Podczas, gdy banki muszą radzić sobie z częstymi ostatnio atakami phishingowymi, zapominają najwyraźniej dbać o bezpieczeństwo ze swojej strony. Jak w innym wypadku można wytłumaczyć historię internauty, który kupił na internetowej aukcji routery, niegdyś należące do PKO BP w Gdańsku?

Uszkodzone urządzenia zostały przez kupca uruchomione i, dzięki zaopatrzeniu je w kości pamięci, otrzymał on dostęp do pliku konfiguracyjnego. Szybko okazało się, że routery obsługiwały sieć w gdańskim oddziale PKO BP. Dane były co prawda aktualizowane po raz ostatni niemal cztery lata temu, ale nie ulega wątpliwości, że nawet takie dane mogą być poufne.

Jakie dokładnie informacje zawierało urządzenie? By nie narazić się na oskarżenia ze strony banku o łamanie zasad bezpieczeństwa, nowy właściciel urządzeń przekazał sprawę serwisowi internetowemu “Zaufana Trzecia Strona”. Ich analiza wykazała, że routery zawierały między innymi hasła do serwerów, listy kontroli dostępu, konta dostępu i adresy IP poszczególnych elementów sieciowych. Szczegółowe badanie wykonane przez inżyniera sieciowego wskazało, że dane nie nadawały się do użytku w przygotowaniu ataku, ale mogły być pomocne przy poruszaniu się po sieci w razie uzyskania dostępu do niej w inny sposób i w ten sposób znacznie ułatwić wyrządzenie szkód.

Komentarz PKO sugeruje co prawda zaniedbania ze strony osób zobligowanych do trwałego zniszczenia danych, lecz zapewniło też, że te dane nie były aktualne już w momencie przekazania routerów. Nie mogą być więc jakkolwiek użyte przeciwko bankowi, czy jego klientom. To jednak nie pierwsza tego typu wpadka PKO. Trzy lata temu pewien internauta odnalazł na stronie banku plik z poufnymi informacjami o 1027. firmach. Gdy powiadomił o tym placówkę z zapytaniem o ewentualną nagrodę, w odpowiedzi otrzymał pozew sądowy. Sprawę oczywiście umożono.

Warto pamiętać, że nie tylko klienci banków bywają lekkomyślni w rozporządzaniu swymi danymi. Banki są jednak instytucjami zaufania publicznego, stąd ich porażki na tym polu należy oceniać surowiej. Dziś za ich pośrednictwem dokonują się w sieci przelewy na duże sumy, wymiana walut, udziela się kredytów, wymienia poufne dane. To od banków powinny pochodzić skuteczne narzędzia ochrony, nie – urządzenia, dzięki którym oszust może zdobyć nasze informacje lub pieniądze.