Za jeden z najgorętszych skandali ostatnich miesięcy w polskim Internecie można niewątpliwie uznać sprawę wycieku tysięcy CV i listów motywacyjnych, które chętni do pracy w banku Pekao SA wysłali na stronę www.zainwestujwprzyszlosc.pl.
Banalną wręcz lukę w zabezpieczeniach odkrył internauta posługujący się nickiem Glucio, który na swoim blogu „Ja i inne moje ja” napisał o tym, że odkrył publicznie dostępny katalog www.zainwestujwprzyszlosc.pl/files/0/ na serwerze banku, w którym dzięki niekompetencji administratorów zabrakło pliku .htaccess. Efekt? Tysiące plików z aplikacjami osób zainteresowanych pracą w Pekao SA.
Teoretycznie po kilkudziesięciu minutach od upublicznienia tej wiadomości w Internecie – do której doszło dzięki największemu polskiemu serwisowi social news Wykop.pl – lukę w bezpieczeństwie danych usunięto. Lecz cóż z tego, skoro każdy kompetentny użytkownik Sieci wykorzysta Google'a – którego boty już zdążyły zaindeksować wszystko co się dało. O tym że tak jest, może się przekonać każdy, wpisując w pasek wyszukiwania Google "site:www.zainwestujwprzyszlosc.pl/files/0/ filetype:doc".
To jednak nie koniec afery. Bank przyznał, że „jest nam bardzo przykro, szczególnie że bank to instytucja zaufania publicznego” – ale zarazem uznał, że jest całkowicie niewinny. Kto jest zatem winien?
Jednak trudno oskarżyć i ukarać wszystkich internautów. Dlatego znana i barwna postać polskiego Internetu, właściciel serwisu napisy.info Krzysztof J. Szklarski – zapowiedział na łamach swojego forum, że „w poniedziałek na biurku Prokuratora Okręgowego w Jeleniej Górze <<ląduje>> zawiadomienie o popełnionych przez zarząd Wykop.pl Spółka z o.o. przestępstwach z żądaniem natychmiastowego zamknięcia tego serwisu”. Dodał tam też, że dzięki jego staraniom, pokrzywdzeni przez bank Pekao SA będą mogli dochodzić od „Wykop.pl Spółka z o.o., debila, który te dane ujawnił w Internecie bardzo wysokich odszkodowań finansowych”.
Jak wielu wiadomo, Wykop.pl zdemaskował niegdyś pana Szklarskiego, publikując bogaty materiał na temat jego osobliwego życiorysu. Vendetta, którą zainicjowało to wydarzenie należy do soczystszych historii w polskiej Sieci. Czy teraz właścicielowi napisy.info uda się zemścić?
Całą historię można podsumować starym przysłowiem: „kowal zawinił, Cygana powiesili”. Zamiast odpowiedniej samokrytyki, zwolnień odpowiedzialnych za dział IT dyrektorów i odszkodowań dla poszkodowanych, Pekao SA udaje, że nie jest niczemu winne. Niektórzy zaś nie odpuszczą żadnej okazji, by w takim wypadku nie zabłysnąć publicznie, kierując się niewątpliwie zasadą „dobrze czy źle, byleby o mnie mówili”.
Źródło: Webhosting.pl, Glucio blog, Wykop.pl, Polityka
Banalną wręcz lukę w zabezpieczeniach odkrył internauta posługujący się nickiem Glucio, który na swoim blogu „Ja i inne moje ja” napisał o tym, że odkrył publicznie dostępny katalog www.zainwestujwprzyszlosc.pl/files/0/ na serwerze banku, w którym dzięki niekompetencji administratorów zabrakło pliku .htaccess. Efekt? Tysiące plików z aplikacjami osób zainteresowanych pracą w Pekao SA.
Teoretycznie po kilkudziesięciu minutach od upublicznienia tej wiadomości w Internecie – do której doszło dzięki największemu polskiemu serwisowi social news Wykop.pl – lukę w bezpieczeństwie danych usunięto. Lecz cóż z tego, skoro każdy kompetentny użytkownik Sieci wykorzysta Google'a – którego boty już zdążyły zaindeksować wszystko co się dało. O tym że tak jest, może się przekonać każdy, wpisując w pasek wyszukiwania Google "site:www.zainwestujwprzyszlosc.pl/files/0/ filetype:doc".
To jednak nie koniec afery. Bank przyznał, że „jest nam bardzo przykro, szczególnie że bank to instytucja zaufania publicznego” – ale zarazem uznał, że jest całkowicie niewinny. Kto jest zatem winien?
- winna jest firma Possum Communications, która świadczy bankowi usługi „collectingu danych” (pisownia oryginalna),
- i winni są internauci, którzy są zbyt pomysłowi – „możliwość wglądu do bazy z CV i listami motywacyjnymi na stronie internetowej banku nie była taka oczywista, bo należało znać odpowiednią ścieżkę http linku”.
Jednak trudno oskarżyć i ukarać wszystkich internautów. Dlatego znana i barwna postać polskiego Internetu, właściciel serwisu napisy.info Krzysztof J. Szklarski – zapowiedział na łamach swojego forum, że „w poniedziałek na biurku Prokuratora Okręgowego w Jeleniej Górze <<ląduje>> zawiadomienie o popełnionych przez zarząd Wykop.pl Spółka z o.o. przestępstwach z żądaniem natychmiastowego zamknięcia tego serwisu”. Dodał tam też, że dzięki jego staraniom, pokrzywdzeni przez bank Pekao SA będą mogli dochodzić od „Wykop.pl Spółka z o.o., debila, który te dane ujawnił w Internecie bardzo wysokich odszkodowań finansowych”.
Jak wielu wiadomo, Wykop.pl zdemaskował niegdyś pana Szklarskiego, publikując bogaty materiał na temat jego osobliwego życiorysu. Vendetta, którą zainicjowało to wydarzenie należy do soczystszych historii w polskiej Sieci. Czy teraz właścicielowi napisy.info uda się zemścić?
Całą historię można podsumować starym przysłowiem: „kowal zawinił, Cygana powiesili”. Zamiast odpowiedniej samokrytyki, zwolnień odpowiedzialnych za dział IT dyrektorów i odszkodowań dla poszkodowanych, Pekao SA udaje, że nie jest niczemu winne. Niektórzy zaś nie odpuszczą żadnej okazji, by w takim wypadku nie zabłysnąć publicznie, kierując się niewątpliwie zasadą „dobrze czy źle, byleby o mnie mówili”.
Źródło: Webhosting.pl, Glucio blog, Wykop.pl, Polityka
Oczywiscie bank wydaje jakies idiotyczne oswiadczenia dotyczace internautow, ale do tej pory nie zalatwil wylaczenia pokazywania tych danych w Google'u...
Czyli jak kiedyś wypłyną przypadkiem z "winy" jakiegoś "internauty" dane nieco bardziej wrażliwe niż numer telefonu, imię i nazwisko... to Pekao też wyrazi skruchę i płaczącym głosem powie "ale to nie nasza wina" ?
No ciekawe ciekawe, bardzo ciekawe.
A teraz niech ktoś jeszcze nada ładny spam do chociażby jakiejś części klientów Pekao (może lista maili klientów tez się znajdzie ?? :) ) - bądź co bądź, jakbym był mało obeznany z internetem i nie odróżniał katalogu z cv'kami, które sobie bank tam trzymał od bazy danych w której są już konkretniejsze dane przechowywane - no to chyba bym wyciągnął swoje pieniążki następnego dnia z tego banku a jeżeli było by więcej takich osób jak ja - no to ciekawe jaki byłby to ból dla Pekao - wydaje mi się, że nie mały.
edit: a co do Pana Szklarskiego i tego wpisu na napisy.info - po prostu brak słów.
Media też nie przyłożyły się do pracy, lepiej było epatować "atakiem hakierów", szukać sensacji i winnych, tajemniczych "anonimowych internautów"... w końcu mamy sezon ogórkowy. Zamiast szukać prawdziwych zrodeł kłopotów i zadawać trudne pytania - jak np. wyglada stan zabezpieczeń w tym czy innych bankach. Czy takie sytuacje mogą sie powtórzyc? Jakie są procedury bezpieczeństwa etc. Ale po co? mamy przecież do czynienia z "wpadka stulecia".
Moim zdaniem, jest to trudna sytuacja dla tego banku (i generalnie dla systemu bankowego w Polsce) - szczególnie, jeżeli to właśnie bank ma się kojarzyć klientowi z poczuciem bezpieczeństwa i zaufaniem. W końcu tam są zdeponowane nasze pieniądze. Jeśli klienci stracą zaufanie do bankowości online...
nie wiem co robic z kim sie kontaktowac w tej sprawie aby wreszcie dane zniknely, strona zablokowana i niech nie pieprzą ze zablokowali wszystko w ciagu kilku minut bo co z tego jak nasze dane są dalej w sieci!!!! fakt faktem publikujemy swoje cv ale nie bez powodu zawsze prosza o dopisanie klauzuli i ochronie danych osobowych; ja te ustawe sobie dzis przekopie i mam nadzieje ze bank sie wreszcie doigra
http://popgniezno.jogger.pl/2008/07/13/wykop-pl-wprowadza-cenzure-wokol-afery-z-pekao/
Tak właśnie ginie meritum sprawy, czyż nie byłaby to piekna "maskirowka"?
a) co w sytuacji, kiedy pracę już masz a aplikujesz gdzie indziej (do Pekao) i dowiaduje się nagle o tym Twój obecny pracodawca ? Jak dla mnie to jest swego rodzaju ryzyko, o które za pewne większość poszkodowanych osób - nie prosiło się.
b) nie wiem jak poszkodowanym, ale mnie nie zależało by na tym, żeby mój przyszły (inny niż Pekao) pracodawca, wiedział że aplikowałem do tego banku i np. nie dostałem się do niego.
całe szczęście z tego co widzę, nie ma już możliwości wglądu w kopię html tych cv. pozostały wpisy do nieistniejących lokalizacji na serwerze - no chyba, że źle patrzę.
swoją drogą Pekao powinno też pozwać Google za udostępnienie danych tych tysięcy biedaków, oraz Interaktywnie.com za podanie instrukcji obsługi. zamkną Google, zamkną Was i będzie święty spokój ;-)))))))
Jak widać bank zamiast porządnie zabrać się za opanowanie sytuacji kryzysowej nerwowo szuka winnych i popełnia jeden błąd za drugim.
Giełda natomiast nie zareagowała na potknięcie Pekao, którego kurs od wczoraj wzrósł o 1.3 proc. Społeczeństwo też szybko zapomni o całej aferze. Natomiast firma Possum Comunications może mieć wielkie problemy ze znalezieniem nowych klientów. Pamiętacie historię z Constarem? Już ich nie ma.
A wszystko za sprawą wpisu na blogu Glucia, który odnotowywał około 20 wejść dziennie.
To się nazywa niszcząca siła mediów społecznościowych.
Dodaj komentarz
Podobne tematy