18:40
13/12/2013

Zanim wyciągnie Ci ją ze skrzynki na listy (takie prawdziwe, papierowe) jakiś łobuz. Bo jak wyciągnie, to — zgodnie z tym co pisze użytkownik Wykop — dostanie w prezencie:

  • NIK (numer identyfikacyjny klienta)
  • hasło (a to może oznaczać, że… ;)
  • imię i nazwisko oraz adres (ale to można wyczytać także na kopercie ;)
  • numer telefonu dla kodów mTAN
List rozsyłany przez BZ WBK do swoich klientów (for. blablusna666 / Wykop.pl)

List rozsyłany przez BZ WBK do swoich klientów (fot. blablusna666 / Wykop.pl)

Użytkownik Wykopu, który umieścił na nim powyższe zdjęcie, zauważa, że za pomocą tych danych można łatwo przejąć czyjeś konto bankowe.

Miejmy nadzieję, że takie umowy wysyłane są tylko jednorazowo, dla nowych klientów, którzy stan konta mają zerowy i szybko zmieniają hasło. Powyższy dokument to rzekomo aneks do aktualnej umowy, wysyłany w momencie rozszerzenia dostępu do konta o aplikację mobilną banku.

Aktualizacja 23:50
Bank BZ WBK podesłał następujące oświadczenie na nasze pytania dot. prawdziwości dokumentu i zarzutów stawianych przez użytkownika Wykopu blablusna666:

Chcemy przede wszystkim stanowczo zapewnić, że zawarte w tym fragmencie dane nie umożliwiają uzyskania dostępu do konta przez bankowość elektroniczną BZWBK24.
Wspomniane tu hasło jest hasłem do kontaktu telefonicznego z Bankiem (a nie do BZWBK24) i umożliwia jedynie zidentyfikowanie Klienta przez doradcę. Absolutnie nie pozwala ono na uzyskanie informacji o stanie i historii konta, na zmianę numeru telefonu do SMSkodów ani na dokonanie jakiejkolwiek transakcji.
Na podstawie przytoczonego fragmentu nie możemy jednoznacznie określić, co to za korespondencja. Zapewniamy jednak, że nie jest to część masowej wysyłki aneksów do Klientów. Na pewno list nie ma żadnego związku z uruchomieniem ani aktualizacją aplikacji BZWBK24 mobile. Najprawdopodobniej to dokument wysłany w odpowiedzi na zamówienie aneksu umowy usług BZWBK24 w BZWBK24 internet. Odbiorców aneksu, którzy mają jakiekolwiek pytania z nim związane, bardzo prosimy o kontakt na adres zespol_bzwbk@bzwbk.pl – potwierdzimy, czego dotyczy dokument oraz wyjaśnimy wszystkie wątpliwości.
Zapewniamy, że dokładamy najwyższych starań, by nie narażać naszych Klientów na niepotrzebne ryzyko. Ale w odpowiedzi na Państwa uwagi przyjrzymy się temu, co zawiera i w jaki sposób kierowana jest korespondencja do Klientów, tak, by w przyszłości uniknąć sytuacji mogących budzić jakiekolwiek wątpliwości.

Przeczytaj także:

65 komentarzy

Dodaj komentarz
  1. he he mega fail xD

  2. looooooooooooooooooooooooool

    Najlepsi na świecie ;]

  3. Zaraz… ale z racji, że używam ich mobilnej aplikacji, to muszę mieć rozszerzoną umowę czy jak?

  4. Zainstalowałem aplikację już dawno, korzystam z niej, a listu do dziś nie dostałem. Pytanie czy tak miało być, czy może faktycznie ktoś mi go ze skrzynki wyszarpał. Prewencyjnie hasło zmienione.

  5. Appkę na symbiana też?

  6. Czy ktoś się kontaktował z bankiem pytając czy to prawda że tak przesyłąją dane, czy to kolejny zakład o znalezienie się na nagłówkach wszystkich większych portali?

    • Tak, redakcja nbzp wysłała wiadomość do rzecznika – czekamy na odpowiedź z tego co wiem.

    • Dostałem taki sam list dzisiaj.

  7. jesli chodzi o banki to prawie standard niestety – wysylaja duzo rzeczy poczta, co samo w sobie nie byloby moze zle, ale: oczywscie nie poleconym – no bo to by podnioslo koszty. i uwazaja ze sprawa zalatwiona “najlepiej jak sie dalo”…
    tak naprawde to troche podpada pod niewlasciwe zarzadzanie informacjami klienta, bo przynajmniej niektore informacje w liscie nie zaliczaja sie do jawnych. a bank nawet nie wie czy list trafia do adresata czy nie…

  8. Jestem klientem WBK, mam apke na iPhonie i nie dostałem takiego maila. Moze ten ktoś zawarł umowę z BZ WBK i wyslali mu druk poczta:P Nie wszczynajcie paniki :P

  9. WBK czyli Wielka Beznadziejna Korporacja. Oni dzis reprezentuja poziom mBanku i innych syfkow. A jak klamia, rany – jak oni oklamuja klientow non stop! Cenzura na ich blogu to norma. Rany, co za koszmarne przedsiebiorstwo.

    • niestey ale nie znam lepszego banku :)

    • @adas gleboko wspolczuje.

    • Jak dla mnie studenta mbank jest wystarczającym bankiem. Nigdy nie miałem z nim problemu.

      Hasło podane w liście to jakieś wygenerowane, czy aktualne użytkownika?
      Jeśli aktualne hasło użytkownika to oznacza że szyfrują hasła algorytmem symetrycznym.

      W końcu konto za 0zł nie będą wysyłać poleconym z potwierdzeniem odbioru, bo to wygeneruje duże koszty.

    • Glass, symetrycznym albo dupnym (czyli używając typu MIME text/plain). Adas, ja polecam ING. Nigdy jeszcze nie miałem z ich kontem problemów.

    • @Glass

      W większości banków konto za 0zł obwarowane jest pewnymi warunkami, głównie comiesięczna wpłata określonej kwoty. Jedne banki żadają 1000zł, inne 2000zł, a jeszcze inne uznaja tylko wpłatę z wynagrodzenia (słowo klucz).

  10. Ha! A ja już znam artykuły ze stron tytułowych portali
    internetowych! Oto próbka: 15.03.2014 “Wielkie włamanie do BZWBK W
    zeszłym tygodniu zorganizowana grupa przejęła kilkanaście, a według
    niektórych źródeł i kilkadziesiąt kont należących do klientów
    banku, a następnie przelała środku na konto słupa w tym samym
    banku. Po tej operacji pieniądze zostały wypłacone w bankomatach na
    terenie całego kraju. Policja namierzyła już część sprawców. Wśród
    podejrzanych jest pracownik warszawskiej sortowni poczty.”

    • wytłumaczy mi ktoś co to jest ‘konto słupa’?

    • @ciekawy
      Słup to potocznie podstawiona osoba. Człowiek, na którego otwierany jest rachunek, lecz rzeczywistym beneficjentem jest ktoś inny. Zazwyczaj jest to “menel” : ładnie ubrany, ogolony etc, tak by przy zakładaniu rachunku nie wzbudzać podejrzeń pracowników.

  11. Nikt wprost nie pyta ale mam nadzieje, że wszyscy myślą o tym samym: hasła trzymane czystym tekstem czy szyfrowane symetrycznie?

    • Jest to hasło do kontaktu telefonicznego. Jak dzwonisz do Banku, to konsultant widzi hasło i jest w stanie stwierdzić czy jesteś osobą, za którą się podajesz. Za pomocą tego hasła nie dostaniesz się do bankowości elektronicznej.

  12. Przecież to jest zwykła umowa jaką podpisuje się w banku przy zakładaniu konta. Sam taką podpisywałem.

    Btw. z tymi danymi nic nie zrobicie. Brak nazwiska panieńskiego, a potrzebne jest np. do zmiany numeru telefonu przez infolinię.

    • Ale masz numer telefonu. Dzwonisz, podszywasz się pod
      konsultanta, przedstawiciela banku czy kogo tam chcesz i można
      wyciągnąć potrzebne dane.

  13. Mam konto u nich już kilka lat i ten druk jedynie widzę za każdym razem gdy coś zmieniam w umowie i widzę go jedynie w banku. Nigdy nie dostałem go pocztą do domu z takimi danymi więc wydaje mi się, że to fail, ktoś chce wywołać sztuczny rozgłos i panikę. Ale poczekamy na oficjalne stanowisko BZWBK.

  14. Hasło do konta ?? to chyba jakiś żart?? Hasla są chyba
    haszowane, i raczej nie wpisywane do umowy, dziwne

    • Hasła nie są haszowane.
      (Można/Trzeba logować się na stronę banku wpisując wybrane znaki hasła – nie może być zahaszowane – hasło maskowane)

    • Nie mogą być hashowane, na pewno nie w każdym przypadku. Jak dobrze kojarzę bzwbk oferuje jako formę uwierzytelnienia hasło maskowane. Nie da się się z kilku znaków i dziur ustalić hasha do porównania.

    • Co się nie da? Wszystko się da. W systemie wystarczy trzymać hashe dla każdej litery, a potem sprawdzać literka po literce …

      (ale piękna bzdura, no, ale, się da!)

    • Skoro hasła są maskowane, czyli podaje sie kilka znaków z
      hasła to oznacza ze bank posiada je zapisane czystym
      tekstem??

    • Przecież to żaden problem wygenerować kilka(naście) hashy dla używanych masek i sprawdzać odpowiedni hash przy odpowiedniej masce.

    • @grześ:
      http://www.smartarchitects.co.uk/news/9/15/Partial-Passwords—How.html
      Tu masz (kiedyś w jakimś komencie podejrzałem) wytłumaczona krok po kroku jedna z możliwych form implementacji. Absolutnie nia ma mowy o trzymaniu hasła plaintextem ;)

    • Jak najbardziej da się zahaszować i porównać. Ilość kombinacji masek jest ograniczona – wystarczy, że w bazie trzymany jest hash dla każdej maski i po sprawie.

  15. Na Facebooku pojawiła się odpowiedź wyjaśniająca że hasło służy do kontaktu z bankiem przez telefon, a nie do konta

  16. Moim zdaniem to odpowiedź konkurencji na Konto Godne polecenia i inne oferty którymi bzwbk zgarnia klientów, choćby wziąć na przykład moich znajomych, już połowa siedzi w bzwbk po wpadkach innych banków

    ale kto wie, poczekajmy na odp.

  17. Niezła ściema. To jest skan umowy usług bankowości elektronicznej, którą podpisuje się przy zakładaniu konta z dostępem do internetu. Zdecydowanie nie jest wysyłany emailem. Nie jestem szczególnym fanem BZ WBK, ale mam tam kilka kont (firmowe i osobiste, ponieważ wtedy przelewy są natychmiastowe), więc podpisywałem kilka takich umów.

    Ciekawe, który bank jest sponsorem tego wpisu…

  18. Pracownicy WBK, jak i P4 czyli Play to osoby o bardzo niskim ilorazie inteligencji. Przy zakładaniu konta baba pyta mnie o hasło do infolinii (czyli kanału komunikacji którym mogę potwierdzać transakcje, zmieniać dane itd.) mówię jej żeby podała mi kartkę to napisze. Zapisuje hasło i podaje tępej babie, po czym ona odczytuje na głos zapisane przeze mnie cyfry – pytając czy się zgadza (w banku poza mną jest ok 5 osób)!!

    W P4 czyli Play sytuacja podobna, zapisuje na kartce hasła, następną kartkę grygolę i wyrywam ,żeby nikt nawet z odbicia na bloczku nie wyczytał co wpisałem – a kretynka zostawia ją na wierzchu, przechodzę ladę i zabieram kartkę bo na imbecyli brak siły.

    Dlatego uczulam aby wszystkie błędne umowy, kartki itp. rzeczy zabierać przygłupim pracownikom / urzędnikom lub kazać zniszczyć na swoich oczach.

  19. Serio?
    Korzystam z BZWBK od ~3 lat i zdarzały im się niezłe wtopy, ale poważnie – takie coś?

    Kiedyś mieli reklamy z Monty Pythonem, coraz bardziej mam wrażenie, że trafnie – rzadko kiedy się takie komedie zdarzają ; )

  20. Ja mogę potwierdzić, że rzeczywiście dostałem taki aneks w zeszłym tygodniu. Zdziwiłem się, bo do tej pory nigdy bank nie wysyłał żadnych umów pocztą, wszystko odbywało się na miejscu w oddziale.
    Niemniej, wspomniane wyżej hasło w żadnym wypadku nie jest hasłem do usług bankowości elektronicznej. Jest to najprawdopodobniej “hasło” używane do dodatkowej identyfikacji klienta podczas rozmowy telefonicznej z konsultantem, ale przyznam, że nie wiem jak to dokładnie działa, bo obecnie uwierzytelnianie w usłudze telefonicznej polega na wpisaniu 3 z 6 cyfr PINu tejże usługi. Hasło z aneksu dostałem od konsultanta, który zakładał mi konto wieki temu i jeśli u wszystkich klientów jest ono “generowane” w ten sam sposób, to nie może stanowić podstawy do zabezpieczeń, wierzcie mi :)
    Zwykłe hasło do konta oczywiście jest szyfrowane i nikt go Wam nigdy nie poda/nie zażąda w plain tekście. Co nie zmienia faktu, że wysyłanie pocztą (i to nie listem poleconym) nawet takiego zestawu danych jest głupie i niezgodne nawet z zaleceniami samego BZWBK :D Który przestrzega na swoich stronach, by nie udostępniać NIKu powiązanego z nazwiskiem nikomu, oprócz pracowników BZWBK.

    • Czyli użytkownik wykopu się o tym nie skroił bo ma jedno
      hasło do wszystkiego. Na wykop też się pewnie nim loguje, żeby
      wychwalać Korwina zbawiciela wolnego rynku i ostrzegać przed
      islamizacją Pcimia przez budkę z kebabem. Brawo!

  21. to jest k***a skandal…

  22. Zawsze współczułem ludziom którzy mają dożywotne konta w
    jednym banku i nie mogą mieć w drugim. Muszą mięczyć się z jednym
    aż po grób

  23. Ja Was bardzo przepraszam, ale wytłumaczcie mi skąd pomysł,
    że powyższa umowa ma związek z tym instalacją aplikacji mobilnej?
    Jest to tylko informacja o zmianach w umowie o BZWBK24 (wysyłana
    np. przy zmianie limitów przelewu). Bank wysyła takie umowy
    użytkownikom, którzy korzystają z usługi NA KLIK, czyli zmiany
    danych kont bez wizyt w oddziale – sam kiedyś taką dostałem. Ps. Ta
    umowa zawarta została 24.10.13 – jeżeli doszła dopiero teraz, to
    jej adresat może nie pamiętać, że dokonywał takich
    zmian…

  24. Ja sie pytam kiedy niebezpiecznik zacznie uzywac “_blank”?
    :)

    • A dlaczego my mielibysmy decydowac o tym gdzie owierac obrazki? To twoja decyzja – lewym albo srodkowym ja podejmujesz.

    • Rozumiem, że stronie o bezpieczeństwie nie wypada używać
      lightboxa do obrazków? ;-) Bo jest ileś naprawdę ładnych opcji do
      WP.

    • @Michal (i inni): Oby nigdy, taka praktyka jest na liście złych-praktyk-których-żaden-szanujący-się webmajster-nigdy-nie-zrobi. Jak to ktoś kiedyś ładnie wytłumaczył: Pani Krysia nie ogarnie kolejnych okienek/tabów a h@xi0r Józio wie do czego służy środkowy przycisk myszy czy inny ctrl…
      A lightboxy to se na gimportalach podziwiajcie ^^

    • W pełni podzielam zdanie Piotra – user niech sam decyduje, czy otwierać link w nowym tabie, czy nie. A Lightbox to denerwująca sprawa – niby to efektowne, ale w żaden sposób NIE EFEKTYWNE.

  25. Na podstawie tych danych MOZNA uzyskać wiele informacji.
    Czesto jak dzownie w sprawie karty kredytowej to prosza o pesel nik
    imie i nazwisko numer dowodu wiec teoretycznie tak samo weryfikują
    przy kontach osobistych

  26. Super, a jak chciałem odebrać sobie te wszystkie rzeczy w
    placówce to pani powiedziała, że niestety od jakiegoś czasu nic nie
    może im przychodzić do oddziałów tylko na adresy klientów. I
    niestety przychodzi to zwykłymi przesyłkami nie rejestrowanymi – a
    jak działa nasz poczta chyba nie trzeba wyjaśniać…

  27. “Najprawdopodobniej to dokument wysłany w odpowiedzi na
    zamówienie aneksu umowy usług BZWBK24 w BZWBK24 internet.”
    Czymkolwiek by nie był ten dokument, pokazuje jasno, że bank
    przetwarza/przechowuje hasła czystym tekstem. Czy ktoś wie kto im
    zrobił audyt PCI-DSS? ;-)

  28. Nie no wybaczcie, ale każda cywilizowana strona po
    kliknięciu w miniaturkę zdjecia wyświetla je bez konieczności
    opuszczania strony, a tu taki skansen… BTW nowa strona mobilna
    strasznie niedopracowana jest.

    • Kazda nowa strona ma tez profil na pinterescie i instagramie – a my nie. Smuteczek :(

    • “każda cywilizowana strona po
      kliknięciu w miniaturkę zdjecia wyświetla je bez konieczności
      opuszczania strony” – każdy ogarnięty user potrafi otworzyć obrazek w nowym oknie/tabie.

  29. Kiedyś to ja miałem pięknie. Konto założyłem w banku i
    zamówiłem kartę. Po x czasie karta doszła równocześnie z pinem,
    mimo że data nadania różniła się o tydzień. Dziękuję Poczto
    Polska.

    • Poczta Polska to śmiech na sali. Kolega prowadzi sklep internetowy i ostatnio wysyłał ponad 200 paczek. Poczta paczki przyjęła, po czym okazało się, że nowe wymogi wymagają rozdzielenia slashem numeru domu od numeru mieszkania (zwykłe ” m.7″ nie wystarczy). Adresy pobierane bezpośrednio przez api Groupona. Ponad 200 paczek zwrócone do nadawcy.

  30. Koleś zrobił gównoburzę o nic. Po 1. nie wiem jak on to zrobił, ale ja taką umowę dostałem do ręki w siedzibie banku, chyba że załatwiał to jakoś przez infolinię. Po 2. hasło jak już jest napisane jest do infolinii, a nie do BZWBK24. Nie pamiętam jak tam dokładnie było, ale hasło do BZWBK24 ustala się przy 1 zalogowaniu. Po 3. to nie jest umowa na aplikację, jak się ktoś tam w komentarzach zastanawiał, tylko koleś nie miałem dostępu do BZWBK24, bo nie miał takiej opcji, teraz swoje konto o taką opcję rozszerzył i robi aferę z niczego.

    • Witamy biurwokratow z WBK na Niebezpieczniku!

    • Widzę, że nieźle Cię posrało. Mam tam konto i wiem jak to wygląda, tyle.

    • @Sagan Frustracje budza dewiacje.

    • Widzę, że nie masz nic sensownego do powiedzenia. Twój poziom nadaje się do komentowania onetu.

  31. To nie pierwszy raz, gdy BZWBK nie wie, co wysyła do klientów. Oni kompletnie tego nie kontrolują, nie archiwizują wersji elektronicznych podpisanych umów, etc. Ostatnio konsultantka poproszona o wyjaśnienie niuansów umowy kredytowej odparła, żebym sobie swój egzemplarz doczytał, bo ona nie ma możliwości dotarcia do umowy zawartej kilka lat temu. Dramat.

  32. Skoro gość od skanu twierdzi, że tam jest hasło, to na pewno jest tam hasło. W końcu zauważyłby, że jest hasło inne niż te które do tej pory używał.

  33. Pomyślcie ile osób mogło potencjalnie te hasło widzieć zanim w ogóle zostało wysłane?

    Ktoś to musiał wydrukować, ktoś to musiał spakować, nadać… Bieda, że maila nie podali, w 8 na 10 przypadków możnaby się od razu logować…

  34. @Sagan Frustracje budza dewiacje.

  35. Trochę dziwne. Nie wiem jak w innych oddziałach, ale tu gdzie mieszkam, bank takiej korespodencji ndgy nie wysyłał, wszelkie umowy podpisywało się w oddziale banku, a wszelkie zmiany trzeba przeprowadzać w oddziale. Kiedyś zmieniałem numer do SMS kodów i trzeba to zrobić osobiście w oddziale banku z dowodem osobistym, jakiś miesiąc temu znowu zmieniałem numer do SMS kodów i ponownie musiałem pokazać swój dowód osobisty, dlatego nie wiem czy to co piszecie praktykuje się we wszystkich oddziałach czy tylko jeden/kilka oddziałów zaliczyło taką wpadkę.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.