Przedstawiciel ihack.pl został dzisiaj w nocy poinformowany o rzekomym włamaniu na BPH.
Michał Bućko w tej sprawie mówi:
“Nie otrzymaliśmy dowodów włamania. W praktyce screeny mogły zostać spreparowane (małe prawdopodobieństwo), ew. mogło być to zwykłe wstrzyknięcie kodu HTML. Rzeczywiście, pojawił się monit dotyczący przerwy w dostępie systemu. Nie ma jednak dowodów włamania, nie widziałem screena z podmienioną główną stroną banku BPH.
Usłyszałem zapewnienia o włamaniu, ale nie widziałem dowodów. Bank BHP mógł mieć inny problem, ew. chciał usunąć te błędy, które ujemnie mogły wpłynąć na jego wizerunek; wizerunek, nie tylko ten internetowy. Po rozmowie z reprezentantem ihack, otrzymałem informację, że był to najprawdopodobniej błąd typu SQL injection.. Trudno jednak uwierzyć w to w kontekście tak dużych instytucji, które kładą (?) większy nacisk na bezpieczeństwo.”
Nie podważamy ew. wiarygodności tego włamania; ale oczekujemy jednak dowodów.
Aktualizacja I:
“Zostałem zapewniony przez kilka źródeł, że włamanie miało miejsce. Ale w tej chwili nie mogę tego potwierdzić.”
Aktualizacja II:
Otrzymaliśmy adres email do włamwywaczy, skontaktujemy się z nimi a następnie postaramy ujawnić więcej informacji.
Aktualizacja III:
“Jako, że dotychczas nie otrzymałem dowodów włamania, przejęcia kontroli nad częścią bazy danych, przejęcia kontroli na kontem www, ośmielę się podważyć wiarygodność pseudowłamania. Tym samym, nie wierzę także w ew. wykorzystanie SQL injection do wykradnięcia poufnych danych. Najprawdopodobniej mamy do czynienia z tanią prowokacją”
Aktualizacja IV:
“W przypadku BHP nie mieliśmy do czynienia z włamaniem, informacje te zostały potwierdzone. Okazało się, że była to – jak wcześniej przypuszczałem – prowokacja. Kolejny raz, nasza ekspertyza sprawdziła się – zostało to potwierdzone przez w/w Bank.”
