Exkluzivně:
Komerční banka neumí přiznat chybu, ztratila mou důvěru, říká Jiří Dlabaja

BP.com: Úniku citlivých dat Komerční banky je – právem – věnována velká pozornost. V internetových diskusích se to hemží různými komentáři, od spílání Komerční bance až po nařknutí Vaší osoby z hackerství. Můžete stručně zopakovat, jak jste na prolomení modulu KB Penzijní společnosti přišel?

Na zveřejněném videu je to vidět. Přihlásil jsem se klasicky přes certifikační klíč do internetového bankovnictví Komerční banky. Nezadával jsem žádná další hesla, jen jsem klikal, klikal a klikal. A k mému překvapení jsem se dostal do databáze klientů KB Penzijní společnosti. Podařilo se mi to přes určitou – náhodnou – kombinaci kliků v systému KB. Opakuji, šlo o přihlášení do systému Komerční banky, nikoliv do KB Penzijní společnosti. Nejsem hacker, jsem zcela běžný IT uživatel, takže skutečně nešlo o žádné důmyslné testování a zkoušení hesel, hackerství nebo úmyslné prolamování bezpečnostních bran.

BP.com: Jak jste problém Komerční bance ohlásil?

Hned, co jsem to zjistil, jsem napsal mail s popisem problému a kontaktoval ji přes Facebook. Poslal jsem bance print-screeny, poslal jsem bance i informace o možnosti editování v systému. Žádné změny jsem samozřejmě neuložil, abych já osobně nezpůsobil žádné škody. Pomocí vyhledání atraktivní osoby pana Kalouska, jehož jméno mě zrovna napadlo, tak jsem to zkusil a jeho záznam skutečně vyskočil, jsem zjistil, že jde o extra vážnou věc. Možná šlo zjišťovat nebo objevovat více, ale nikam dál v systému nebo databázi jsem se nepouštěl. Jak jsem řekl, mým úmyslem nebylo získat citlivá data. Byl jsem v naprostém šoku.

BP.com: Jaká byla reakce Komerční banky?

Jsem tiskový mluvčí společnosti zabývající se bezpečností na železnici a upřímně říkám, přístup banky byl naprosto amatérský. Katastrofa! Banka měla okamžitě zahájit krizovou komunikaci, to ale neudělala. Zveřejněný příspěvek na Facebooku smazali a místo okamžitého řešení oznámili, že budeme komunikovat po mailu. To jsem odmítl a byl jsem v šoku podruhé. Až ve středu ráno se mi někdo z banky ozval, přiznal průšvih a požádal mě, abych stáhl svoje příspěvky na Facebooku, že je to nepříjemné. Já jsem to samozřejmě nechtěl, protože tajit problém není řešení. V dalším telefonátu mi navrhli schůzku, ale až příští týden v úterý. Zatím prý netuší, co se stalo a jak je to možné. Byla to možná reakce na moje tvrzení, že bance nevěřím a že z KB odcházím. Na tom, že je pro mě Komerční banka nedůvěryhodná, však stále trvám.

BP.com: Poté, co se díky vám dozvěděli o bezpečností chybě v systému další klienti Komerční banky a začala se o věc zajímat média, vystřídala ležérní přístup aktivita v podobě v tiskové zprávy. V té banka přišla s vysvětlením, že bankovní účty nebyly ohroženy. Těch se ale…

Tady vás přeruším, protože přesně vím, kam míříte, a to byl od Komerční banky vrchol… Tisková zpráva – když to hodně zjednoduším – říká, že „my banka za nic nemůžeme, může za to penzijní společnost“. Ať se na mě nikdo nezlobí, ale to je KB Penzijní společnost, to je dceřiná firma, spadají do stejné dinanční skupiny! Kdyby si posypali hlavu popelem, uznali chybu, vysvětlili, že okamžitě vyvodili personální důsledky, vyměnili správce, přijali další bezpečnostní firmu, cokoliv… Bylo by to lepší a člověk by to snáze pochopil. Ale tohle; tento přístup je naprosto skandální. Když je průšvih, přiznejme jej a řešme jej, zatloukání ve mně budí nedůvěru. Stejně jako slovíčkaření. V tiskové zprávě se hovoří o tom, že nedošlo k ohrožení bezpečnosti nebo úniku dat z bankovních účtů Komerční banky. Ale o nich nikdo nemluvil!!! Já jsem hovořil o datech KB Penzijní společnosti, ke kterým jsem se dostal z internetového bankovnictví Komerční banky a mohl s nimi nakládat, jak bych uznal za vhodné.

(pozn. redakce: navzdory tomu, že tisková zpráva tvrdí, že datové aplikace KB Penzijní společnosti a Komerční banky nejsou datově provázány).

BP.com: Když se podíváte na to, jak Komerční banka problém řeší. Vrátil vám její postup řešení ztracenou důvěru?

Absolutně ne. Když byla jedna část systému v nepořádku, mohou být v nepořádku všechny! Kdybych se včera někoho z banky zeptal, jestli je možné to, co se stalo teď, Komerční banka by to samozřejmě absolutně vyloučila. Když dnes tvrdí, že další únik není možný, jak mám vědět, co bude zítra? Já nejsem hacker, já jsem obyčejný uživatel a dostal jsem se k takto citlivým datům.  Takže já jsem svou důvěru ztratil. Už dříve jsem měl k systému uživatelské výtky, nepřehlednost, zdlouhavost, atd., ale teď se ukázalo, že není ani bezpečný. Komerční bance prostě nevěřím. Úniku dat jsem se nesnažil nijak zneužít, ale žádost banky o smazání informací z Facebooku jsem neakceptoval. Tutlat problém a tvářit se, že neexistuje, není řešení. Ani slovíčkaření v tiskové zprávě není řešení.

REAKCE REDAKCE BANKOVNIPOPLATKY.COM:

Souhlasíme s Jiřím Dlabajou, že událost je velmi nemilá. Ještě více negativně nás však překvapila reakce Komerční banky. Kdyby byla přiznána chyba, navíc s garancí, která se už nebude opakovat, tak na to zanedlouho všichni zapomenou jako na epizodu. Reakce Komerční banky jen dokládá to, co tvrdíme již dlouho – v tuzemském bankovním sektoru se prostě nenosí přiznat chybu, obzvlášť pokud jde o velkou korporaci. Nedokonalé zabezpečení takto citlivých dat je megaprůšvih, liknavý přístup banky k brisknímu ohlášení poctivým klientem megaprůšvih na druhou a marketingová komunikace a lá „problém s jablky překryjeme tak, že se vyjádříme k hruškám a voni to nějak zkousnou“ to jen podtrhuje. Nemluvě o tom, že citace z tiskové zprávy „Komerční banka dnes ráno identifikovala technickou chybu…“ také není zcela přesná. Měl by tam být totiž následující dodatek: „kterou nám poctivý klient J.D. včera nahlásil, DÍKY MU ZA TO, protože kdyby to neudělal, data by byla v nebezpeční ještě teď.“

.

VIDEO YOUTUBE (RADIOŽURNÁL) - JAK SE NABOURAT DO SYSTÉMU KB?

.

Foto: AŽD Praha