Pierwszy o sprawie poinformował serwis Zaufantrzeciastrona.pl , który napisał o dużym włamaniu do jednego z polskich banków, w rezultacie którego złodziej uzyskał dostęp do informacji o tysiącach kart płatniczych, danych klientów, a nawet był w stanie wykonywać przelewy o wartości ok. miliona złotych. W środę informacje te udało się potwierdzić Wyborczej.biz . W przesłanym do redakcji oświadczeniu Plus Bank stwierdził, że w "pierwszym kwartale tego roku zidentyfikowane zostały próby przestępczej działalności kierowanej przeciwko bankowi". Przedstawiciele banku stwierdzili jednak, że udało im się wykryć zagrożenie i wzmocnić system bezpieczeństwa, a także wymienić hasła do logowania wszystkich klientów. Ponadto bank zapewnił, że "środki wszystkich klientów banku były i są w pełni bezpieczne".
200 tys. zł za milczenie
Z rozmowy z hakerem, ukrywającym się pod pseudonimem Raz, wynika, że do włamania doszło już kilka miesięcy temu, a pod koniec marca zaoferował on zarządowi Plus Banku, że nie upubliczni informacji o włamaniu ani danych z kont klientów banku.
- Kwota za milczenie wynosiła 200 000 zł. Bank posiada ponad 80 tys. klientów, cena była więc niska, 2,5 zł od klienta. Przy czym posiadam mnóstwo informacji finansowych o większości klientów. W cenę wchodziło pełne rozwiązanie problemu, informacje o poszkodowanych osobach i milczenie. Jeśli bank nie zechce zapłacić za bazę danych, zostanie ona opublikowana, GIODO dowali znacznie większą karę, niż wynosi koszt całej bazy - napisał w mailu do naszej redakcji haker.
Bank jednak nie podjął negocjacji z włamywaczem.
- Dostałem na początku jedną odpowiedź, że niedługo się skontaktują ze mną. Jednak nie skontaktowali się ani razu. Mimo że wysłałem do zarządu kilkadziesiąt e-maili i SMS-ów z potwierdzeniami tego, co mówię, oraz tym, co się stanie - dodaje Raz
Ujawnienie danych osobowych
Jednak jeśli haker nie blefuje i rzeczywiście opublikuje wszystkie ukradzione przez siebie dane, do informacji publicznej trafi nawet kilkadziesiąt tysięcy danych osobowych - co jest przestępstwem, za które ukarany może być nie tylko bank.
- Za niewłaściwe zabezpieczenie danych osobowych, czego konsekwencją jest ich zabranie przez osobę nieuprawnioną lub ich uszkodzenie czy zniszczenie, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Niemniej wskazać należy, że każda sprawa tzw. wycieku danych wymaga indywidualnej oceny, może bowiem zachodzić taka sytuacja, że zastosowane środki techniczne były wystarczające, a wyciek danych związany mógł być np. z kradzieżą - tłumaczy dyrektor zespołu rzecznika prasowego GIODO Małgorzata Kałużyńska-Jasak.
- Również do organów ścigania może zwrócić się każda osoba pokrzywdzona, która uważa, że zostały naruszone jej prawa do ochrony danych osobowych.
Co zaś do upubliczniania (będącej jedną z form przetwarzania) wykradzionych danych przez hakera, takie działanie jest niezgodne z prawem. Zgodnie z art. 49 ust. 1 ustawy o ochronie danych osobowych każdy "kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2". Przy czym odpowiedzialności tej podlega nie tylko osoba, która dane wykradła, ale również i ta, która wykorzystując możliwość dostępu do nich w jakikolwiek sposób je przetwarza, np. podaje dalej do publicznej wiadomości - dodaje rzecznik GIODO.
Ewentualni poszkodowani klienci Plus Banku nie muszą martwić się natomiast o swoje pieniądze.
- Z punktu widzenia klienta ważne jest zachowanie podstawowych zasad bezpieczeństwa, a jeśli winę za szkodę ponosi bank, to on powinien pokryć stratę. Depozyty we wszystkich bankach i SKOK są gwarantowane przez BFG, na jednolitych unijnych zasadach - wyjaśnia rzecznik KNF Maciej Krzysztoszek.
Naruszenie dóbr osobistych
Jeśli dojdzie do publikacji danych, poszkodowani klienci będą mogli wytoczyć bankowi proces. - Klienci mogą domagać się odszkodowania od banku. Jednak musieliby udowodnić konkretną wysokość szkody, jaką ponieśli w skutek wycieku danych. Mogą również wytoczyć proces w związku z naruszeniem dóbr osobistych i domagać się przeprosin i zapłaty zadośćuczynienia. W tym przypadku klienci banku też musieliby wykazać, jaką krzywdę ponieśli, jak wpłynęła na ich życie i jakoś wycenić w sposób racjonalny te szkody - tłumaczy mecenas Tomasz Ejtminowicz
- Na pewno nie będą to roszczenia idące w miliony czy setki tysięcy ani nawet w dziesiątki. Polska to nie Stany Zjednoczone i sumy odszkodowań są o wiele niższe. Z drugiej strony w sprawach o ochronę dóbr osobistych kwoty odszkodowań się coraz bardziej rozszerzają, kiedyś to były kompletnie drobne sumy, a teraz te kwoty są większe. Jednak dalej jest to wszystko uznaniowe - dodaje prawnik
"Bez znaczenia dla innych spółek Solorza-Żaka"
Plus Bank to dawny Invest Bank i nie jest notowany na GPW, ale od 1999 roku należy do grupy kapitałowej Zygmunta Solorza-Żaka, do której należy Cyfrowy Polsat, który z kolei jest notowany na warszawskim parkiecie. Jednak zdaniem analityków problemy jednej z firm właściciela Polsatu nie powinny uderzyć w inne spółki.
- Nie sądzę, żeby wyciek danych z Puls Banku miał jakikolwiek wpływ na Cyfrowy Polsat. To jest kwestia zabezpieczeń pojedynczej firmy i akurat traf chciał, że właścicielem obu firm jest ta sama osoba Zygmunt Solorz-Żak - mówi analityk DM BZ WBK Łukasz Kosiarski
Tak naprawdę nie ma pewności, czy haker rzeczywiście wykradł dane. Dziwne w całej sprawie jest to, że jak twierdzi sam haker, udało mu się ukraść z kont klientów Plus Banku nawet milion złotych. Dlatego trudno zrozumieć, dlaczego miałby dalej ryzykować wykryciem i aresztowaniem dla 200 tys. zł. Sprawa wyjaśni się najprawdopodobniej już w ten weekend, ponieważ do tego czasu bank ma czas na zapłacenie okupu.
Chcesz wiedzieć szybciej? Polub nas
