. Udostępnienie tych danych w sposób niekontrolowany to pewien dyskomfort psychiczny, ale nie jest to bezpośredni problem.

Mając w ręku te dane przestępcy mogą jednak próbować różnych metod niecnego wykorzystania tych danych. Najprostsze zagrożenia to możliwość sprzedaży bazy danych do wykorzystania w celu rozsyłania spamu fizycznego, choć tego obawiam się najmniej. Bardziej niebezpieczne są różne działania mające na celu wykradzenie dodatkowych danych od nas samych (phishing), co może prowadzić do uzyskania np., dostępu do naszego konta bankowego. Jak mantrę warto powtarzać, że NIGDY bank ani inny dostawca usług dostępnych przez Internet nie prosi nas o nazwę użytkownika i hasło inaczej, niż na oficjalnej stronie logowania. Pytania o hasła jednorazowe pojawiają się TYLKO w systemie transakcyjnym po zalogowaniu i TYLKO w przypadku wykonywania operacji niebezpiecznych (przelewów do osób trzecich i deklaracji nowych odbiorców).

Z ciekawych przykładów warto także wspomnieć o historii Jeremy’ego Clarksona, znanego eksprezentera programu motoryzacyjnego Top Gear. Jeremy opublikował kiedyś numer swojego rachunku w internecie będąc 100% pewnym swojego bezpieczeństwa. Po jakimś czasie znalazł na koncie stałe zlecenie przelewania 500 funtów dla fundacji charytatywnej zajmującej się cukrzycą. Dowcipniś wykorzystał właśnie numer rachunku oraz dane adresowe, a także być może podrobił podpis znanej osoby. Samego dowcipnisia nie złapano. Pokazuje to tylko dziury w systemie bankowym (w tym wypadku w Wielkiej Brytanii), które teoretycznie można wykorzystać.

Co robić?

Uważać na to, co robimy w sieci, nie dać się złapać na jakikolwiek phishing. Warto obserwować także wiadomości na temat tego, co dalej dzieje się w aferą w Plus Banku. Tak czy inaczej mamy pełne prawo być zbulwersowani całą sytuacją. Choć na razie nie wygląda to na zemstę za wprowadzenie kodów CAPTCHA w kwietniu 2014 :)

Data pierwszej publikacji 2015.06.18
Kategorie:Analiza
  1. Marcin
    Czerwiec 19th, 2015 at 21:06 | #1

    Mam to samo w Warszawie, od 1 czerwca!!!! Strasznie denerwujace!!!

  2. Sax
    Czerwiec 19th, 2015 at 16:23 | #2

    Panie Jakubie może mi Pan odpowiedzieć jak to jest że teraz jest to spadek do zera gdy wcześniej trzymało spokojnie 500 kb i nic się nie działo teraz mam spadki co 5 min mozilla nie działa rozłącza w ogóle masakra czy nie ma tam jakiś prac na bts czy jest to praca plusa na przejście do płatnych usług'
    Pozdrawiam

    • Czerwiec 19th, 2015 at 23:11 | #3

      Nadmiarowy wpis skasowałem, wystarczy zadać pytanie raz.
      Jak jest możliwość, warto zabrać sprzęt "na spacer" w zasięg innej stacji bazowej i sprawdzić, czy jest lepiej. Jak nie jest – szukamy winy w naszym sprzęcie (od wirusów, aż po jakieś problemy z wydajnością). Jak jest lepiej – widzimy, że problem jest ograniczony do tej jednej stacji bazowej i wina jest u operatora.
      Ja takich problemów nie mam w kilku lokalizacjach, więc nie jest to problem ogólnosieciowy.

  3. t_j
    Czerwiec 18th, 2015 at 17:42 | #4

    Zbulwersowany to ja jestem ale po przeczytaniu hejtu: "złodzieja-szantażysty" oraz "Dane, które przestępcy uzyskali". Jeszcze jeden taki wpis i będziesz mógł z powodzeniem składać CV do faktu, tefałenu, żydoczej i innych populistyczno-hejterskich mediów.

    • iks
      Czerwiec 18th, 2015 at 19:49 | #5

      Sądy i Solar są w układzie okrągłostołowym, więc tytuły są rozdane.
      Jest jak np w aferze taśmowej (źli są kelnerzy) albo z Sawicką (winny uwodziciel) albo z Kamińskim (śledczy do paki, a przestępcy na wolności).
      Iksiński, który w każdy piątek zanosił do banku kilkadziesiąt tysięcy, będzie musiał zmienić obyczaj, i jak zwykle nie będzie winny ten kto wypaplał, tylko ten kto usłyszał…

      • Czerwiec 18th, 2015 at 22:59 | #6

        Zostawmy politykę na boku, skoncentrujmy się na sprawach technicznych, co do których łatwiej dyskutować o konkretach.

        • spag
          Czerwiec 19th, 2015 at 19:07 | #7

          @Jakub popraw ta cześć "pory pdość odległy"
          @t_j czy to co robi ten osobnik Polsilver to uważasz ze nie jest szantaż ?
          Przeczytaj definicje szantażu. Gdyby zrobił to w ten sposób ze poinformował bank iż maja dziurę w systemie i jesli jej nie naprawia to ujawni próbkę danych które mógł pozyskać aby udowodnić ich prawdziwość to co innego, ale w tej chwili to jest szantażysta. Moim zdaniem jest to osoba lub znajomy osoby ktora była związana z bankiem, pracownik lub współpracownik firmy ktora coś robiła z IT dla plusbanku

          • t_j
            Czerwiec 19th, 2015 at 21:15 | #8

            Nie, nic nie rozumiecie.
            1. znajdujemy lukę w zabezpieczeniach, informujemy bank który ma to gdzieś
            2. informujemy o tym nadzór który również ma to gdzieś
            3. informujemy że jeżeli nie gdy nie przestaną mieć gdzieś to upublicznimy
            4. podejmujemy kolejne kroki licząc na to że ignoranci się opamiętają
            5. publikujemy część danych licząc j. w.
            6. czytamy na nasz temat populizmy ku uciesze gawiedzi wg których jesteśmy złodziejami, szantażystami, cyberprzestępcami, kibolami, dresiarzami, masonami, cyklistami…
            Jakiekolwiek wonty można mieć wyłącznie do banku i jego nadzoru bo gdyby funkcjonował prawidłowo to nie byłoby żadnego "złodziejowanio-szantażowania".

          • Czerwiec 19th, 2015 at 23:23 | #9

            Nie wiem jak bank (który ograniczył się do zastraszania ekipy zaufanej trzeciej strony), ale nadzór oświadczył, że nie otrzymał żadnych informacji. Kolejne kroki pod tytułem dajcie 200 000 PLN w przysłowiowych nieoznaczonych bitcoinach, to powiem wam co jest nie tak i nie opublikuję danych klientów to chyba jest jednak szantaż. A wszystko poprzedzone kilkoma akcjami typu wykradanie kasy z kont klientów. No sorry, dla mnie to złodziejstwo (gdzieś mam to, czy kasę wypłacił, czy nie), a następnie szantaż.
            Jak dla mnie prawidłowe działanie to poinformowanie banku z CC do KNF i CERT pod swoim nazwiskiem, co i jak.

          • t_j
            Czerwiec 22nd, 2015 at 18:31 | #10

            Jeżeli to co wymieniłeś ma być szantażem (czyli: jak nie zrobicie tego to ja zrobię tamto) to szantażem może być prawie wszystko (np. podczas przesłuchania policjant do zatrzymanego: jak nie wydasz wspólników to cię wsadzimy).
            Haker nie wystawia faktury za usługi więc przekazanie mu btc jest z korzyścią dla banku gdyż takie coś można zaksięgować dowolnie.
            Już nie jeden informował pod swoim nazwiskiem a o czwartej rano wyłamano mu drzwi i rzucono na glebę.

          • Czerwiec 22nd, 2015 at 19:19 | #11

            Nie można takiej kasy zaksięgować ot tak, bo nie ma właśnie faktury zakupu.
            Szantaż ma swoją definicję: polecam choćby https://pl.wikipedia.org/wiki/Szanta%C5%BC i to co robi Polsilver spełnia to w 100%.
            O akcjach odwetowych na specjalistach – nie słyszałem.

          • t_j
            Czerwiec 23rd, 2015 at 19:39 | #12

            Nie mogę znaleźć artykułu sprzed lat ale było tam opisane że ktoś znalazł krytyczną lukę na serwerze, poinformował właścicieli że znalazł, naprawi i przeprowadzi audyt. Umówili się na podpisanie umowy tylko zamiast właściciela serwisu przyszli uzbrojeni policjanci. Zamiast podpisania umowy mierzyli do znalazcy luki i członków jego rodziny z pistoletów odbezpieczonych i załadowanych ostrą amunicją.

          • Czerwiec 23rd, 2015 at 19:44 | #13

            Jaki to był kraj? W Australii znalazłem coś takiego – http://nt.interia.pl/internet/news-zostanie-aresz… – ale policja przyszła dopiero po zgłoszeniu się do gazety.

          • t_j
            Czerwiec 25th, 2015 at 20:03 | #14

            To było w PL i dotyczyło serwisu handlującego sprowadzanymi używanymi luksusowymi samochodami.
            BTW jeden z komentarzy na interii spod artykułu przytoczonego linkiem nawiązuje do "afery" Art-B. Bagsik znalazł i wykorzystał powolny przepływ informacji w systemie bankowym. Mimo, że było to dozwolone prawnie i tak zrobiono z niego przestępcę dokładając mu jeszcze parę rzeczy w myśl "jak nie kijem go to pałą". Jest ewidentna analogia do włamania do banku z tym że hacker poinformował o luce więc czepianie się go jest co najmniej nie etyczne.

          • spag
            Czerwiec 20th, 2015 at 18:14 | #15

            To chyba ty nie rozumiesz.
            Pominąłes jeden ważny punkt w swoim wykazie nazwałbym go 1a zadamy od banku kasy za niepublikowanie.
            Postawa banku jest taka ze szkoda gadać i błędy w komunikacji to poniżej krytyki. Rzecznika ds komunikacji to powinno sie wymienić, osoby z działów IT i bezpieczeństwa lub z firmy ktora im outsourcuje to samo

          • t_j
            Czerwiec 22nd, 2015 at 18:35 | #16

            I tak zapłacą odszkodowania tym co wytoczą procesy za nienależytą ochronę danych. Reszta j. w.

          • Czerwiec 22nd, 2015 at 19:20 | #17

            W sumie ciekawe co i jak w tej kwestii. Raczej zapłacą GIODO i ewentualnie tym, co cywilnie wykażą konkretne straty, a bank odmówi zapłacenia.

          • Marian Koniuszko Jr
            Czerwiec 19th, 2015 at 22:07 | #18

            Wariant ze wspólnikiem w banku wysoce prawdopodobny, choć nie przesądzony. A jeśli ktoś uważa, że rzeczony "haker" to dno dna i jeszcze metr mułu niżej. Jak w takim razie oceniłby postawę banku? Przypominam, że przed pierwszą publikacją na ZaufanejTrzeciejStronie właścicielowi serwisu grożono śmiercią jeśli publicznie poda w artykule nazwę banku. I to po tym, gdy przez wiele tygodni pomagał banksterom rozwiązać problem włamania! To jest mafia, nie bank.

          • Czerwiec 19th, 2015 at 23:30 | #19

            Bank ewidentnie nie dał sobie rady wizerunkowo z tą aferą i to trzeba przyznać. Jakiekolwiek grożenie mediom (dziennikarzom czy blogerom) to już po prostu głupota – no chyba, że potrafią udowodnić, że publikujący ma jakiś związek z akcją – w co wątpię totalnie. Wszelkie zasady zachowania poufności danych z kont klientów przy publikacji zachowali, więc… do ZTS nie mam większych zastrzeżeń.
            Nie wiem jaka powinna być polityka banku w razie takich wątpliwości, ale ja bym w tego typu sytuacji przeprosił i wyłączył natychmiast dostęp przez internet do wyjaśnienia. Oczywiście informacje o tym, że jakiś trojan podmienia numery kont w locie to za mało – do każdego banku chyba coś takiego już teraz powstało.

          • t_j
            Czerwiec 22nd, 2015 at 18:37 | #20

            Czyli żądanie kasy za niepublikowanie to szantaż a grożenie śmiercią to tylko głupota? I tak trzeba zapłacić za załatanie dziur i nieupilnowanie danych po procesach.

          • Czerwiec 22nd, 2015 at 19:21 | #21

            Ja tutaj grożenia śmiercią nie widzę: https://zaufanatrzeciastrona.pl/post/powazne-wlam…

          • Czerwiec 19th, 2015 at 23:17 | #22

            Szczerze – to wątpię, że to były pracownik. W każdym systemie są dziury mniejsze albo większe i zawsze znajdzie się ktoś, kto zacznie to badać. Od czasów uruchomienia dostępów przez Internet najsłabszym ogniwem jest użytkownik i jego komputer, ale jak się okazuje, czasem i te systemy zawodzą.

    • Czerwiec 18th, 2015 at 22:57 | #23

      Przepraszam, ale "złodziej-szantażysta" posłużył tutaj jako przeciwieństwo dla mojego stosunku do słowa haker, który to fach uznaję za pozytywny i godny szacunku wbrew medialnej nagonce na "specjalistów od komputerów". A człowiek, który wykradł dane w celu żądania swego rodzaju okupu to jednocześnie złodziej i szantażysta, jakby na to nie patrzeć.
      Sądząc po tym, co ten gość opublikował wobec braku dementi banku, że dane są fałszywe, sugeruje, że wszedł w posiadanie danych, co do których nie ma wątpliwości, że nie powinny się znaleźć w jego rękach. Ponieważ wątpię, żeby dane te przekazane zostały mu dobrowolnie przez zainteresowane osoby to uważam, że wyczerpuje to znamiona przestępstwa związanego z uzyskaniem dostępu do systemu bez zgody jego właściciela. Trudno tutaj mówić o podejrzanych, bo nie są znane ich dane osobowe, więc… Zastosowałem nieco przerysowaną i obrazową frazeologię, między innymi z powodu popularnego charakteru tekstu.

  4. aero666
    Czerwiec 18th, 2015 at 13:43 | #24

    To wszystko pod warunkiem, że historia konta operatora była 1. dostępna przez wektor ataku (nie znamy szczegółów, atak mógł być bardzo prosty technicznie przez co ograniczony w skutkach; banki często mają też kilka różnych interfejsów w zależności od zastosowania, długość dostępnej historii może być limitowana) 2. została pobrana, bo całości danych z banku raczej nie wyssano. Niestety, raczej niczego się nie dowiemy. Bank będzie zapewne stosował sprawdzoną zasadę: nic się nie stało, a nawet jak się stało to nic nie ukradli, a nawet jak ukradli to nic istotnego, a nawet jak coś istotnego to nie macie dowodów, że to nasza wina. W Polsce jak znalazł…

    Pozostawiając na boku sprawę amatorskiego podejścia do administracji systemem przez bank, same dane osobowe nawet w powiązaniu z PESELem itp. są de facto powszechnie dostępne – biorąc pod uwagę liczbę miejsc, w których przeciętna osoba zostawia komplet tych danych. Nie rozumiem też dlaczego niektórzy mają jakiś dziwny fetysz dot. wymiany dokumentu tożsamości - to praktycznie nic nie zmieni.

    Prawdziwa bomba może być w konkretnych historiach sald i operacji osób i firm, to jest główny problem, o którym w przeciwieństwie do danych osobowych zdecydowanie za mało się myśli. Globalnym problemem jest też uznawanie przez firmy i urzędy, że znajomość takich czy innych danych w kontakcie telefonicznym potwierdza tożsamość rozmówcy.

    • Czerwiec 18th, 2015 at 16:32 | #25

      W przypadku ochrony danych wrażliwych nawet możliwość wycieku danych wymaga od nas zachowania ostrożności takiej, jak w wypadku faktycznego wycieku. Tylko dlatego powstał ten artykuł.
      Co do 2: nie wiemy ile danych zostało zassanych, ale nie widzę powodu, dlaczego włamywacz nie zassał wszystkiego, jeżeli mógł. To automaty i złodziej – jak można, to czemu nie?
      W kwestii posiadania danych osobowych – polecam krótkie badanie na temat tego, co można zrobić na wyłudzone dane np przez fałszywe oferty pracy. Pomysłowość i naiwność użytkowników pozwala na całkiem wymyślne i do tego nakierowane ataki na ludzi.
      O prywatności ogólnie, a dokładniej jej braku na blogu już pisałem.

      • aero666
        Czerwiec 18th, 2015 at 17:14 | #26

        Dlatego pisałem, jeśli można. W skrócie: jeżeli uzyskany dostęp był bardzo płytki, na przykład tylko do normalnego interfejsu www dla klientów, to mógł na przykład dotyczyć tylko tych, którzy chociaż raz logowali się w tym nieszczęsnym okresie (i trzeba by crawlować, co przy zachowaniu środków ostrożności oznacza małą przepustowość, itd). Nawet przy głębszej penetracji, system mógł przycinać dostępną w ten sposób długość zwracanej historii. Konta korporacyjne (szczególnie masspayments) mogą nie być w ogóle widoczne przez konkretny interface. Scenariuszy są tysiące, wszystko zależy jaka jest architektura systemu oraz gdzie i na jakim poziomie uzyskano dostęp.

        A co do danych: owszem, są różne możliwości. Nie jest jednak to tak proste, że bierzemy sobie dane i kasa wylatuje z bankomatu. Jeżeli ktoś ma ochotę na działalność przestępczą oraz know-how i możliwości "techniczne" by cokolwiek skutecznie zrobić to z pewnością nie siedzi bezczynnie z braku danych. Plus raczej będzie brał takie dane, które nie są powszechnie uznawane za utracone. Co innego gdyby rąbnięto bazę i sprzedano ją po cichu, ale teraz?

        • Czerwiec 18th, 2015 at 22:49 | #27

          Bardzo słuszne rozważania, jednak nawet, jeżeli tylko podsłuchane zostały niektóre hasła, to można zalogować się do konta użytkowników i po prostu przejrzeć historię (tyle, ile jest dostępne online – nie wiem jak PlusBanku, ale w mBanku jest cała historia nawet 10 lat wstecz).
          Dlatego ja uważam, że jeżeli nawet tylko teoretycznie ktoś mógł uzyskać dostęp do naszych danych to warto założyć, że jednak uzyskał i mieć tego świadomość. Jak nie uzyskał – tym lepiej dla nas. Ale sam fakt bycia przygotowanym poprawia nasze bezpieczeństwo – nie tylko naszych pieniędzy, ale ogólnie jako osób działających w sieci.
          Co do tysięcy ciekawych aspektów, w tym po jaką cholerę haker zrobił to publicznie i po co zmienił żądania z siebie na dom dziecka – to miejsce na stworzenie nie jednego wpisu, ale całego bloga :) Dlatego zagłębiłem się tylko w kwestie dotyczące Aero2 i użytkowników BDI.

  5. Maciejbe
    Czerwiec 18th, 2015 at 11:21 | #28

    Nie – Plus Bank to nowa nazwa Invest Banku. Czyli czegoś, co istnieje od prawie 25 lat.

    • spag
      Czerwiec 19th, 2015 at 19:11 | #29

      Ten bank to jakoś szczęścia nie ma zbyt wielkiego w opinii , około 15 lat temu przyjmował depozyty w imieniu Banku Staropolskiego który upadł, wszyscy sie rzucili na niego bo przynosili pieniądze do invest banku a nie Staropolskiego

      • Czerwiec 19th, 2015 at 23:18 | #30

        Tej historii nie znam. Ale faktycznie Invest Bank nigdy jakiejś wielkiej kariery nie zrobił, a teraz to chyba będzie miał poważny problem wizerunkowy i może się okazać, że bez kolejnej zmiany nazwy twarzy nie uda się odzyskać. Tajemnica bankowa to jednak jest jedna z podstawowych naszych "świętości", a pieniądze zawsze lubiły spokój.

  6. Czerwiec 18th, 2015 at 10:32 | #31

    Plus Bank wystartował w styczniu 2014 roku czyli rozumiem, że osoby które przelewy robiły przed tą datę nie mają się czym martwić?

    • Czerwiec 18th, 2015 at 16:27 | #32

      Plus Bank to dawny Invest Bank, konta się nie zmieniły, system bankowy też nie. Tylko interfejs dla użytkowników końcowych jest nowy, podobnie jak aplikacja. Podejrzewam (ale nie znam szczegółów dotyczących działania systemu Plsu Banku/Invest Banku), że włamywacz mógł mieć dostęp do całej historii, a więc zagrożeni mogą być wszyscy przelewający na konto Aero2.
      W sumie można wystosować oficjalne pytanie do Aero2…

      • Zdzisław
        Czerwiec 18th, 2015 at 18:33 | #33

        Popieram wystosowanie pisma, do PlusBanku czy wyciekły dane użytkowników Aero2 i może bedzie spokój…

        • iks
          Czerwiec 18th, 2015 at 19:26 | #34

          Szkoda czasu – z publicznych odezw plusbanku wynika, że oni robią wszystko, żeby w imię swojego interesu dezinformować opinię publiczną. Albo skłamią (bo to nie jest karalne), albo "nie ujawniają", albo powtórzą swoją fejsową mantrę: "zapraszamy do kontaktu z naszym konsultantem".

          • Czerwiec 18th, 2015 at 22:58 | #35

            To jest po prostu skandaliczne zachowanie banku, który w końcu będzie musiał ograniczyć działania, albo po prostu zwinąć interes, jak tak dalej pójdzie. Gorzej, że psuje w ten sposób wizerunek całej branży.

  1. Brak jeszcze trackbacków
Musisz być zalogowany aby dodać komentarz.
>