12:21
8/6/2018

Ktoś w internecie szuka firm chętnych na zakupienie bazy 100 000 klientów mBanku. Jako potwierdzenie posiadania takiej bazy, sprzedawca opublikował w internecie plik tekstowy z danymi tysiąca klientów. Uspokójmy klientów mBanku, że ujawniono tylko numery kont, nazwiska i adresy zamieszkania. Nie ujawniono ani danych logowania ani numerów telefonu. O sprawie poinformowaliśmy mBank i jesteśmy zadowoleni z jego podejścia do obsługi tego incydentu — zrobił to, co należało.

“Dostaliśmy propozycję”

Pod koniec maja do redakcji Niebezpiecznika napisała osoba, która podała się za pracownika “firmy finansowej” zajmującej się doradztwem i kredytami.

Dostalismy propozycje kupna danych 100 tysiecy klientów mBanku. Do maila byl dolaczony link do przykladowej listy. Udalo nam sie potwierdzic dwa z tych kont wiec wyglada na to ze w mbanku maja wyciek.

W mailu był jeszcze link do pliku tekstowego na Pastebin. Plik zawierał 1000 rekordów, każdy z następującymi danymi:

  • numer konta,
  • imię i nazwisko (lub nazwa firmy),
  • ulicę, kod pocztowy i miejscowość.

Nasz źródło sprawdziło dwa konta i okazały się one prawidłowe. My sprawdziliśmy kilkadziesiąt zestawów danych i za każdym razem trafialiśmy na osoby prowadzące jakąś działalność gospodarczą. Dane właścicieli firm zwykle są łatwiejsze do ustalenia niż dane osób nieprowadzących działalności. Warto też zwrócić uwagę na to, że numery kont firm nie są tajemnicą, więc ta baza niekoniecznie musiała pochodzić z “wycieku z banku”. Ktoś mógł po prostu poskładać ją z różnych źródeł (po numerze rachunku można przecież ustalić, w jakim banku ktoś ma konto). Takie dane można zebrać nawet z informacji o przelewach wyciągniętych z jakiejś innej firmy lub poprzez przeszukanie różnych zasobów np. Allegro albo platform sklepów internetowych.

Podsumowując, nie można na podstawie opublikowanych danych stwierdzić, że lista klientów mBanku faktycznie została stworzona poprzez nieautoryzowany dostęp do serwerów mBanku lub że sporządził ją któryś z pracowników. Po prostu samo istnienie tego zestawu danych nie stanowi całkowicie pewnego dowodu. Tak czy inaczej, zgłosiliśmy sprawę bankowi, a ten potraktował ją poważnie.

mBank zareagował, sprawdził, powiadomił

Bank najpierw poprosił nas o udział w telekonferencji, w której wziął udział jego rzecznik wraz z osobami odpowiedzialnymi w mBanku za bezpieczeństwo. Przekazaliśmy bankowi pewne swoje spostrzeżenia i wysłuchaliśmy uwag z jego strony. Nasze ustalenia były w dużej mierze zbieżne.

Specjaliści mBanku zrobili wywiad w darkwebie i nie natknęli się nigdzie na podobne ogłoszenia. Czas ujawnienia bazy danych (na krótko przed RODO) oraz całkowicie anonimowe źródło kazały postawić pytanie, czy głównym celem inicjatywy nie było zaszkodzenie marce mBanku? Oczywiście nawet gdyby taki był cel działania sprawców, żadne dane z bazy nie powinny wyciekać. W czasie telekonferencji potwierdzono, że istotnie osoby wskazane w bazie były klientami mBanku.

Zabezpieczono też pewne dowody i znalazły się pewne tropy, o których na razie nie chcemy pisać. Wiemy, że mBank porównał zgromadzone dane z historią ich zmian w swojej bazie. Takie porównania pozwalają ustalić okres, w jakim dane zostały wyciągnięte z bazy. W tym przypadku nie wszystkie dane jakimi dysponował sprzedawca się zgadzały z obecnym stanem w bazach mBanku i to nasuwa podejrzenie, że dane mogły pochodzić z innego źródła, z różnych okresów, albo nie pochodziły z baz banku w całości.

Co wyciekło?

Wyciekły tylko numery kont, nazwiska i adresy 1000 osób z różnych części Polski. Sprzedawca twierdzi, że ma tego 100 razy więcej, ale pozostałych danych nie opublikował.

W pliku jaki widzieliśmy nie było numerów PESEL, numerów dowodów czy np. loginów do bankowości internetowej, a to stanowiłoby o wiele większy problem. Oczywiście wyciek najbardziej podstawowych danych, jeśli zostały one wyprowadzone z systemów bankowych, również jest niedopuszczalny. mBank ma na szczęście tego pełną świadomość. Dlatego nawet pomimo tak niekrytycznych danych, jakie wyciekły, sprawą zajęto się bardzo poważnie (widzieliśmy wiele reakcji różnych firm, także banków — i marzy nam się, aby każda była taka jak to, co zaprezentowali pracownicy banku w przypadku tego incydentu).

Dziś rano otrzymaliśmy od banku oświadczenie poniższej treści:

Otrzymaliśmy informację, że w sieci zostały opublikowane dane 1000 osób i podmiotów powiązanych z bazą klientów mBanku. Były to podstawowe dane osobowe, które nie pozwalają na realizowanie transakcji bankowych w żadnym kanale dostępu. Część tego typu informacji widnieje w ogólnodostępnych spisach firm i instytucji. Podjęliśmy działania prewencyjne, które pozwolą zabezpieczyć naszych klientów przed potencjalnymi zagrożeniami.

Informację, że ktoś opublikował wybrane dane osobowe powiązane z bazą naszych klientów, otrzymaliśmy 4 czerwca. Natychmiast zaczęliśmy je weryfikować. Okazało się, że dostępne w sieci dane dotyczyły 1000 osób lub podmiotów. Obejmowały one: imię i nazwisko lub nazwę firmy, adres pocztowy oraz numer rachunku bankowego.

Tego typu dane przekazywane są standardowo między klientami banków w trakcie realizacji przelewów – widać je w danych nadawcy. Część tych danych widnieje również w ogólnodostępnych spisach firm i instytucji.

W mBanku wszelkie sygnały dotyczące naruszenia danych traktujemy niezwykle poważnie, dlatego:

1. Po weryfikacji listy dostępnej w sieci podjęliśmy skuteczne działania, by ją zablokować.
2. Wszystkich obecnych klientów z tej listy objęliśmy dodatkową ochroną. Oznacza to, że ich operacje są monitorowane i weryfikowane w sposób ponadstandardowy.
3. Klienci z tej grupy otrzymali od nas maila z informacją na temat tego zdarzenia. W wiadomości przekazaliśmy również najważniejsze zasady bezpieczeństwa.
4. Zdarzenie zgłosiliśmy Urzędowi Ochrony Danych Osobowych.
5. Sprawę przekażemy również organom ścigania, ponieważ istnieje podejrzenie popełnienia przestępstwa.

Naszych klientów bardzo przepraszamy i zapewniamy, że sprawę traktujemy jako priorytetową pod każdym względem. Aktualnie badamy ją pod kątem potencjalnych źródeł ujawnienia. Bezpieczeństwo naszych klientów i ich danych jest dla mBanku sprawą najwyższej wagi.

Informacje na temat zasad bezpieczeństwa on-line, w tym tych związanych z danymi osobowymi, publikujemy na naszych stronach w internecie. Do dyspozycji klientów są też Eksperci online, konsultanci mLinii i doradcy w placówkach w całej Polsce.

Jestem klientem mBanku. Co robić? Jak żyć?

Jeśli korzystasz z usług mBanku i wyciek Cię dotyczył, prawdopodobnie dostałeś/dostałaś już z banku maila na ten temat. Bank zobowiązał się także do monitorowania Twoich transakcji w sposób ponadstandardowy. Zastanów się, czy Twoje imię, nazwisko i adres nie były już wcześniej udostępniane w sieci. Jeśli masz jakieś szczególne obawy i pytania, możesz się z nimi zwrócić zarówno do mBanku jak i do nas.

Prewencyjnie, zalecamy czujność — gdyby ktoś do Ciebie dzwonił i podawał się za konsultanta w banku, nie kontynuuj rozmowy (por. Uwaga na phishing telefoniczny na klientów banków). Jeśli w ostatnim czasie dostałeś spam dotyczący usług finansowych na dane teleadresowe, które podałeś mBankowi — daj nam znać. Firma, która się z Tobą kontaktowała mogła pozyskać Twoje dane (i dane 100 000 innych osób) właśnie z tego wycieku. Jest prawdopodobne, że sprzedawca z kimś już “dobił targu”.

A można jeszcze kupić tę bazę?

Jeśli ktoś ostatnio oferował Ci sprzedaż tysięcy danych klientów mBanku to daj nam znać. Stanowczo odradzamy skorzystanie z tej oferty. Jakość danych jest niepewna (niektóre są już inne), a świadomość ludzi co ochrony ich danych ciągle rośnie. Korzystanie z baz niepewnego pochodzenia może się skończyć nie tylko podważeniem zaufania do Twojego marketingu, ale i konsekwencjami prawnymi. W epoce RODO zwiększa się ilość obowiązków informacyjnych, a Urząd Ochrony Danych Osobowych zapowiadał rzetelne badanie, czy administratorzy danych starannie podchodzą do przetwarzania danych zgodnie z prawem. Lepiej zainwestować środki w budowanie własnej bazy.

Gdyby czytał nas sprzedawca — także zapraszamy do kontaktu. Brakuje nam bowiem jeszcze jednej informacji, której nie udało się pozyskać. Ile ta baza miała kosztować?

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. hmm czyli hasła nie wyciekły? zmieniać czy nie?

    • Czytanie ze zrozumieniem Pana boli?

    • Prewencyjnie nie zaszkodzi

    • Po co zmieniać hasło, to tak skomplikowana czynność, że tak błaha informacja, jak informacja o wycieku danych nie powinna być jakąkolwiek motywacją do zmiany hasła. Operacja zmiany hasła jest dość skomplikowana, a nowego hasła trzeba się nauczyć, a to wieloletni proces, więc ja bym się wstrzymał z tą paniką.

  2. A ja dostaje od mBanku ciagle maile a nie jestem ich klientem. Na zadanie usuniecia adresu napisali, ze nie moga bo nie moga potwierdzic moich danych i mam sie udac do najblizszej siedziby celem zweryfikowania danych. Wychodzi na to, ze usuniecie konta mailowego bedzie mozliwe bo weryfikacji i zalozeniu konta u nich a potem zamknieciu. Wlasnie kieruje sprawe do GIODO i przy okazji do UOKiK.

    • Brawo ty. Szczególnie że nie ma już czegoś takiego jak GIODO.

    • @db – toś błysnął

  3. a czy to nie jest tak że jezeli ktoś kupił dane i teraz z nich skorzysta można go z miejsca zglosić do PUODO? w końcu ma dane bez zgody…

    • Daj znac jak ustalisz kto to. Wtedy zlglosimy.

    • Dzięki za sarkazm. Moje pytanie jest czysto teoretycznie. Chociaż kto wie czy kiedyś nie znajdzie się praktyczne zastosowanie tej wiedzy.

  4. A ja dostaje od mBanku ciagle maile a nie jestem ich klientem. Na zadanie usuniecia adresu napisali, ze nie moga bo nie moga potwierdzic moich danych i mam sie udac do najblizszej siedziby celem zweryfikowania danych. Wychodzi na to, ze usuniecie konta mailowego bedzie mozliwe bo weryfikacji i zalozeniu konta u nich a potem zamknieciu. Wlasnie kieruje sprawe do GIODO i przy okazji do UOKiK.

    Nie ma już GIODO ;)

  5. jaka jest szansa na wygranie sprawy, pewnie po 10latach, o odszkodowanie za wycik danych ?

  6. “W czasie telekonferencji potwierdzono, że istotnie osoby wskazane w bazie były klientami mBanku.”
    Pracuje w dziale HR, czy jezeli przyjdzie do mnie ktokolwiek, z lista 10 nazwisk (moze z wycieku, moze z linkedin) i informacja, ze wg. Niego te osoby pracuja u mnie w firmie na konkretnych stanowiskach – czy reprezentujac firme, w sytuacji zawodowej, moge to potwierdzic?

    • “W czasie telekonferencji potwierdzono, że istotnie osoby wskazane w bazie były klientami mBanku.”

      Nie jest powiedziane, że mBank dokładnie potwierdził każdą osobę jako swojego klienta. Mogli tylko spojrzeć na listę 1000 podmiotów i potwierdzić, że znajdują się na niej również klienci mBanku. Dla zainteresowanego taka informacja jest bezużyteczna bo nadal nie wie które spośród tego 1000 rekordów są rzeczywiście danymi klientów mBanku. Może to być cały 1000 a może być to 5 osób.

  7. Czytając tekst pierwsza myśl jaka przychodzi do głowy to dane przedsiębiorców -> firm -> CEIDG -> info sprzed 2 tygodni o wykreśleniu jeśli nie ma numeru PESEL -> ktoś mógł uzyskać dostęp do danych (próba wyłudzenia na usługę sprawdzenia czy jest PESEL) sporej grupy ludzi. Ale czytając dokładniej – sprawa dotyczy tylko mBanku, więc nagonka na wykreślenie z CEIDG jakoś mniej mi się już łączy :)

  8. Dziwne… Mi nic nie przyszło

  9. Czy źródłem przecieku było hasło do głównej bazy danych które mieli w kodzie HTML strony?

  10. Ok, czyli wyciekło być może 100k rekordów, mBank z Waszą pomocą pozyskał 1k. I Ci klienci będą objęci dodatkowym monitoringiem. Trochę taka PR szopka.

    Dziwi mnie natomiast “przepraszamy” w komunikacie. Czyżby potwierdzenie źródła wycieku?

    Dane 100 tysięcy posiadaczy konta w mbanku posiada całkiem sporo podmiotów w Polsce. Pewnie conajmniej kilkadziesiąt.

    • ta cała sytuacja śmierdzi bo nie ma zadnego rekordu z takimi danymi a sciagam wszystkie pasty od roku
      nie ma zadnego rekordu ktory ma to “00-407 WARSZAWA” albo nawet samo “LODZ” w sobie jako longtext
      a zwlaszcza nie ma takiego rekordu w okresie ~maj tego roku

      domagam sie podania daty utworzenia pasty abym mogl zweryfikowac poprawnosc artykulu
      w przeciwnym razie TO JEST PR SZOPKA

    • @imie oj, to coś słaby crawler masz. Podpowiedź: zs…

  11. No tak, wyciekly JEDYNIE dane osobowe o ktore byl niemaly ból dupy podczas calej akcji z RODO, i chwile pozniej imie nazwisko i miejsce zamieszkania jest do kupienia w necie. serio twierdzicie ze ktos mial dostep do numerow ranchunkow akurat jedynie ludzi z mBanku i pieczałowicie je kolekcjonował celem napasci na wizerunek banku? ale przeciez to tylko dane osobowe. dziekujmy mBankowi ze nie trzymaja naszych hasel w plaintexcie.. ile wam zaplacili zeby chociaz troche zmniejszyc straty wizerunkowe ? moze nagrac kampanie filmow uswiadamiajacych dla bankow a nie ich Klietow ? :)

  12. Przecież takie dane normalnie “wyciekają” z każdego banku, zawsze jak ktoś robi przelew! Dokładnie nr konta, imię, nazwisko i adres.

  13. “W czasie telekonferencji potwierdzono, że istotnie osoby wskazane w bazie były klientami mBanku.”

    Hmmm – czyli w trakcie telekonferencji została złamana tajemnica bankowa, a dokładnie art. 104 ustawy Prawo bankowe. Potwierdzając istnienie prawidłowości zapisów nawet jednej osoby z listy podmiotowi, który nie jest w wyłączeniach wskazanych w tym artykule bank złamał zasadę, o której prawnicy napisali już parę habilitacji.
    Chyba, że jesteście jakoś powiązani w holdingu mBanku.

    Wiem co piszę – ponad 25 lat w bankowości robiłem.
    Choć i tak uważam, że do tajemnicy bankowej dopuszczonych jest już tyle osób, że przestaje spełnić ona swoją funkcję…
    :(

    pozdrowienia

  14. Wiecie co – strasznie sie ostatnio zachowujecie.
    Bank niemiecki dla Polakow cieknie danymi jak stare gacie a wy mowicie ze ktos atakuje bank i ze to tylko 1k? Bzdura. Macie przyklad duzego wycieku i budowania akcji PR przez winnego (bo winny jest bank za zbyt slaba jak widac ochrone danych) a wy tylko klaszczecie z uciechy.
    Nikt sie nie zapytal jak dalo sie wydlubac 100k danych i nikt w banczku dla polakow nikt tego nie zauwazyl. UFO u nich wyladowalo? Oczywiscie aby im PRowo zaszkodzic? Jaja sobie ktos robi?

    Przy okazji – bank NIE WYSLAL do firm ktore maja u nich konto info ze przeciekli.
    Wyslal tylko info ze sa gotowi na RODO. No i ze wprowadzili podwyzki – ale to juz w PRopagandzie sie nie miesci… I to potwierdzilem w roznych zrodlach

    • Wysłał do tych 1000, które były na tej liście

    • mBank do tej pory twierdzi że nie zna źródła przecieku.

    • Edi: Jak to nie zna zrodla. Zrodlo to mBank.

  15. Pierwsza istotna rzecz – tego typu bazy pewnie robili pracownicy przed wejściem RODO. Druga: czy bank informując, że dana osoba X jest klientem nie łamie tajemnicy bankowej? Wydaje mi się, że łamie.

    >W czasie telekonferencji potwierdzono, że istotnie osoby wskazane w bazie były klientami mBank

  16. Informacja z ostatniego akapitu o phisingu telefonicznym – PKO BP ciągle dzwoni wg poniższego schematu:
    1. Dzień dobry jestem X z banku PKO
    2. w celu potwierdzenia tożsamości proszę podać nr klienta i coś tam jeszcze
    3. hurr durr, jak to nie chce Pan podać??? to proszę się zgłosić do oddziału
    nie ogarniam tego :D

    • Aby sprawdzić czy to prawdziwy bank, podaj wymyślone dane (czyli ciut zmienione) – jesli łykną to znaczy że oszuści.

  17. Imie i nazwisko mają w Ceidg ale jest to naruszenie RODO . Numer konta bankowego może posłużyć aby ktoś założył na nas konto w innym banku celem brania kredytów, rok lini itp.

    Jako przedsiębiorca dostałem taką informacje: 8 milionach klientów do kupienia za bodaj 350zł plus miesięczny abonament. Zgłosiłem przez epuap do GIODO o naruszeniu na duża skale ochrony danych osobowych. po 2 miesiącach przyszła odpowiedź:
    Proszę o uzupełnienie danych.
    Kto jest administratorem danych w tej firmie która chce sprzedać dane
    Jaką szkodę ta firma mi wyrządziła
    Proszę zapłacić 10 złotych zgodnie z KPA. Jak w 7 dniach nie uzupełnię danych to zamkną moje zgłoszenie. Nie uzupełniłem

  18. Moim zdaniem nie ma tu żadnego wycieku, bo są to informacje publicznie dostępne: wystarczy odpytać wujka G. o nr konta zawierający ciąg “1140” (to jest numer przypisany mBankowi) i jakiś publiczny rejestr typu CEIDG. Potem kilka chwil trzeba poświęcić na wybranie nazwisk i adresów i mamy listę.
    Podobnie możemy uzyskać dane posiadaczy kont w innych bankach.

    Pozdro
    J.

  19. Wyciek danych z mBanku był kwestią czasu. Regularnie – mimo braku zgód na kontakt w celach marketingowych, kontaktowali się ze mną handlowcy wciskający mi kredyt z mBanku.

    Ostatniego pana wypytałem dokładnie, skąd dzwoni, w jaki sposób wszedł w posiadanie moich danych i tak dalej. Był to, uwaga:
    – pracownik mFinanse, a jest to podmiot zewnętrzny (mimo, że z grupy),
    a moje dane:
    – posiadał w Excelu.

    Złożyłem reklamację na tę sytuację i dostałem odszkodowanie. Natomiast moje zapytanie o kwestie bezpieczeństwa danych w Excelu dostałem następującą odpowiedź:

    “[…] Oprócz numeru telefonu, pracownik dysponował także Pana imieniem i nazwiskiem. Dane te odpowiednio zabezpieczyliśmy przed osobami trzecimi.

    Wszystkie dane, które pozwalają na identyfikację klientów podlegają ochronie. Używamy ich wyłącznie do użytku służbowego. Obejmuje je tajemnica bankowa oraz ochrona danych osobowych. Zachowujemy wszystkie procedury dotyczące zabezpieczenia tych danych. Mamy obowiązek przestrzegać przepisów Ustawy z 29.08.1997 o ochronie danych osobowych (Dz.U. 1997 Nr 133 [pz. 883). Zgodnie z tym, bez zgody klilenta, danych nie przekazujemy podmiotom zewnętrznym.

    Nie mamy także danych, które przetwarzalibyśmy bez Pana zgody.”

    Czyli:
    – “odpowiednio zabezpieczyliśmy” to prawdopodobnie “naiwnie liczymy, że prawcownicy tego nie skopiują i nie wyniosą” (skoro pracują w niezależnych placówkach, to komputery z pewnością są podatne na wyniesienie danych, choćby przez niezablokowaną pocztę),

    – “dane podlegają ochronie” to znaczy “są bezpieczne, bo są objęte tajemnicą adwok^Wbankową”,

    – “bez zgody klienta danych nie przekazujemy podmiotom zewnętrznym” – a jednak moje poszły do mFinasów, z którymi żadnej umowy nie mam.

  20. Ja tam mam w mbanku konto firmowe od 29 czerwca 2018 zablokowane przez dział bezpieczeństwa więc coś na rzeczy jest.

    • 29 VI 1018 to bedzie juz po losowaniu Lotka. Podaj moze numerki? Nawet jak sie wszyscy zglosimy to i tak po kilka tysiecy na glowe bedzie…

  21. Jak możecie chwalić ten bank? Przecież przed wejściem RODO pracownicy mbank mieli nieograniczony dostęp do danych klientów (mogą przeglądać dane bez tych danych autoryzacyjnych). Niektórzy zakładali lewe konta i natychmiast je zamykali, aby wyrobić target. Ten bank nie ma żadnych zabezpieczeń. Pewnie jakiś pracownik wyniósł bazę.

    • Robert: A jakich zabezpieczen spodziewasz sie po niemieckim banku dla polakow – z reszta bedacego podmiotem zaleznym banku z dziura w finansach taka ze hej…
      Za co i kim moga zabezpieczac. Oni ogarniaja tylko podwyzszanie oplat i ciagle zmiany regulaminow (czasami 2 rozne komunikaty o zmianach dziennie).

  22. Taką bazę danych to można zrobić dzięki duckduckgo.com. Bez jaj.

  23. > “Bank obejmie klientów dodatkową ochroną”

    Hmmm, wyślą im kolorowe parasolki? ;-D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: