Banalną wręcz lukę w zabezpieczeniach odkrył internauta posługujący się nickiem Glucio, który na swoim blogu „Ja i inne moje ja” napisał o tym, że odkrył publicznie dostępny katalog www.zainwestujwprzyszlosc.pl/files/0/ na serwerze banku, w którym dzięki niekompetencji administratorów zabrakło pliku .htaccess. Efekt? Tysiące plików z aplikacjami osób zainteresowanych pracą w Pekao SA.
Teoretycznie po kilkudziesięciu minutach od upublicznienia tej wiadomości w Internecie – do której doszło dzięki największemu polskiemu serwisowi social news Wykop.pl – lukę w bezpieczeństwie danych usunięto. Lecz cóż z tego, skoro każdy kompetentny użytkownik Sieci wykorzysta Google'a – którego boty już zdążyły zaindeksować wszystko co się dało. O tym że tak jest, może się przekonać każdy, wpisując w pasek wyszukiwania Google "site:www.zainwestujwprzyszlosc.pl/files/0/ filetype:doc".
To jednak nie koniec afery. Bank przyznał, że „jest nam bardzo przykro, szczególnie że bank to instytucja zaufania publicznego” – ale zarazem uznał, że jest całkowicie niewinny. Kto jest zatem winien?
- winna jest firma Possum Communications, która świadczy bankowi usługi „collectingu danych” (pisownia oryginalna),
- i winni są internauci, którzy są zbyt pomysłowi – „możliwość wglądu do bazy z CV i listami motywacyjnymi na stronie internetowej banku nie była taka oczywista, bo należało znać odpowiednią ścieżkę http linku”.
Jednak trudno oskarżyć i ukarać wszystkich internautów. Dlatego znana i barwna postać polskiego Internetu, właściciel serwisu napisy.info Krzysztof J. Szklarski – zapowiedział na łamach swojego forum, że „w poniedziałek na biurku Prokuratora Okręgowego w Jeleniej Górze <<ląduje>> zawiadomienie o popełnionych przez zarząd Wykop.pl Spółka z o.o. przestępstwach z żądaniem natychmiastowego zamknięcia tego serwisu”. Dodał tam też, że dzięki jego staraniom, pokrzywdzeni przez bank Pekao SA będą mogli dochodzić od „Wykop.pl Spółka z o.o., debila, który te dane ujawnił w Internecie bardzo wysokich odszkodowań finansowych”.
Jak wielu wiadomo, Wykop.pl zdemaskował niegdyś pana Szklarskiego, publikując bogaty materiał na temat jego osobliwego życiorysu. Vendetta, którą zainicjowało to wydarzenie należy do soczystszych historii w polskiej Sieci. Czy teraz właścicielowi napisy.info uda się zemścić?
Całą historię można podsumować starym przysłowiem: „kowal zawinił, Cygana powiesili”. Zamiast odpowiedniej samokrytyki, zwolnień odpowiedzialnych za dział IT dyrektorów i odszkodowań dla poszkodowanych, Pekao SA udaje, że nie jest niczemu winne. Niektórzy zaś nie odpuszczą żadnej okazji, by w takim wypadku nie zabłysnąć publicznie, kierując się niewątpliwie zasadą „dobrze czy źle, byleby o mnie mówili”.
Źródło: Webhosting.pl, Glucio blog, Wykop.pl, Polityka
Specjalizujemy się w marketingu efektywnościowym. Dzięki doświadczeniu naszych specjalistów tworzymy kampanie,...
Zobacz profil w katalogu firm »
Dlaczego założyłem Space Ads?
Poznaj historię Rafała Chojnackiego, założyciela agencji.
Słabe agencje i...
Zobacz profil w katalogu firm »
Firma MENTAX powstała w 2005 roku. Posiadamy ponad 15-letnie doświadczenie w tworzeniu oprogramowania na...
Zobacz profil w katalogu firm »
Projektujemy i wdrażamy strony internetowe - m.in. sklepy, landing page, firmowe.
Świadczymy usługi związane z...
Zobacz profil w katalogu firm »
Pomagamy markom odnosić sukces w Internecie.
Specjalizujemy się w pozycjonowaniu stron, performance marketingu,...
Zobacz profil w katalogu firm »
Pozycjonujemy się jako alternatywa dla agencji sieciowych, oferując konkurencyjną jakość, niższe koszty i...
Zobacz profil w katalogu firm »
Ciekawe czy bank zglosi do odpowiedzialnosci karnej takze Google. Zapytanie do wyszukiwarki o te zyciorysy generuje calkiem pokazna liste danych osobowych, adresy, numery telefonów i to, co w skrotowej dlugosci sie zmiescilo. W cache Google'a jest tez troche zachowanych tresci calych CV...
Oczywiscie bank wydaje jakies idiotyczne oswiadczenia dotyczace internautow, ale do tej pory nie zalatwil wylaczenia pokazywania tych danych w Google'u...
Z całym szacunkiem dla dokonań dziennikarskich Arkadiusza Mierzwo - o PR związanym z internautami będzie musiał się jeszcze trochę nauczyć. Pozywać internautów = strzał w kolano PKO.
Czyli jak kiedyś wypłyną przypadkiem z "winy" jakiegoś "internauty" dane nieco bardziej wrażliwe niż numer telefonu, imię i nazwisko... to Pekao też wyrazi skruchę i płaczącym głosem powie "ale to nie nasza wina" ?
No ciekawe ciekawe, bardzo ciekawe.
A teraz niech ktoś jeszcze nada ładny spam do chociażby jakiejś części klientów Pekao (może lista maili klientów tez się znajdzie ?? :) ) - bądź co bądź, jakbym był mało obeznany z internetem i nie odróżniał katalogu z cv'kami, które sobie bank tam trzymał od bazy danych w której są już konkretniejsze dane przechowywane - no to chyba bym wyciągnął swoje pieniążki następnego dnia z tego banku a jeżeli było by więcej takich osób jak ja - no to ciekawe jaki byłby to ból dla Pekao - wydaje mi się, że nie mały.
edit: a co do Pana Szklarskiego i tego wpisu na napisy.info - po prostu brak słów.
Pekao S.A mówiac kolokwialnie, nie przyłożyło się w kwestii zabezpieczeń (ich brak), ale do tego wykazuje się bardzo słabym działem komunikacji oraz brakiem schematów postępowań na wypadek trudnych - kryzysowych sytuacji. Straszenie ludzi, szukanie winnych, ośmieszanie się merytoryczne - to typowo polska przypadłość. Zamiast szukać jak najszybciej rozwiażań i uspokoić klientów.
Media też nie przyłożyły się do pracy, lepiej było epatować "atakiem hakierów", szukać sensacji i winnych, tajemniczych "anonimowych internautów"... w końcu mamy sezon ogórkowy. Zamiast szukać prawdziwych zrodeł kłopotów i zadawać trudne pytania - jak np. wyglada stan zabezpieczeń w tym czy innych bankach. Czy takie sytuacje mogą sie powtórzyc? Jakie są procedury bezpieczeństwa etc. Ale po co? mamy przecież do czynienia z "wpadka stulecia".
Moim zdaniem, jest to trudna sytuacja dla tego banku (i generalnie dla systemu bankowego w Polsce) - szczególnie, jeżeli to właśnie bank ma się kojarzyć klientowi z poczuciem bezpieczeństwa i zaufaniem. W końcu tam są zdeponowane nasze pieniądze. Jeśli klienci stracą zaufanie do bankowości online...
Jestem jedną z osób które zarejestrowały swoje cv na tej stronie, moje dane osobowe dalej są dostępne więc co z tego że zablokowali strone skoro i tak plik jest dostepny w wersji HTML ???dostałam dziś jakies telefony od zupelnie obcych, prywatnych osób, nie mając wcześniej o tym zielonego pojęcia
nie wiem co robic z kim sie kontaktowac w tej sprawie aby wreszcie dane zniknely, strona zablokowana i niech nie pieprzą ze zablokowali wszystko w ciagu kilku minut bo co z tego jak nasze dane są dalej w sieci!!!! fakt faktem publikujemy swoje cv ale nie bez powodu zawsze prosza o dopisanie klauzuli i ochronie danych osobowych; ja te ustawe sobie dzis przekopie i mam nadzieje ze bank sie wreszcie doigra
Co z tego, ze bank usunal dane ze strony, jezeli wystarczy w google wpisac.... site:zainwestujwprzyszlosc.pl doc
No niezłe się podziało. A oskarżać internautów ze oglądali sobie CV to śmiech na sali. Jedyna wina jest banku (firmy która tworzyła tą stronę) bo na zabezpieczeniach to oni się chyba nie znają...
Przy okazji sprawy Pekao S.A, barwna postac imć Szklarski postanowił walczyć z web 2.0 :). I co z tego dalej wynikło?
http://popgniezno.jogger.pl/2008/07/13/wykop-pl-wprowadza-cenzure-wokol-afery-z-pekao/
Tak właśnie ginie meritum sprawy, czyż nie byłaby to piekna "maskirowka"?
ja pitole ale dziadostwo!! Az strach szukac pracy!! dobrze, ze ja do nich nie aplikowalem bo moje cv tez by tam bylo. W dodatku te oskarzenia i groźby w stostunku do internautów!! Hańba PEKAO!!
przecież cv w pko to nie teczka w ipn :) nie ma się czego wstydzić, bo jak... własnego cv? :)
@Grzegorz Rusiecki - niby masz rację, aczkolwiek:
a) co w sytuacji, kiedy pracę już masz a aplikujesz gdzie indziej (do Pekao) i dowiaduje się nagle o tym Twój obecny pracodawca ? Jak dla mnie to jest swego rodzaju ryzyko, o które za pewne większość poszkodowanych osób - nie prosiło się.
b) nie wiem jak poszkodowanym, ale mnie nie zależało by na tym, żeby mój przyszły (inny niż Pekao) pracodawca, wiedział że aplikowałem do tego banku i np. nie dostałem się do niego.
całe szczęście z tego co widzę, nie ma już możliwości wglądu w kopię html tych cv. pozostały wpisy do nieistniejących lokalizacji na serwerze - no chyba, że źle patrzę.
Wpisy moze sa nieistniejace, ale dalej z wynikow googla w zajawkach mozna odczytac dane osobowe, powiazane z numerami telefonow i mailami. no ale coz... nie ma to jak dobry, bezpieczny bank ;)
ciekawe spostrzeżenie przy tej okazji mi się nasunęło - Google "archiwizuje" błędy i nawet po ich usunięciu pozostają ślady. czyli to, co kiedyś było siłą Internetu, czyli możliwość natychmiastowego update'u i naprawiania pomyłek, już jest nieaktualne...
swoją drogą Pekao powinno też pozwać Google za udostępnienie danych tych tysięcy biedaków, oraz Interaktywnie.com za podanie instrukcji obsługi. zamkną Google, zamkną Was i będzie święty spokój ;-)))))))
Minęło już ponad 48 godzin od feralnego wycieku CV, a w Google nadal znajduje się część danych osobowych. Jeśli tak ciężko doprosić się o ich usunięcie z indeksu, to może warto pod nazwami oryginalnych CV wrzucić na serwer pliki z tekstem "lorem ipsum" i zachęcić Googla do ponownej indeksacji.
Jak widać bank zamiast porządnie zabrać się za opanowanie sytuacji kryzysowej nerwowo szuka winnych i popełnia jeden błąd za drugim.
Giełda natomiast nie zareagowała na potknięcie Pekao, którego kurs od wczoraj wzrósł o 1.3 proc. Społeczeństwo też szybko zapomni o całej aferze. Natomiast firma Possum Comunications może mieć wielkie problemy ze znalezieniem nowych klientów. Pamiętacie historię z Constarem? Już ich nie ma.
A wszystko za sprawą wpisu na blogu Glucia, który odnotowywał około 20 wejść dziennie.
To się nazywa niszcząca siła mediów społecznościowych.