Koledzy, jest #
afera ( ͡° ͜ʖ ͡°)
Niestety, ww nie dotyczy naszego ulubionego portalu ze śmiesznymi obrazkami, oj nie. Sprawa jest znacznie poważniejsza.
Jeden z pracowników firmy, w której pracuję, od pewnego czasu otrzymuje wiadomości SMS z poufnymi informacjami (kwota przelewu/info o rozliczeniach, dane osobowe) jednego z klientów banku "Credit Agricole". Gdy tylko zostałem poinformowany, że taka sytuacja ma miejsce, niezwłocznie skontaktowałem się z ww instytucją (1 grudnia) aby powiadomić ją o opisywanym incydencie. Szalenie uprzejma pani konsultant pięknie mi podziękowała za informację i powiedziała, że sprawa zostanie potraktowana priorytetowo.
Niestety, jak się pewnie domyślacie sprawa nie została potraktowana należycie. Cóż, najwidoczniej "CA" uznało, że ich klient na pewno nie będzie miał absolutnie nic przeciwko temu, że dostęp do poufnych informacji na temat jego konta i transakcji ma przypadkowa osoba - niech się cieszy, że jest to pracownik działu finansowego dużej firmy a nie jakiś podły, obrzydliwy cyberprzestępca.
Z uwagi na fakt iż sam pracuję w korpo (Polska/Kanada) to wiem, że czasem takie sprawy potrafią utknąć przez bardzo mądre i potrzebne procedury. Postanowiłem więc, po tym jak pracownik otrzymał kolejne wiadomości SMS (w tym imię i nazwisko klienta) poprosić "CA" aby chociaż zablokowali ten numer do czasu wyjaśnienia sprawy - prośbę przesłałem drogą elektroniczną (e-mailem) wraz z potwierdzeniem, że przedmiotowy numer jest przypisany do firmy, w której pracuję (a zatem nie może należeć do klienta "CA" i otrzymywać informacji SMS związanych z jego kontem).
Nie zgadniecie! Sprawa nie ruszyła nawet o milimetr do przodu, SMS-y nadal "przychodzą" a konsultanci, do których dzwoniłem, owszem, przyznają mi rację, że do takiej sytuacji w ogóle nie powinno dojść, ale niestety, nie mogą przyspieszyć rozwiązania sprawy właśnie z uwagi na obowiązujące ich procedury. Dopytywałem czy zdają sobie sprawę z rangi tego zdarzenia oraz, że sprawa powinna mieć najwyższy możliwy priorytet - wszak chodzi o poufne informacje dotyczące ich klienta, jego bezpieczeństwo... Credit Agricole tak bardzo przejęło się opisywaną sytuacją, że dziś (i wczoraj) nasz pracownik po raz kolejny otrzymał serię krótkich wiadomości tekstowych z poufnymi informacjami.
Przed kilkoma minutami (dzwoniłem na ich infolinię około godziny 19:00) dowiedziałem się, że sprawa jest "w toku" a ja jestem niepoważny bo duplikuję zgłoszenie zamiast czekać grzecznie na informację zwrotną. Cóż mogę powiedzieć - zatkało mnie. Sądziłem, że kwestie bezpieczeństwa to priorytet, że w takich sytuacjach jest implementowany odpowiedni scenariusz, który zapobiega eskalacji problemu - zwłaszcza, że to jest bank a informacje, które "wyciekają" są naprawdę newralgiczne.
Publikuję to znalezisko gdyż tak mi
tu doradziliście .
Na koniec garść tagów: #
it #
security #
creditagricole #
pytanie #
pytaniedoeksperta
Komentarze (99)
najlepsze
Właśnie
Nie. Skontaktowałem się z nim i powiedziałem, żeby zmienił. Nie był świadom niczego.
@houk: brak odpowiedniej procedury i brak chęci zrobienia czegoś poza procedurą.
Najlepiej złożone osobiście w placówce CA, z potwierdzeniem odbioru na kopii - urzędy już możesz pocztowo. Trzeba niestety ruszyć 4 litery, ale unikniesz w ten sposób posądzenia o naruszenie tajemnicy korespondencji i innych cyrków.
On nie naruszył tajemnicy korespondencji.
Sensownie byłoby gdyby zgłosił sprawę osobie która powinna te sms-y otrzymywać. On mogłaby nawet pozwać ca.
@tylko_grzanki: Tylko właśnie, instytucja operująca na poufnych danych coś zawaliła i teraz osoba trzecia ma się fatygować i gimnastykować by to odkręcać. Chyba nie w tę stronę to powinno się
No i na końcu Getin Bank. Ło #!$%@?, te to są oporne.
Najsmieszniejsze ze potem chcieli jeszcze zebym oplacil koszty rzeczoznawcy( ͡° ͜ʖ ͡°) (choc w prospekcie bylo ze jest bezkosztowy).
Bawilem sie
Swego czasu pracowałem też jako QA przy systemach dla placówek w dwóch bardzo znanych bankach i akcje z wysyłaniem poufnych informacji do osób, które ich nie powinny otrzymać też się zdarzały. Reagowanie na zgłoszenia odbywało się dosyć powoli, bo procedury,
także procedury przeszkadzają nie tylko klientom, ale i pracownikom, wszyscy #!$%@?, a to wina firm
Serio uważasz, że procedura, która wymaga rozmowy o koncie klienta tylko z tym klientem jest zła?
Tak to każdy będzie mówił, że on w imieniu babci, bo ta nie ogarnia.
Ale jeśli otrzymujecie sygnał