https://zaufanatrzeciastrona.pl/post/wlamania-do-kilku-b...
http://www.cyberdefence24.pl/540455,powazny-atak-hakersk...

@thor2k
bardzo poważna sprawa, która mało kogo obchodzi i mało kto rozumie jakie szkody mogłyby nastapić....

straszny  To jest efekt tego, że przez lata rządowe strony i programy były rozwijane przez różnych pociotków. 
Po dzień dzisiejszy NFZ ma opóźnione wersje java na stronie (nowsze nie działają nigdy poprawnie). Kod na stronach ledwo się kupy trzyma. Potem takie API są zasysane przez różne instytucje i....  
A jeszcze w ramach oszczędności bankomaty stoją np. na XP. no bo niby niema do nich dojścia. Akurat, dzisiaj wykorzystując odpowiednie luki można tak spreparować karty, żeby dało się..... z resztą co będę temat drążył, grunt, że zaniedbania są gigantyczne. Więc banki będą padały coraz częściej. 

Idąc dalej offtopem o instytucji, mnie najbardziej rozczula PUE ZUS. Flash w XXI wieku na stronie. MF z wszechobecną Java.
Mnie najbardziej rozbraja fakt, że wewnętrzne systemy bankowe najczęściej też są pisane "na kolanie". Znam osobiście takie przykłady z "poważnych instytucji".

@elkoos
Z czystej ciekawości, możesz podać nazwę banku albo jego wielkość i ewentualnie do czego ta wewnętrzna aplikacja jest używana?

A kto ma się tym przejmować, skoro, jak zwykle, nie podano banków, których problem dotyczy?

Nie wyobrażam sobie wysokości pozwu w przypadku ujawnienia nazwy banku.

@mysiauek
Ale kto i wobec kogo miałby taki pozew złożyć?

Takie mamy czasy. Adobe coś zapłaciło za wyciek? Dropboc może? To może chociaż AshleyMadison? No dobra, ci ostatni chyba tak ale to indywidualne przypadki bo i sprawy delikatne.
Pocket wyciągnął (czy w końcu nie wyciągnął? bo przez długi czas twierdzili że włamu nie było...aż go złapali - za co?) bazę PlusBanku i? Ktoś o tym jeszcze pamięta? Ktoś będzie rozpamiętywał to teraz skoro żadna publiczna rozgłośnia ni prasa o tym nie powie?

Pamiętaj - w razie czego to na Tobie spoczywa ciężar udowodnienia że Twoje dane zostały pozyskane z danego źródła.

@djluke
Bank skłąda pozew przeciwko ujawniającemu, który podał że doszło do wycieku.
Patrząc z innej strony: to ciekawe, mamy artykuły, że zostało zaatakowane "pare banków" i ani słowa o chociaż jednym?

PlusBank to nie bank.

A dwa słowa o podatnościach: codziennie dostaję długą listę podatności.
Na podatności o najwyższym "ciężarze" jest maksymalnie 3 dni na wyprowadzenie na wszystkich środowiskach (DTAP jeśli istnieje). W dużej organizacji to bardzo bardzo mało czasu, można powiedzieć, że czasem to zatrzymanie bieżącej pracy na rzecz wyprowadzenia podatności.
Na najniższych środowiskach można wyprowadzać podatności bez zgody klienta (wewnętrznego czy zewnętrznego). Produkcja za zgodą klienta. A jeśli klient się nie zgadza, dostarcza dokument zaakceptowany przez "samą górę", że przyjmują ryzyko.
Tak żeby pokazać skalę pracy i czasu. Wycofanie SHA-1 w całkiem sporej instytucji może zająć miesiąc: planowanie, nowe certy (wygenerowanie, podpisanie przez CA), "instalacja", pełen DTAP, brak niedostępności systemów więc okienka technologiczne (chyba, że mamy jakiś loadbalancer) i to mnożymy przez ilość serwerów (hostów i/lub jvm'ek).