Allegro padło ofiarą szpiega, który wyniósł dane? Kretem w firmie może być nawet sprzątaczka

Allegro padło ofiarą szpiega, który wyniósł gigabajty danych? Firma zaprzecza, ale uważaj - kretem może być nawet sprzątaczka
Allegro padło ofiarą szpiega, który wyniósł gigabajty danych? Firma zaprzecza, ale uważaj - kretem może być nawet sprzątaczka Fot. zrzut z Allegro.pl
Zdzisław Dyrma „pochwalił się”, że zatrudnił się w Allegro i wyniósł stamtąd 17 gigabajtów danych. Znany portal aukcyjny wszystkiemu zaprzeczył – z zatrudnieniem takiej osoby włącznie. Ale specjaliści ostrzegają: kretów, czyli szpiegów w firmach nie należy bagatelizować. - Idealnie nadają się do tego sprzątaczki – mówi nam Piotr Konieczny, szef zespołu bezpieczeństwa w Niebezpiecznik.pl.


Dyrma opisał wszystko dokładnie na swoim blogu. W kwietniu 2013 miał wysłać do Allegro CV, by zatrudnić się tam jako programista PHP. W swojej historii już na początku podkreślił, że po przyjściu na rozmowę kwalifikacyjną nikt w firmie go nawet nie wylegitymował i mógł spędzić kilka minut ze swoim laptopem, podpięty do firmowego internetu.


Jak kret ponoć wynosił dane
Oczywiście, Dyrma dostał pracę, którą opisał jako „niezbyt skomplikowaną i absorbującą”, w związku z czym miał sporo czasu. W efekcie Zdzisław Dyrma chwali się, że przez pół roku wyniósł z firmy 17 GB danych, a do tego zamieścił w systemie Allegro kilka „ulepszeń”, o których jednak nie chce za wiele pisać.


„W każdym razie plan jest taki, że pewnego dnia Allegro może na jakiś czas zawiesić działalność. :D” - pisze na swoim blogu Dyrma. Jak zaznaczył, w firmie panowała niemal rodzinna atmosfera, a on pracował z ludźmi, którzy byli bardziej skupieni na „kupieniu boazerii do nowo budowanego domu niż na szukaniu groźnych przestępców”. Czyli: kret może przyjść i nawet nikt nikogo nie będzie podejrzewał.


Allegro zaprzecza, Zdzisiek zmyśla
Sprawą zainteresował się serwis niebezpiecznik.pl. Allegro oświadczyło Niebezpiecznikowi, że nie tylko nie zatrudniało nikogo o takim nazwisku, ale że nawet we wskazanym czasie nie była prowadzona rekrutacja na stanowisko opisane przez Dyrmę. Oczywiście, Allegro zaprzeczyło też, jakoby doszło do wycieku 17 Gb danych.

Redakcja Niebezpiecznika podkreśla przy tym w tekście, że sama nie wierzy w rewelacje Dyrmy, który zresztą potem w mailu do redakcji sam stwierdził, że część historii po prostu zmyślił. Po co więc opisywać te historię? Dla przestrogi.

Uważaj - kret może być i u Ciebie
Szpiegostwo gospodarcze to bowiem nic nowego – od dawna firmy wysyłały do konkurencji swoich szpiegów, by ci wynosili tajne plany, receptury i tak dalej. W czasach, gdy wszystkie dane trzyma się w przestrzeni wirtualnej, zagrożenie jest to jeszcze większe. Najlepszym przykładem takiego kreta jest Edward Snowden, który wywołał ogólnoświatową burzę, ujawniając posiadane informacje na temat NSA.

Piotr Konieczny, szef zespołu bezpieczeństwa w Niebezpiecznik.pl podkreśla jednak, że może się to zdarzyć w każdej firmie. - Kretem może być każdy, nie tylko "programista" - mówi Konieczny.

- W ramach naszej działalności audytorskiej analizowaliśmy przypadki kretów zatrudnionych jako "telemarketerzy". Oficjalnie ich zadaniem było przedstawianie oferty handlowej pracodawcy przez telefon, a nieoficjalnie odsprzedawali bazy klientów (i potencjalnych klientów) konkurencyjnej firmie – wspomina Konieczny. To pokazuje, że nawet pracownicy z niskiego szczebla, którym zazwyczaj poświęca się mało uwagi, mogą być groźni dla firmy.

Na szpiega idealna... sprzątaczka
- Czasami, w ramach wykonywanych przez nas testów bezpieczeństwa, podstawiamy naszemu klientowi kreta. Idealnie nadają się do tego sprzątaczki, których widok w gabinecie dyrektora handlowego po godzinach pracy nie wzbudza podejrzeń. Za sprawą dostępnej na komercyjnym rynku technologii i oprogramowania, nawet niezbyt techniczna osoba może łatwo wytransferować dane - wystarczy kilkudziesięciominutowe przeszkolenie; co, gdzie i jak podpiąć. Zresztą czasem wystarczy tylko słuchać – ostrzega Konieczny.

Jak opisuje nasz rozmówca, w jednej ze sprawdzanych przez Niebezpiecznika firm całkiem przydatne informacje można było uzyskać przebywając w... palarni pewnego biurowca. Pracownicy „zleceniodawcy” po prostu tam przychodzili i swobodnie rozmawiali. - Innym dobrym miejscem na nasłuch są pracownicze stołówki lub nieodległe restauracje w porze lunchu – zdradza Piotr Konieczny.

Po co to wszystko? Krótko: żeby być lepszym od konkurencji w biznesie. - Wynoszone przez kretów dane są z reguły wykorzystywane do uzyskania przewagi konkurencyjnej przez inne firmy lub używane jako element szantażu w prywatnych porachunkach z pracodawcą – wyjaśnia nasz rozmówca.

Co zrobić po fakcie?
Co jednak zrobić, gdy zorientujemy się, że w firmie jest kret albo chociaż podejrzewamy, że ktoś może szpiegować? Jak radzi Piotr Konieczny, należy od razu skonsultować to z odpowiednią firmą, która zajmuje się bezpieczeństwem „teleinformatycznym lub fizycznym”.

Warto to jednak zrobić innym telefonem/e-mailem niż firmowy. Jeśli kret działa na poziomie zespołu IT, może dzięki temu dowiedzieć się, że został zdemaskowany – radzi Konieczny.

Jak dodaje ekspert, jeśli chcemy w pełni zniwelować działalność kreta, należy nie tylko namierzyć taką osobę i stwierdzić, ile danych wyniosła, ale też upewnić się, czy szpieg nie zostawił po sobie w firmowych systemach „tylnej furtki” i innych niespodzianek. - Często jest to najbardziej pracochłonna część zadania – zaznacza Konieczny. I dodaje ostrzegawczo: - Niestety, w dzisiejszych czasach "kretem" może być kilka dodatkowych linii kodu na firmowym serwerze pocztowym, kopiujących całą pocztę przychodzącą do tej firmy także na inną skrzynkę pocztową...