19:43
2/1/2018

Niektórzy klienci T-Mobile Usługi Bankowe mogli po zalogowaniu na swoje konto ujrzeć treść korespondencji innych osób z bankiem i szczegóły ich spraw (głównie reklamacji). Niestety, w cudzych wiadomościach często pojawiały się dane osobowe… Jeśli komunikowałeś się z konsultantami banku T-Mobile Usługi Bankowe, istnieje ryzyko, że Twoje dane (i szczegóły zgłoszenia) ktoś mógł zobaczyć.

Loguję się do banku i widzę dane innych klientów…

O sprawie poinformował nas Czytelnik, który w systemie bankowości elektronicznej, zobaczył mnóstwo nieswoich wiadomości. Łączył je podobny temat (Re: Pilna informacja). Do poszczególnych wiadomości załączone były pliki PDF, których nazwy sugerowały skany dowodów osobistych. Niektórzy klienci wpisywali adresy zameldowania w treści wiadomości (prawdopodobnie ci, którzy mają nowe dowody bez adresu).

Żeby było zabawniej, kilku klientów żaliło konsultantom w tych wiadomościach, że są zmuszani do zrobienia i przesłania bankowi skanu swojego dowodu. Obawiali się, że przesyłane w ten sposób treści mogą wpaść w niepowołane ręce. I jak widać, obawy te nie były bezpodstawne…

Wiadomości, które widział nasz Czytelnik, pochodziły z okresu od 7 lutego 2017 do 6 czerwca 2017. Oto mały fragment tego, co zobaczył nasz Czytelnik.

Czytelnik potwierdził, że problem zgłosił też do banku i że błąd został naprawiony w tym samym dniu, kiedy go zauważył. Bank potraktował więc sprawę poważnie. Wedle relacji Czytelnika przyciski do pobrania skanów na szczęście nie działały. Nie zmienia to jednak faktu, że sprawa jest poważna, bo prawdopodobnie i tak doszło do ujawnienia tajemnicy bankowej.

Jeśli mielibyśmy strzelać co do powodów wycieku, to obstawialibyśmy błąd w zapytaniu wybierającym wiadomości dla klienta. Dopasowywało ono nie tylko wiadomości tego klienta, ale wszystkie o takim samym tytule.

Co Alior Bank na to?

Redakcja Niebezpiecznika zwróciła się z pytaniami do Alior Banku, który świadczy usługi bankowe pod marką T-Mobile. Przedstawicielka banku Joanna Nagierska przesłała nam poniższe oświadczenie.

potwierdzamy, że pojedynczy klienci T-Mobile Usługi Bankowe po zalogowaniu do systemu bankowości elektronicznej w panelu wiadomości mogli widzieć komunikaty skierowane do innych osób. Po zidentyfikowaniu tego błędu bank niezwłocznie wprowadził działania naprawcze. Problem dotyczył pojedynczych przypadków, miał charakter tymczasowy i został już usunięty.

Przepraszamy klientów za niedogodności. Jednocześnie podkreślamy, że bezpieczeństwo danych oraz środków klientów jest dla nas kwestią priorytetową.

Ta sytuacja, poza tym że błędy programistyczne się zdarzają każdemu — bankom i nie tylko bankom, pokazuje po raz kolejny, że coraz więcej klientów dostrzega problemy związane z nadmiernym gromadzeniem skanów/kserokopii dowodów osobistych. Warto więc wiedzieć, jak poprawnie reagować na próby wymuszające przekazanie skanu/ksera dowodu w hotelach, wypożyczalniach i podczas innych okazji. Opisywaliśmy to wielokrotnie.

Na marginesie: te i inne porady, jak bezpiecznie korzystać z internetu i bankowości internetowej będziemy przedstawiali niebawem w Warszawie i Krakowie na naszych otwartych wykładach skierowanych do każdego użytkownika komputera, smartfona i internetu. Zostały na nie ostatnie wolne miejsca, więc jeśli chcesz nas posłuchać na żywo — zapraszamy do rejestracji!


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

13 komentarzy

Dodaj komentarz
  1. Rzeczywiście wyższa kultura bankowości

  2. Wiem, nie na temat, ale czas nagli.

    Jeżeli jeden z pracowników dostanie email od klienta z duża listą inną klientów (brak BCC) to odbiorca takiej wiadomości ma obowiązek zgłosić ten incydent do GIODO, czy może powinien to zrobić ABI gdy w jego firmie jest obecny?

  3. I powiedzcie mi jak firmy mają się przygotować do RODO do maja skoro takie akcje się dzieją?

    • Takie rzeczy zawsze będą się działy — żadna ustawa tego nie zmieni, że programiści popełniali, popełniają i będą popełniać błędy. Ustawa natomiast uporzadkuje to co dzieje się po takiej sytuacji: konieczność reakcji i m.in. obowiązek informacji poszkodowanych oraz wyciągnięcie wniosków.

  4. Brawa dla świadomych. Wstyd dla banków (i w sumie dla ustawodawcy), że nie istnieje inna, bezpieczniejsza forma weryfikacji tożsamości…

  5. Po co banku aktualny DO? Przecież wystarczy im na otwarcie konta. Potem do niczego nie jest potrzebny.

  6. Pytanie czy muszą aż rok trzymaja takie zdjęcia? Jeśli już muszą sobie popatrzeć na skan dowodu to po weryfikacji powinni go usunąć. Przecież pracowcy mający do nich dostęp moga póżniej zakładać konta na podstawie tych dokumentów tak jak w aferze w Wells Fargo. Osobiście uważam że bank w przypadku nadużyć powinien odpowiadać jako współ winny ponieważ umozliwiłż zgromadzenie i wykożystanie takich danych i w żaden sposób nie starał się tego powstrzymać np. przez procedury nakazujące pracownikom kasowanie takich plików.

  7. Ciekawe czy to przez fix dla tego buga w mojej skrzynce kontaktowej w końcu pojawiła się odpowiedź na reklamację z Września. SMSa że odpowiedź jest dostałem w Październiku, ale dopiero wczoraj zobaczyłem tę odpowiedź w mojej zakładce wiadomości.

  8. Zgłaszałem bankowi Alior Sync a potem TMobile Uslugi Bankowe kilkakrotnie błąd listowania listy wiadomości. Za każdym razem otrzymywałem wymijające odpowiedzi i żadnej sensownej reakcji. W moim przypadku nie widziałem komunikatów innych użytkowników, ale zakresy dat i dane ustawiane przez wyszukiwarkę jak i kompletność tej listy nie była poprawna. Dostawałem instrukcje co wpisywać i jak, ale nie rozwiązywały problemu.

    Bank nie reagował, sprawdzałem ten błąd wielokrotnie i ponownie wysyłałem powiadomienie. Od błędu listowania moich wyników do kompletnie błędnej listy innego użytkowania jest krótka droga.

    Błędy programistów się zdarzają, ale lekceważenie objawów potencjalnych dziur nie powinny.

  9. dokładnie, na szczęście byłem akurat w mieście i podjechałem do oddziału, gdzie mam zaufanych pracowników, zwykle tam chodzę i sprawnie zweryfikowali sprawę, więc u mnie minus za błędy a plus za szybką reakcję

  10. Alior Bank juz kiedys pokazal na co go stac…:
    http://www.mikeway.pl/skad-ma-pani-moj-numerz-internetu/

    Kradnie numer telefonow z OLX

  11. Pytanie, co w przypadku gdy jakiś gość, przez błąd systemu informatycznego, zobaczył by Moje dane, które wystarczałyby do wzięcia chociażby chwilówki, co również by uczynił.

    Czy w takim przypadku mogę zgłosić się do banku, aby to Oni ponieśli koszty związane ze spłatą takiego kredytu?

  12. […] widzieli cudze rachunki i mogli wydawać cudze pieniądze), UPC (widzieli cudze dane), T-Mobile (klienci byli logowani na cudze konta i mogli doładowywać telefony na koszt innej osoby), Allegro (logowali się na cudze konta) a także MediaExpert (włączyli niskie zabezpieczenia i […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: