mBank pod lupą GIODO i zabawy w podmiany "hakierskich" stron

Przy okazji dyskusji o elektronicznych wyborach (por. Przestrzegam przed inicjatywą Polski Młodych w sprawie wyborów) relacjonowałem doniesienia o wykryciu przez serwis hacking.pl luk bezpieczeństwa w serwisach internetowych mBanku. Generalny Inspektor Ochrony Danych Osobowych będzie badał, czy nie doszło do naruszenia ustawy o ochronie danych osobowych w tym banku...

W doniesieniu serwisu hacking.pl pt. "Bezpieczeństwo klientów mBanku zagrożone!" (aktualnie niedostępny, por. niżej) napisano: "jeden z dwóch największych banków wirtualnych w Polsce posiada luki, które po kliknięciu w odpowiednio spreparowany link pozwalają na dostęp do konta bankowego zalogowanego klienta tej instytucji". mBank zareagował ustawmi rzecznika prasowego Magdaleny Ossowskiej: "wskazane przez autorów artykułu pole do potencjalnych nadużyć zostało usunięte", a "Analizowana sytuacja nie była możliwa bez aktywnego udziału zalogowanego użytkownika, jak również nie pozwalała na wykonanie operacji i przelewów zatwierdzanych hasłem jednorazowym TAN lub kodem SMS".

Puls Biznesu informuje, że "Generalny Inspektor Ochrony Danych Osobowych, Michał Serzyński, zapowiedział podjęcie z urzędu czynności wyjaśniających w związku z doniesieniami prasowymi dotyczącymi nieprawidłowości w zabezpieczeniach baz danych w mBanku".

Pytanie tylko, czy to jedyny bank, któremu będzie przyglądał się GIODO? Otóż w ostatnim tygodniu media informowały również o problemach innych serwisów bankowości elektronicznej. Wystarczy wspomnieć dwa teksty Gazety Prawnej: Bank Millennium: nasz system jest bezpieczny oraz PKO BP też mógł mieć problem z hakerami . W pierwszym z tekstów można było przeczytać o serwisie internetowym banku Millennium: ""...zdaniem serwisu iHACK.pl – pozwala na wykradzenie informacji na temat klienta banku aktualnie korzystającego z bankowości on-line", W drugim artykule, tym razem o PKO BP, m.in. że "...bank poinformował, że opisywany przypadek nie dotyczy bankowości elektronicznej PKO Inteligo, tylko serwisu informacyjnego na portalu internetowym banku".

A więc bankowość elektroniczna ma swoje problemy z bezpieczeństwem. O takich historiach piszę w dziale banki niniejszego serwisu.

Przy okazji tego doniesienia warto dodać nieco pikanterii: dwa dni temu serwis hacking.pl został "shakowany". Na podmienionej stroni udostępniono plik shadow z hasłami użytkowników serwera hacking.pl (m.in. Goriona, którego znamy z niedawnego wystąpienia w programie Teraz My, w którym była mowa o bezpieczeństwie systemów informatycznych polskiej Policji - por. Dyskusja o bezpieczeństwie systemów... Policji; w TVN Gorion powiedział, że jego serwis internetowy nigdy nie został shakowany, ktoś kto podmienił stronę hacking.pl najwyraźniej chciał przypomnieć Gorionowi, iż ta informacja nie jest prawdziwa - są tam screenshoty z wcześniejszych włamań do jego serwisów).

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Errata:

Olgierd's picture

Goriona nie Gariona. Zaś tu jest jego zjawiskowy blog, z którego można się dowiedzieć mnóstwo ciekawych rzeczy: paweljablonski.bblog.pl

--
Olgierd

GIODO

Prawotronik's picture

Zamiast kontrolować Szanowny GIODO mógłby przedstawić propozycje zmian w wiadomym rozporządzeniu oraz dokonać apdejtu załącznika do tegoż.

Pod kątem czego będzie bowiem kontrolował GIODO mBank? Wiadomo, że bank stosuje zabezpieczenia przed nieuprawnionym dostępem, jednak ani Rozporządzenie ani załącznik nie dają głębszych wskazówek co do obowiązków przetwarzającego dane w tak skomplikowanej materii jaką jest zapewnienie obrony przed atakiem hakerów...

..."Pod kątem czego będzie

..."Pod kątem czego będzie bowiem kontrolował GIODO mBank?"

Może pod katem procedury zawierania umów z nowymi klientami przez mBank?
Po wysłaniu formularza kurier (nie będący pracownikiem banku, co ważne dalej) przywozi umowę do podpisu. Nowy klient podpisuje (w tym składa wzory podpisów) i taka umowa (z danymi osobowymi klienta, chroniona m.in. przez tajemnicę bankową) wędruje z powrotem do mBanku... LUZEM (!!!) osobiście widziałem jak kurier wsiadł do samochodu i podał moją umowę koleżance, która siedziała obok. Oboje nie byli pracownikami banku i nie pownni miec dostępu do moich danych osobowych, nr konta, wzorów podpisów itd. Szczególnie, że późniejsze procedury weryfikacji klienta opierają się właśnie na takich danych.
Nie jestem specem od prawa, ale wydaje mi się, że kilka przepisów jest tu łamanych, nie mówiąc o zdrowym rozsądku.
A wystarczyłoby załączać klientowi tzw; "bezpieczną kopertę" w której lokuje podpisaną umowę i dopiero wtedy przekazuje kurierowi...
Zainteresowanie mBanku tematem zerowe. (mamy podpisaną umowę o poufności z firmą kurierską) - hmm, a kontrola jej realizacji? Niestety czasami banki liczą na niewiedzę (lub gorzej) swoich klientów.

Wszyscy skupiają się na informatyce a banki mają luki w innych obszarach równie groźne.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>