BPH got owned? - aktualizacja 12.02.2007r.

Przedstawiciel ihack.pl został dzisiaj w nocy poinformowany o rzekomym włamaniu na BPH.

Michał Bućko w tej sprawie mówi:

"Nie otrzymaliśmy dowodów włamania. W praktyce screeny mogły zostać spreparowane (małe prawdopodobieństwo), ew. mogło być to zwykłe wstrzyknięcie kodu HTML. Rzeczywiście, pojawił się monit dotyczący przerwy w dostępie systemu. Nie ma jednak dowodów włamania, nie widziałem screena z podmienioną główną stroną banku BPH.

Usłyszałem zapewnienia o włamaniu, ale nie widziałem dowodów. Bank BHP mógł mieć inny problem, ew. chciał usunąć te błędy, które ujemnie mogły wpłynąć na jego wizerunek; wizerunek, nie tylko ten internetowy. Po rozmowie z reprezentantem ihack, otrzymałem informację, że był to najprawdopodobniej błąd typu SQL injection.. Trudno jednak uwierzyć w to w kontekście tak dużych instytucji, które kładą (?) większy nacisk na bezpieczeństwo.”

Nie podważamy ew. wiarygodności tego włamania; ale oczekujemy jednak dowodów.

Aktualizacja I:

"Zostałem zapewniony przez kilka źródeł, że włamanie miało miejsce. Ale w tej chwili nie mogę tego potwierdzić."

Aktualizacja II:

Otrzymaliśmy adres email do włamwywaczy, skontaktujemy się z nimi a następnie postaramy ujawnić więcej informacji.

Aktualizacja III:

"Jako, że dotychczas nie otrzymałem dowodów włamania, przejęcia kontroli nad częścią bazy danych, przejęcia kontroli na kontem www, ośmielę się podważyć wiarygodność pseudowłamania. Tym samym, nie wierzę także w ew. wykorzystanie SQL injection do wykradnięcia poufnych danych. Najprawdopodobniej mamy do czynienia z tanią prowokacją"

Aktualizacja IV:

"W przypadku BHP nie mieliśmy do czynienia z włamaniem, informacje te zostały potwierdzone. Okazało się, że była to - jak wcześniej przypuszczałem - prowokacja. Kolejny raz, nasza ekspertyza sprawdziła się - zostało to potwierdzone przez w/w Bank."

Realizacja: SIPLEX Studio