Kryptowojna UseCryptu

Eugeniusz Twaróg
email @e_twarog
opublikowano: 02-03-2021, 20:00
Obserwuj w MójPB:

Właściciel komunikatora doniósł do prokuratury na twórców serwisów o cyberbezpieczeństwie. Zarzuca im próbę wyłudzenia 100 tys. zł. Niebezpiecznik.pl odpowiada jednym słowem: „bzdury”.

Przeczytaj i dowiedz się

Co spółka tworząca komunikator UseCrypt zarzuca branżowym serwisom internetowym

Dlaczego doniosła na nie do prokuratury

Co mają na ten temat do powiedzenia oba portale

Jak temat trafił do “PB”

Kilka dni temu do „Pulsu Biznesu” dotarł mejl z anonimową „informacją prasową” - niepodpisaną PR-ową notką, sporządzoną na zasadzie „kopiuj wklej i artykuł gotowy”, zatytułowaną „Ekspert przestępcą?”. Czytamy w niej: „jak ustaliliśmy”, prokuratura na Mokotowie „zdecydowała się podjąć postępowanie, którego jednym z głównych elementów jest działalność krakowskiego przedsiębiorcy i blogera Piotra K., prowadzącego internetową stronę Niebezpiecznik.pl”. Według notki „warszawscy śledczy sprawdzają, czy Piotr K. wraz z innymi osobami, między innymi z twórcami strony internetowej Informatykzakladowy.pl, działał na szkodę firm z branży telekomunikacyjnej i nowych technologii”.

Zobacz także

„Działalność grupy miała polegać na publicznych wystąpieniach i publikacjach w internecie, w których członkowie grupy szkalowali i podważali wiarygodność różnych firm i produktów, m.in. komunikatorów internetowych. Według prokuratury (…) ataki nie miały nic wspólnego z profesjonalną oceną. Za odstąpienie od działań członkowie grupy mieli żądać gratyfikacji finansowej” - głosi notatka, która kończy się stwierdzeniem, że „zdaniem prokuratury sprawa jest rozwojowa i może objąć kolejne osoby”.

Po nitce do... aplikacji

Informatykzakladowy.pl to młody serwis, działający od roku. Nie trzeba natomiast specjalnie interesować się cyberbezpieczeństwem, żeby wiedzieć, czym jest Niebezpiecznik. Zaczęliśmy weryfikować nadesłane informacje. Prokurator Aleksandra Skrzyniarz, rzecznik warszawskiej prokuratury, potwierdza, że wpłynęło zawiadomienie od członka zarządu spółki akcyjnej. „Obecnie prowadzone są czynności sprawdzające, które mają na celu ukierunkowanie postępowania. Dotychczas nikt w sprawie nie usłyszał zarzutów. Z uwagi na dobro postępowania brak jest możliwości (...) przekazania aktualnych ustaleń” – informuje prokurator.

Nam udało się ustalić kilka dodatkowych faktów. Według naszych informacji spółką akcyjną, która złożyła zawiadomienie, jest V440, znana wcześniej pod nazwą UseCrypt, a jeszcze wcześniej Cryptomind. Jest to firma, która opracowała szeroko reklamowany od kilku miesięcy płatny komunikator internetowy i telefoniczny do prowadzenia szyfrowanych, bezpiecznych połączeń – UseCrypt Messenger.

Od dwóch tygodni w bardzo sugestywnej reklamie na Youtubie promuje go osobiście znany reżyser Patryk Vega. Aplikacja sprzedawana jest od jesieni ubiegłego roku w salonach Plusa.

V440 chwali się, że jej udziałowcem jest fundusz Yuvala Rabina, syna byłego premiera Izraela Icchaka Rabina. Spółka podobno ma w planach debiut na Nasdaq i zdobywanie zagranicznych rynków. Patryk Vega w reklamowym spocie mówi, że UseCrypt jest najbezpieczniejszą aplikacją do komunikacji i nikomu nie udało się jej złamać. Po dwóch miesiącach prób poddał się nawet specjalny izraelski Unit 8200, jednostka wywiadu zajmująca się m.in. cyberbezpieczeństwem.

O UseCrypcie jest głośno w internecie, ale w serwisie Niebezpiecznik.pl nie udało nam się znaleźć ani jednego tekstu na jego temat: ani pozytywnego, ani negatywnego. Nieco więcej o aplikacji, na której spece połamali sobie zęby, można poczytać na blogu Informatykzakladowy.pl.

Zadanie dla juniora

17 października ubiegłego roku Tomasz Zieliński, bloger po godzinach, napisał tekst „Bo do komunikatora trzeba dwojga”, w którym podniósł brak należytej staranności twórców UseCryptu, polegający na tym, że w ramach systemu zaproszeń dla nowych użytkowników wykorzystywano nieszyfrowane połączenia z zewnętrzną aplikacją. Informatykzakladowy.pl twierdzi, że - w celu pokazania szkodliwości takiego rozwiązania - przejął nad nim kontrolę, informując właściciela serwisu o podatności na atak. „Każdy, absolutnie każdy audyt bezpieczeństwa powinien natychmiast wskazać tę usterkę jako krytyczną. Tak naprawdę problem powinien natychmiast spostrzec nawet początkujący tester, nie mówiąc o osobach odpowiedzialnych za techniczną realizację projektu” – napisał bloger.

Link do tekstu zamieścił na Twitterze. Niebezpiecznik.pl podał wpis dalej. Sprawa zrobiła się głośna.

- Artykuł jest rzetelny, wskazuje na faktyczny błąd aplikacji i autor wykazał się dużą powściągliwością w doborze słów, bo ktoś inny mógłby sobie poużywać na UseCrypcie. Oczywiście takie wpadki zdarzają się każdej firmie, są wyłapywane przez internautów, za co często dostają oficjalne podziękowania – mówi dr Kamil Goryń, adiunkt w Zakładzie Socjologii Polityki i Bezpieczeństwa Uniwersytetu w Białymstoku.

Tym razem było inaczej. Informatykzakladowy.pl przed napisaniem tekstu wysłał do V440 pytania dotyczące komunikatora, na które nie dostał odpowiedzi. Dwa dni po publikacji artykułu odebrał natomiast mejl z informacją, że spółka nie podda się szantażowi i nie zapłaci żądanych 100 tys. zł ani żadnej innej kwoty.

- Odpowiedź zawierająca takie pomówienie była dla mnie szokiem, nigdy nikogo nie szantażowałem, nie groziłem publikacją nieprzychylnych artykułów ani nie proponowałem odstąpienia od publikacji jakiegokolwiek tekstu w zamian za korzyści majątkowe. Po konsultacji z prawnikiem wysłałem pismo do UseCryptu z żądaniem zaprzestania nieprawdziwych i naruszających moje dobra osobiste insynuacji oraz przeprosin na piśmie – mówi Tomasz Zieliński.

Zamiast tego w połowie listopada spółka wysłała do Informatykzakladowy.pl sprostowanie do tekstu o UseCrypcie, twierdząc, że komunikator nie korzysta z opisanej zewnętrznej aplikacji. Nie wspomniano w nim tylko, że przestał z niej korzystać po aktualizacji, przeprowadzonej dwa dni po tekście blogera o krytycznym błędzie.

Informatykzakladowy.pl w całości zamieścił sprostowanie, po czym następnego dnia opublikował odpowiedź. Wtedy bloger jeszcze nie wiedział, że już około dwa tygodnie wcześniej do prokuratury trafiło zawiadomienie w tej sprawie.

Zorganizowana grupa

Według naszych ustaleń, 29 października 2020 r. V440 zawiadomiła prokuraturę na Mokotowie o uzasadnionym podejrzeniu popełnienia przestępstwa przeciw spółce oraz Sandrze Mazur, członkowi jej zarządu. Z pisma wynika, że Tomasz Zieliński z Informatykzakladowy.pl, Piotr Konieczny z Niebezpiecznik.pl oraz 13 wymienionych z nazwiska współpracowników serwisu Niebezpiecznika „co najmniej od 18 sierpnia 2018 r. do dnia dzisiejszego (...) tworzyli i brali udział w zorganizowanej grupie przestępczej mającej na celu popełnianie przestępstw oszustwa, gróźb bezprawnych (...), zniesławiania oraz usiłowania niszczenia danych informatycznych”.

Według zawiadomienia 17 października ubiegłego roku „za pośrednictwem połączeń telefonicznych” grupa wystosowała „groźbę publikowania informacji naruszających dobra osobiste Spółki (...) w celu zmuszenia członka zarządu (...) do zapłaty (...) 100 tys. zł (...) i doprowadzenia do niekorzystnego rozporządzenia mieniem (...) w zamian za usunięcie niezgodnych z prawdą artykułów oraz obraźliwych komentarzy (...)”. Ponadto autorzy zawiadomienia twierdzą, że od 9 sierpnia 2018 r. do 17 października 2020 r. członkowie grupy przestępczej „za pomocą środków masowego komunikowania” pomawiali spółkę, zamieszczając „treści podważające jakość mechanizmu zabezpieczającego oraz funkcjonalności” UseCrypt Messengera, a podczas szkoleń podawali aplikację za przykład komunikatora pozbawionego prawidłowego mechanizmu bezpieczeństwa przed atakami hakerskimi.

Lista do poprawki

Zdaniem Piotra Koniecznego, założyciela serwisu Niebezpiecznik.pl, działania producenta aplikacji to próba zastraszenia niezależnych dziennikarzy i manipulacji mediami.

– Treść donosu, który otrzymała redakcja „Pulsu Biznesu”, skomentować mogę jednym słowem: bzdury. Stanowczo zaprzeczam tym oskarżeniom. Nigdy nikomu, nie sugerowaliśmy, że nasze milczenie można kupić. Wręcz przeciwnie. To nam wielokrotnie różne firmy proponowały pieniądze w zamian za rezygnację z publikacji lub jej usunięcie. Nigdy z takiej propozycji nie skorzystaliśmy – mówi Piotr Konieczny, który rozważa wystąpienie na drogę sądową przeciwko V440.

Nie udało nam się ustalić, jakie dowody V440 przedstawiła w prokuraturze. Piotr Konieczny kwestionuje m.in. listę osób, które - zdaniem spółki - tworzyły grupę przestępczą. Figuruje na niej np. nazwisko osoby, która w profilu Linkedin, w zakładce „doświadczenie” wpisała „robotnik, Niebezpiecznik.pl”. To jedyna informacja w tym profilu, którego użytkownik ma w sieci... jeden kontakt. Piotr Konieczny twierdzi, że „robotnik” nigdy nie pracował w Niebezpieczniku, podobnie jak jeszcze jedna wymieniona na liście osoba. Informuje też, że do grupy przestępczej została zaliczona pracownica firmy, która od marca 2019 r. przebywała na zwolnieniach i urlopie macierzyńskim, a z Niebezpiecznika odeszła w marcu 2020 r., czyli pół roku przed rzekomą próbą wyłudzenia.

Do skasowania

W styczniu V440 wysłała do Informatykzakladowy.pl pismo z żądaniem usunięcia artykułu oraz odpowiedzi na sprostowanie. W lutym Niebezpiecznik.pl dostał podobne pismo - dotyczące tekstu sprzed dwóch lat, w którym w ogóle nie pada nazwa UseCrypt. V440 zażądała usunięcia go z serwisu wraz z komentarzami czytelników. Artykuł dotyczył Whatsappa i Signala. Powstał w reakcji na trzy artykuły z „Rzeczpospolitej”, których autorzy pisali o niebezpieczeństwach związanych z korzystaniem z tych komunikatorów. Niebezpiecznik dowodził w nim, że tezy o braku bezpieczeństwa tych aplikacji nie są prawdziwe.

- Oprócz retwitta linku Informatykzakładowy.pl nigdy nie napisaliśmy żadnego artykułu o UseCrypcie. Komunikator i firmę znamy, ponieważ jej przedstawiciele usiłowali nawiązać współpracę z Niebezpiecznikiem już w 2016 r., ale po pierwszym i ostatnim spotkaniu w 2017 r. ignorowaliśmy kolejne zaproszenia do współpracy ze strony najpierw Cryptomindu, a potem UseCryptu – mówi Piotr Konieczny.

Twierdzi, że na żadnym szkoleniu, w materiałach ani agendzie nie ma słowa o komunikatorze UseCrypt.

– W konsekwencji nie przeprowadzamy na nim żadnych demonstracji. Posądzanie nas o przynależność do zorganizowanej grupy przestępczej jest absurdalne i traktujemy to jako pomówienia - mówi przedstawiciel Niebezpiecznika.

Spółka V440 odmówiła udzielenia odpowiedzi na nasze pytania dotyczące zawiadomienia do prokuratury i zarzutów wobec Informatykzakladowy.pl i Niebezpiecznik.pl.

„Niestety z uwagi na prowadzone postępowanie nie mogę udzielać w tym momencie żadnych informacji w przedmiotowej sprawie” - odpowiedziała nam Sandra Mazur, podpisana jako członek zarządu UseCryptUS.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.
Czytaj więcej o:
IT

Polecane

Misie liczone na minuty

Misie liczone na minuty
Wirus wzmocni usługi cyfrowe

Wirus wzmocni usługi cyfrowe

Inspiracje Pulsu Biznesu

Efekt Diderota, czyli jak uciec z pułapki kupowania

Efekt Diderota, czyli jak uciec z pułapki kupowania

Kiedy już masz mniej, możesz zrobić więcej miejsca na to, co się liczy najbardziej — na czas wolny, kreatywność, a przede wszystkim na innych ludzi.

Projektowanie zmienia świat na lepsze

Projektowanie zmienia świat na lepsze

Łódź przez lata była postrzegana jako miasto fabryk. Po upadku przemysłu włókienniczego minęły lata, zanim pojawił się pomysł na budowanie nowej tożsamości. Miasto postawiło na przemysły kreatywne, a jednym ze sztandarowych wydarzeń stał się Łódź Design Festival, który urósł do rangi najważniejszej imprezy związanej z projektowaniem w Europie Środkowej i Wschodniej. Od 2007 r. festiwal odwiedziło ponad 590 tysięcy gości. W tym roku jego hasło brzmi: Lepiej.

Bomb(k)owy interes

Bomb(k)owy interes

Najstarszą firmę rodzinną produkującą ozdoby choinkowe założył stolarz, przejął ją jego syn – perkusista, a później wnuk – niedoszły hotelarz i pilot wycieczek zagranicznych, który prowadzi ją z żoną – z wykształcenia… piekarzem. Los bywa nieprzewidywalny.

Puls Biznesu

IT / Kryptowojna UseCryptu