Dane dotyczące uczestników największego do tej pory pozwu zbiorowego przeciwko bankowi padły prawdopodobnie łupem grupy hakerów, którzy zaatakowali kancelarię prawną Drzewiecki, Tomaszek & Partners. Pozywający zostali ostrzeżeni jednak nie przez prawników reprezentujących ich interesy, ale przez bank.
Jako pierwszy o informatycznym włamaniu do kancelarii donosił w zeszłym tygodniu specjalistyczny serwis Zaufana Trzecia Strona. Poinformował on o tym, że skontaktował się z nim włamywacz posługujący się pseudonimem „Fiat126pTeam”. Wpis prezentujący stanowisko hakerów, wraz z żądaniem okupu wynoszącego pół miliona euro, został wkrótce usunięty przez portal.
Wkrótce hakerzy skontaktowali się z przedstawicielami mediów. Wiadomość przesłano także do redakcji Bankier.pl. Czytamy w niej, że obiektem ataku była kancelaria Drzewiecki, Tomaszek & Partners, która prowadzi m.in. sprawy pozwu zbiorowego kredytobiorców Banku Millennium oraz pozwu ofiar Amber Gold przeciwko Skarbowi Państwa. „Posiadamy blisko 100GB danych, czyli całą infrastrukturę ich sieci, całą korespondencje prywatną, umowy z klientami, poufne dane (opatrzone klauzulą poufności). Do tego momentu udostępniliśmy 500MB danych na potwierdzenie wiarygodność na forum Torepublic w anonimowej sieci TOR”, czytamy w wiadomości. Jak informuje „Gazeta Prawna” kancelaria nie ugięła się przed próbą szantażu i powiadomiła Centralne Biuro Śledcze.
Włamanie prawdopodobnie rozpoczęło się od odpowiednio spreparowanej wiadomości, rzekomo zawierającej załącznik z dokumentem Microsoft Office. O fali złośliwego oprogramowania wycelowanego w firmy świadczące usługi prawne informowały wcześniej branżowe serwisy internetowe. Analiza przeprowadzona przez CERT Polska dowiodła, że wirusy rozsyłane w wiadomościach pocztowych pozwalały na ściągnięcie na komputer ofiary dodatkowych modułów, a ostatecznie na przejęcie kontroli nad maszyną przez atakujących.
Jak twierdzi przedstawiciel grupy kredytobiorców pozywających Bank Millennium, kancelaria nie skontaktowała się ze swoimi klientami i nie ostrzegła ich o niebezpieczeństwie. Wkrótce po opublikowaniu wiadomości przez „Zaufaną Trzecią Stronę” zrobił to jednak… Bank Millennium. Dotarł on do osób, których dane kontaktowe znajdowały się w złożonych w sądach pismach i poinformował potencjalne ofiary o prawdopodobnej kradzieży informacji. Poprosiliśmy o komentarz kancelarię, nie otrzymaliśmy jednak dotąd odpowiedzi.
Wycieki poufnych informacji to coraz poważniejsze zagrożenie, dotykające kolejnych branż. Kilka miesięcy temu głośno było o wpadce Plus Banku, któremu klienci również mieli za złe dość skąpą politykę informowania o incydencie. Konsekwencją ujawnienia danych osobowych może być kradzież tożsamości, czyli wykorzystanie zdobytych nielegalnie informacji np. do zaciągania zobowiązań finansowych (pożyczek, abonamentów itp.) na konto ofiary. W przypadku bardzo wrażliwych danych konsekwencje mogą być jeszcze poważniejsze. Przypadek serwisu Ashley Madison pokazał, że przestępcy są w stanie użyć informacji o małżeńskiej niewierności do prób szantażu i wymuszeń.
