Wycieki haseł są kojarzone z atakami hackerów, ewentualnie błędach krytycznych w systemie. Bywa, że stoi za nimi brak kompetencji kogoś po drugiej stronie kabla, ale chyba niewiele osób spodziewa się tak rażących naruszeń, jak to Idea Banku.

Wspomniany bank upublicznił adresy e-mail 800 swoich klientów, ponieważ nie ukrył odbiorców. Wydawałoby się, że opcja UDW (Ukryte Do Wiadomości lub BCC – Blind Carbon Copy) jest nieznana tylko początkującym użytkownikom sieci. Błąd jest szczególnie bolesny, gdyż pochodzi od instytucji zaufania publicznego. Być może część internautów pomyśli „to tylko adres e-mail”, problem jest jednak bardzo poważny.

Najprostszym scenariuszem, jaki można nakreślić, jest obecność wśród tych 800 klientów banku osoby odpowiedzialnej za działania promocyjnej w firmie X. Baza kontaktów, a więc również odbiorców oferty biznesowej takiego przedsiębiorstwa właśnie wzrosła o 800 adresów, to jednak najmniejszy z problemów delikwentów. Przede wszystkim upubliczniono dane przeznaczone do kontaktów z bankiem, informacje, które mogą pomóc w zidentyfikowaniu danego klienta, a w konsekwencji nawet przejęcia jego danych logowania do konta bankowego online. Oczywiście to duże uproszczenie, ale pokazuje drogę, jaką można przebyć od przejęcia tak – wydawałoby się – mało drażliwej informacji, jaką jest adres skrzynki internetowej. Idąc dalej: można z dużym stopniem prawdopodobieństwa założyć, że wiele z tych 800 osób ma jedno konto konto e-mail lub jedno służące do kontaktu z bankami i innymi podmiotami o profilu biznesowym lub poufnym. Przejęcie takiego adresu e-mail, połączone z ustaleniem tożsamości jego właściciela może prowadzić do zidentyfikowania usług finansowych, z jakich dana osoba korzysta online (konto osobiste, karta kredytowa, kantor internetowy).

Tak oczywista kwestia, jak ukrywanie odbiorców w masowej korespondencji powinna być bezwzględnie przestrzegana, szczególnie przez banki. Przez ostatnie kilkanaście miesięcy obserwujemy wzmożony ruch ataków phishingowych i następujące po nich oświadczenia i przypomnienia banków, iż nie wymagają one podawania poufnych informacji drogą elektroniczną. Co prawda, to prawda – nie wymagają. Ewentualnie same upublicznią.