Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Chmielnik: pracownik działu IT okradł bank, w którym pracował na prawie 1 mln PLN
O akcji donosi TVP Kielce:
Radosław Sz., 42-letni pracownik, banku miał w zakresie swoich obowiązków dbać o bezpieczeństwo danych przechowywanych w systemach banku. (…) . Wykorzystywał swoje uprawnienia i wiedzę, aby po przejęciu transzy pieniędzy, kasować z systemów ślady transakcji, tak by w pierwszej chwili nie zostały zauważone. W ten sposób okradł bank na kwotę co najmniej 960 tys. złotych.
Jaka była konkretna metoda kradzieży? Tego dokładnie nie wiadomo, choć podejrzewamy że mogło zabraknąć wdrożenia procedur klasy separation of duties. Tj. jeden pracownik IT nie powinien mieć dostępu np. do zmiany danych w systemie transakcyjnym a przy okazji dostępu do edycji logów transakcji. Może w niewielkim banku spółdzielczym w Chmielniku, nikt tym się nie przejmował? Strona informacyjna banku nie wygląda również ani na zbytnio nowoczesną ani na bezpieczną (brak https na stronie bankowej?!?, portal developera z wygaśniętym certyfikatem ?!?)
Update, można ręcznie wejść na stronę banku po https, ale wtedy wita nas taki oto widok:
Z innych historii warto przywołać „panią hackerkę”, która w nieco inny sposób również okradła swojego pracodawcę (kwota 1,3 mln PLN):
jedna z pracownic OPS w Łoniowie, odpowiedzialna za przygotowywanie wypłacania świadczeń socjalnych, wprowadzała do systemów elektronicznych fałszywe dane, a następnie przyznane na tej podstawie pieniądze przekazywała na swoje konto bankowe.
–Michał Sajdak
Https nie ma na głownej stronie, ale przy logowaniu (eBankNet) już niby jest :)
Akurat braki https i badziew strony rodem z lat 90-tych, to nic nadzwyczajnego w przypadku banków spółdzielczych. ;p
Najepszy jest ten komunikat:
„Strona o wybranym adresie URL nie istnieje, nalezy zweryfikowac stan bezpieczenstwa Twojego komputera”.
Dwie ciekawe sprawy :
1.Dla korporacji logowanie przez pobranie launchera Java :-)
(A jak ktoś nie ma Javy?)
2. W zakładce Rolnicy taki „kfiatek”
KREDYT OBOROTOWY „ROLNK”
Czy to pisał jakiś normalny inaczej? Mnie by było wstyd takie coś zamieścić na stronie . Szczególnie, stronie banku.
Nie bronię sprawcy ale proszę pamiętać o tym że:
1. Dział IT w BS zwykle (dla oszczędności kosztów) jest jednoosobowy
2. Na Dział IT (szumnie zwany działem, mający wewnętrznych „papierowych pomocników”) zrzucane są WSZYSTKIE sprawy związane z informatyką, nie tylko dbanie o bezpieczeństwo sieci komputerowej ale także sprawy aktualizacji, uruchamiania sprzetu, testów sprzetu i oprogramowania, utrzymania strony www, monitoringu wizyjnego itp. Często dział IT jeszcze ma dodatkowe sprawy na głowie według widzimisię kierownictwa – włącznie z sprawozdawczością czy jeźdzeniem w transportach z gotówką – oczywiście dla oszczędności, bo jakoś dział IT za 4 tys złotych to koszt zbyt duży dla bs-ów aby zajmował się tylko jednym zakresem IT. Jak to się ma do całych „stad” w komercyjnych?
3. launcher Javy jest narzucony przez jednego z głównych dostarczycieli BE dla BS. Uwagi do niego za ekscentryczne rozwiązania. A co, może dział IT jednoosobowy ma jeszcze BE korporacyjną po nocach za 4 tys zł napisać?
4. strona www to zło konieczne dla niektórych kierownictw, ogranicza się koszty do niezbędnych do działania, zresztą nikt nie napisze za friko strony dla banku w pajączku… te czasy już minęły. Jakikolwiek zdatny CMS z wsparciem zewnętrznym (bo Dział IT ma w BS tylko 24 h na dobę do pracy) to wydatek rzędu 12-20tys zł plus abonament miesięczny za dbanie o działanie strony ALE NIE ZA TREŚĆ! A jeśli treść ma jeszcze dział IT wprowadzać bo reszta jest „nieinformatyczna” to już inna sprawa.
Co do metody „włamu” – cóż, dawanie WSZYSTKICH uprawnień, także księgowych, dla oszczędności kosztów na stanowiskach mogło być sporym ułatwieniem dla wykonania tego „zdarzenia”
Parafrazując pewne powiedzenie: I dział kontroli pupa, gdy u jednego człowieka uprawnień kupa….
Smutne to. Serio.
A może to kredyt obrotowy na oborę?
jeśli używa się programu Interchlew Exploder to odsetki są umarzane. ;-)
#Paweł – problem wysokości wynagrodzeń IT w małych bankach jest…. smutny. Dużo obowiązków, ogromna odpowiedzialność i… pensja o wiele niższa niż jakiś dowolny kierownik. Ciekawe kiedy kierownictwa się ockną, że to nie Chiny i specjalista od bezpieczeństwa za michę ryżu nie popracuje, w każdym razie nie długo.
wtedy nazywałby się „kredyt oborowy” :D
„Radosław Sz., 42-letni pracownik, banku miał w zakresie swoich obowiązków miał dbałość o bezpieczeństwo danych przechowywanych w systemach banku.”
Miał, miał…
TVP oczywiście robi błędy, których nie poprawia. Szkoda, że to nie jest wyjątek, a standard w całej „branży informacyjnej” :(
Tak jest wszedzie a najlatwiej zdobyc dane z takich instytucji jak szkoly, szpitale, biblioteki. Moja kolezanka pracuje w bibliotece i nieraz przynosi mi skany dowodow osobistych. Same skanowanie dowodu jest karalne bo podchodzi pod kopiowanie i kradziez tozsamosci.