14:48
11/1/2011

mBank i ukryte pola we wnioskach kredytowych

Xbartx donosi, że jeden z internautów na grupie pl.biznes.banki zauważył, że formularze wniosków mBanku (np. na kartę kredytową) posiadają “głęboko ukryte” dane na temat właściciela konta. Zapewne pomagają one pracownikowi mBanku podjąć decyzję czy udzielić kredytu, czy nie. Dane te można dowolnie modyfikować, ale nie bardzo wiadomo co z tego może wyniknąć…

Scoring Behawioralny w mBank: dlaczego nie dostałem kredytu?

Programiści mBanku w formularzach wniosków (patrz menu wnioski po zalogowaniu), oprócz widocznych pól umieścili także pola ukryte — ale uwaga, ukryte jedynie przed oczami internauty, bo są one nomalnie widoczne w kodzie strony. W niektórych przeglądarkach są one widoczne standardowo, a także przez chwilę mogą pojawić się u każdego, jeśli korzysta on ze strony www mBanku na wolnym łączu.

Cytując za neoniuszem, internautą, który “odkrył” ukryte pola: aby je zobaczyć wystarczy kliknąć na menu Wnioski, wybrać np. wniosek o kartę kredytową, a następnie, po kliknięciu Dalej w usunąć formatowanie strony w przeglądarce — w Firefox wystarczy kliknięcie View -> Page Style -> No style. Naszym oczom ukażą się wtedy następujące, ciekawe zmienne tzw. scoringu behawioralnego, m.in.:

Wniosek o Kartę Kredytową - mBank ukryte pola

Wniosek o Kartę Kredytową - mBank ukryte pola

  • Średnia skorygowana kwota zasilania rachunku za 6 m-cy dla kampanii wychodzących
  • regularność zasilania rachunku
  • Niedozwolone saldo na rachunku w ciągu ostatniego miesiąca (ND_1)
  • Niedozwolone saldo na rachunku w ciągu ostatnich 6 miesięcy (ND_6)
  • Segment behawioralny
  • scoring behawioralny

Ukryte pola można modyfikować

Co ciekawe, modyfikacja “systemowych” zmiennych we wniosku jest technicznie możliwa i bardzo prosta do wykonania. Nie wiadomo jednak, jaki wpływ na otrzymanie kredytu ma taka zmiana — skontaktowaliśmy się w tej sprawie z przedstawicielami mBanku i czekamy na odpowiedź. Od wczoraj odpowiedź czeka też jeden z klientów mBanku.

Wniosek o kartę kredytową w mBanku - ukryte pola

Wniosek o kartę kredytową w mBanku - ukryte pola

Warto zauważyć, że enigmatyczność poszczególnych zmiennych utrudnia zadanie potencjalnemu “łowcy łatwych kredytów” — jednakże security by obscurity jest raczej kiepską metodą ochrony (wystarczy zapytać kolegę z mBanku …lub Google).

Podstawowy błąd w webaplikacjach, ale czy groźny?

Przechowywanie (i przesyłanie) przez mBank wraz z wnioskiem o kredyt tzw. metadanych, które go opisują, zaimplementowane przy pomocy ukrytych pól formularza (czy ogólniej elementów HTML) to przykład raczej złej praktyki programistycznej, ale niestety jest to praktyka nagminna, bo najłatwiejsza w implementacji.

Chcesz dowiedzieć się jak testować bezpieczeństwo webaplikacji i jak bezpiecznie je tworzyć? Zapisz się na nasze szkolenie (zostało 1 miejsce).

Należy sobie jednak zadać pytanie, jak poufne są dane dot. scoringu behawioralnego (chyba w ogóle nie są, skoro lecą gołe do klienta) oraz co klientowi mBanku po tym, że dowie się wjakim segmencie behawioralnym się znajduje? Zmieni bank, bo wie, że tu nie ma szans na kredyt)? Oszuka system, bo wie, jakie czynniki mogą mieć znaczenie? Swoją drogą, ciekawe jak taka zmiana wygląda pod kątem prawnym? I to chyba jedyny ciekawy aspekt tej historii, którego zdecdowanie nie polecamy sprawdzać.

Aktualizacja 18:55
Otrzymaliśmy odpowiedź od Krzysztofa Olszewskiego z mBanku:

informujemy, że elektroniczne wnioski kredytowe, dostępne w serwisie transakcyjnym mBanku, funkcjonują prawidłowo. Ewentualne dodatkowe pola we wnioskach, mogące się pojawiać w szczególnych przypadkach (w wyniku niestandardowych zmian parametrów przeglądarki internetowej), nie mają wpływu na proces podejmowania decyzji kredytowych przez bank oraz bezpieczeństwo danych. Wnioski kredytowe w mBanku rozpatrywane są zawsze na podstawie wewnętrznej, niezależnej analizy danych.

Celowość ukrytych pól, skoro “wnioski kredytowe w mBanku rozpatrywane są zawsze na podstawie wewnętrznej, niezależnej analizy danych” pozostawiam czytelnikom do rozważenia jako pracę domową. Gdyby komuś udało się rozszyfrować znaczenie poszczególnych zmiennych, zapraszamy do kontaktu — pewnie wiele osób nurtuje, dlaczego są w segmencie behawioralnym A, a nie w B, czy C :-)

Przeczytaj także:

58 komentarzy

Dodaj komentarz
  1. Pod kątem prawnym polecam lekturę Art. 297 kodeksu karnego ;)

    § 1″Kto, w celu uzyskania dla siebie lub kogo innego, od banku (…) kredytu, pożyczki pieniężnej,(…) przedkłada podrobiony, przerobiony, poświadczający nieprawdę albo nierzetelny dokument albo nierzetelne, pisemne oświadczenie dotyczące okoliczności o istotnym znaczeniu dla uzyskania wymienionego wsparcia finansowego, instrumentu płatniczego lub zamówienia, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

    • tk: generalnie, w Polsce chyba nawet sama próba oszustwa jest penalizowana (por. art. 286), ale cieszy fakt obecności bardziej szczegółowego paragrafu dot. kredytów.

  2. Można założyć, że aplikacja do przydzielania kredytów to np. rozwiązanie webowe. Skoro dane są “zabezpieczone” przed modyfikacją istnieje szansa, że wartości nie są odpowiednio walidowane przed ich wyświetleniem, a to z kolei może narażać aplikację na atak opisany ostatnio na HCSL. Szansa na sukces znikoma, sieć w której miała by działać taka aplikacja zapewne nie jest podpięta do Internetu, ale kto wie…

  3. mimo, ze mam konto w mbanku, to dobrze, ze nie musze brac kredytu ;)

  4. @tk: a skąd założenie, że dane umieszczane przez bank w polu “scoring behawioralny” są rzetelne? To współczynnik wyssany z palca, wymyślony przez jakiegoś specjalistę ds. srututu, którego sposób ustalania wartości bank może sobie przyjąć de facto JAK CHCE, bo jeden bank uzna, że “odpowiedni” wpływ na konto co miesiąc to dla niego 2K PLN, a dla drugiego 10K PLN. Co więcej, o ile mi wiadomo, sposób obliczania tego rodzaju współczynników jest dla klienta niejawny, więc tym bardziej ciekawym, na bazie jakiego kryterium można określić “rzetelność” takiego algorytmu.

    • na bazie jakiego kryterium można określić “rzetelność” takiego algorytmu – jest on rzetelny dla banku. Jeśli masz 2 mln klientów można zrobić dobry system behawioralny. Jeśli masz grupę klientów (np 80%), którzy są wieku 18 lat i dostali kredy, ale go nie spłacają. Czy dalej udzielasz kredytów takim klientom?

  5. @Konieczny: Prawo Karne Gospodarcze w tej sesji, wiecie, rozumiecie ;)

  6. Już poprawili. Nie zdążyłem zrobić screenshota…

  7. @void: “przedkłada podrobiony, przerobiony,” edytując dane przerabiasz formularz, tutaj chyba jesteśmy zgodni, tak?

  8. No i kufffa narobiliście!! “Nastąpił błąd systemu wnioskowego. Spróbuj zalogować się ponownie.” Wyłączyli serwis wnioskowy :-)

  9. Coś już dłubią przy tym bo po kliknięciu dalej przechodzi do http://img266.imageshack.us/img266/1961/mbankl.png

  10. Nie wiem, czy to przypadek, ale system sygnalizuje błąd:

    http://i55.tinypic.com/okn9rd.jpg

  11. Kurcze a liczyłem że dowiem się czegoś o sobie :D

  12. Mi si pojawiło, chociaż poza średnią przychodów na konto to żadnej interpretowalnej dla plebsu mojego pokroju wartości nie odkryłem.

  13. W operze też można to zobaczyć

    w operze widok->styl->tryb użytkownika

  14. “I to chyba jedyny ciekawy aspekt tej historii” to po co było pisać w ogóle? ;)

  15. Jak to mówią “u mnie działa” ;) Fajna sprawa. Mogliby to po prostu wyświetlać userowi, niech wie jakie ma statystyki :) W dodatku mogliby po prostu te pola podpisać cyfrowo albo uzupełniać PO wypełnieniu wniosku przez usera (lub choć walidować ponownie).

  16. @tk: Racja. My bad.

  17. U mnie te dane są widoczne. Tym samym dowiedziałem się, że nie dostałbym od nich żadnego kredytu :-) czas na przeprowadzkę do konkurencji, zwłaszcza z kontem oszczędnościowym, bo oferta mBanku jest co najmniej żenująca.

  18. @nickers – O FUD waść słyszał? ;) Ostatnio wypełniałem formularz o kartę debetową, szkoda że wtedy nie wiedziałem o tych polach, może też bym coś znalazł (to, co było widać samo w sobie było trochę dziwne).

  19. Wniosek zakładania konta też ma pola ukryte

  20. Pewnie zmienne są potrzebne na kolejnych stronach do wyliczeń.
    A z drugiej strony, przecież to nie automat wydaje kartę. To jest tylko wniosek. Póżniej człowiek weryfikuje.

    • Bogdan, wydaje mi się, że tu kluczowym pytaniem jest skąd ten czlowiek od “wydawania kart/kredytów” bierze informacje dot. “profilu behawioralnego klienta”, czy jakkolwiek to tam nazywają. I szczerze wątpię, żeby opierał się tylko na tym co leci w formularzu — ale sprawdzać nie zamierzam ;)

  21. I odpowiedz z forum od mEkipy, ktorego link podano w artykule:
    “Informujemy, że elektroniczne wnioski kredytowe, dostępne w serwisie transakcyjnym mBanku, funkcjonują prawidłowo. Ewentualne dodatkowe pola we wnioskach, mogące się pojawiać w szczególnych przypadkach (w wyniku niestandardowych zmian parametrów przeglądarki internetowej), nie mają wpływu na proces podejmowania decyzji kredytowych przez bank oraz bezpieczeństwo danych. Wnioski kredytowe w mBanku rozpatrywane są zawsze na podstawie wewnętrznej, niezależnej analizy danych.
    Jednocześnie przypominamy, że instrukcje, jak poprawnie wypełnić wniosek kredytowy, nie zmieniły się. Bank przekazuje je na stronach internetowych w trakcie wypełniania wniosku, informacji udzielają też Operatorzy mLinii.”

  22. Teraz wszyscy będą testować mBank i każdy formularz ;) a co do opisanego błędu to on nadal występuje, właśnie sprawdzałem u siebie.

  23. nie przesadzajmy z tymi “ważnymi danymi” te dane są i tak Klientam ktory dany wniosek składa … i nie są sensytywne, algorytmy wyliczające są nadal zabezpieczone przed wścibskimi …

  24. Piotrze
    Dla mnie było oczywistym, że są to pola pomocnicze służące do wyliczeń.
    Jeżeli byłyby brane do rzeczywistej zdolności kredytowej klienta byłoby to niezmiernie dziwne i uważałbym, że procedury banku są do bani.
    Oczywiście – odkrycie tych pól jest fajną ciekawostką, ale myślę, że tylko ciekawostką.
    Sam czasem korzystam z takich pól – dzięki nim łatwo można przenosić parametry między stronami.

  25. Bogan, nie po to wymyślono atrybut data-*, by ktoś miał przechowywać dane w ukrytych polach formularza :-) http://bit.ly/hwx1yQ

  26. Oj tam oj tam
    czepiasz się :)
    Czasem człowiek robi coś nie całkiem po bożemu…

    A poza tym należy słuchać klasyków: “Niech mówią co chcą, byle nazwiska nie przekręcali”.
    Dzięki takiemu drobiazgowi ileś osób przeczytało o MBanku!
    I o to chodzi!
    ROTFL

  27. Dzięki Niebezpieczniku, że o tym wspomniałeś, widać siłę dużego.

    Zaraz po publikacji, ktoś z mBanku na chwilę WYŁĄCZYŁ moduł wniosków [screeny komunikatu błędów podlinkowali jedni z pierwszych komentujących], potem mLinia informowała o tym, że z powodu awarii wnioski kredytowe nie będą dostępne do jutra. Ciekawe, swoją drogą, czy po ponownym włączeniu jest jakaś różnica w polach, ktoś sprawdzał???

    Fajnie że mBank czyta Niebezpiecznika i reaguje, szkoda, że nie czyta własnego forum, na którym o tym problemie ktoś pisał już wczoraj i do dziś, do momentu publikacji na Niebezpieczniku, nikt mu nie odpowiedział ;[

  28. Bardzo podobne do zabezpieczenia CAPTCHA sprzed 3 lat w naskowym whois – wystarczyło zmienić jeden z parametrów “hidden” i kod z obrazka nie był sprawdzany.

    Dużo webaplikacji nie sprawdza czy parametry hidden sie zgadzaja z wysłanymi… Czy podchodzi to pod art. 267-271 ? Ciężko stwierdzić, podobnie jak w dyskusji z posta o religia.pl czy zgłaszać dziury w systemach….

  29. Uhuhuhu, ukryte pola w formularzu, no, no. Sensacja.
    To teraz rozpocznie się akcja wyszukiwania ukrytych pól w formularzach? W tajemnicy wyznam, że kiedyś widziałem kilka w portalu Gazety.
    Sorry za złośliwy ton, ale spojzcie obiektywnie na ten artykuł. Jest o niczym. Co z tego, ze są ukryte pola? To nie jest błąd sam w sobie. Można coś przy ich pomocy zrobić? Można coś ukraść? Kogoś oszukać? Niewiadomo? To z czego tu robić wielkie halo?

  30. @PanTrol nigdzie w artykule nie widzę, żeby padło słowo “błąd”, więc naginasz fakty kolego. Autor sam pod koniec stwierdził, że to nie obecność ukrytych pól, a możliwość ich zmiany jest ciekawa, i to pod kątem prawnym a nie technicznym. Artykuł jak sądzę powstał właśnie po to, żeby czytelnicy Niebezpiecznika mogli sprawdzić, czy te ciekawe pola da się do czegoś wykorzystać. Stare chinskie przysłowie mówi, że dla audytorów nie ma informacji nieużytecznej, każda do czegoś się przyda. Pytanie jak wiele można z tych zmiennych wyczytać i co Kowalski może zrobić na podstawie informacji przez nie przekazywanych.

  31. No dobrze. Moze to i jest ciekawostka. Każdy oceni jak będzie chciał. A wszystkie pola, czy ukryte czy nie i tak można zmienić :)
    Od siebie jeszcze dodam ze znam człowieka, który w mbanku zajmuje się bezpieczeństwem (nie żeby był on tylko jeden od bezpieczeństwa na cały bank) i wiem ze co pól roku zlecaja testy stron informacyjnych i transakcyjnych różnym zewnętrznym firmom. Wiem tez ze to jest wyjątkowa praktyka jak na banki w Polsce.

  32. Segment behawioralny C… i z kredytu pewnie nici…

  33. U mnie to działa nadal.

  34. Nadal działa bo i czemu miałoby nie działać skoro tak zostało zaprojektowane?

  35. Macie juz jakies informacje co do tego co oznaczaja poszczegolne segmenty behawioralne? :) Ciekawosc mnie zjada.

  36. Segmenty behawioralne nie całkiem poważnie:
    A – klient ma duży kredyt, kilka lokat i otwarte fundusze. Transferuje do naszego banku duże, stałe kwoty, jest wspaniałym, cudownym klientem i damy mu kredyt od ręki z promocją gratis. Oprocentowanie w dół, z dokumentów wystarczy dowód, dorzucić coś gratis.
    B – klient przelewa średnią krajową, zbiera na lokacie na wakacje, ipada kupił za szybką pożyczkę. Spłaca raty regularnie, można mu dać kredytu na odmalowanie ścian ale nie więcej, bo mu nie ufamy. Obniżymy prowizję o 0,1% dodamy ubezpieczenie i niech będzie szczęśliwy, że w ogóle coś dostał. Dokumenty jakie winien przedstawić w celu uzyskania kredytu określa załącznik 1548756/854DGY/684210/5GOR96 strony od 1 do 280.
    C – plebs z najniższą krajową i stałym debetem na koncie. Żadnych pożyczek nie dawać, bo pewnie i tak przepiją, a że to nędza to nic im nie można zabrać. Niech spadają do lichwiarzy.
    ;)

  37. Fajnie, ze tez tutaj znalazla sie informacja o moim “odkryciu”.
    Uwazajcie tylko teraz, bo mBank oddzwania prawie po kazdym rozpoczeniu wypelniania wniosku i bedzie namawial na kredyt ;)

  38. C to nie taki znowu plebs. U mnie wyszło C i zarazem “globalny” limit kredytowania 50 tys. Nie wiem skąd im się to wzięło, bo bałbym się wziąć raty 1000 zł.

  39. Bo to jest cała sztuka. Dać klientowi “pod korek”. Żeby krwią pluł ale spłacał.
    Bo co to jest za zysk z oprocentowania? Marne grosze…
    Jak się klient spóźni o dzień ze spłatą to wyślemy mu upomnienie za 50 zł, zadzwonimy za 30 zł, palniemy odsetki karne.
    To jest biznes, taki spóźniający się, ale jednak spłacający klient!
    Więc się nie dziwcie, że bank zechce Wam dać kredyt, który dla Was samych wydaje się ryzykowny.

  40. Dzisiejsze metro na stronie 5 opublikowało informacje o “Tajemniczych polach mBanku”, podając źródło: Niebezpiecznik.pl ;)

  41. BUDA – Średnia skorygowana kwota zasilania rachunku za 6 m-cy dla kampanii przychodzących – 1460 zł

    BUDA – Średnia skorygowana kwota zasilania rachunku za 6 m-cy dla kampanii wychodzących – 2680 zł !!

    KURDE a wydawało mi się że ostatnio więcej wydaję niż zarabiam ;/ Czemu oni tego nie udostępnią przy robieniu przelewów był by super bajer przemawiający na korzyść ich usług !!!!!!

  42. Kris – kampanie wychodzace i przychodzace to nie oznacza, ze to sa przelewy wychodzace i przychodzace. to po prostu okresla jakie dane bierze sie pod uwage w kampaniach przychodzacych (klient sie zglasza), lub wychodzacych (bank proponuje).

    Piotr – jest na emetro.pl

    • @neoniusz: nie widzę, a wyszukiwarka na emetro.pl po “mbank” nic nie znajduje. Link?

  43. Piotr:
    http://emetro.newspaperdirect.com/epaper/viewer.aspx
    i wybierasz po prawej stronie dzisiejsze wydanie (13.01.2011r.)
    Nastepnie z prawej strony wybierasz 5 strone i jest taka mala informacja ;)

  44. Podana fraza – site:emetro.pl niebezpiecznik – nie została odnaleziona.

  45. google nie musi natychmiast wszystkiego indeksować.
    Strona w indeksie może pojawić się po kilku dniach.

  46. Poza tym e-wydanie jest wyswietlane w jakiejs aplikacji – watpie czy google w ogole indeksuje.

  47. 1) komentarz dałem w momencie gdy jeszcze nie było linka do wydania,
    2) google jest w 99% przypadków lepszą wyszukiwarką na stronach niż wyszukiwarka “własnej roboty”,
    3) @Bogdan, @neoniusz: wiem

  48. Te same dane w podobnej formie dostępne są nadal choćby w formularzu kredytu gotówkowego :)

  49. Ciekawe. Testowałem. Coś znalazłem.
    Zaznaczenie checkboxa przy wyborze kwoty limitu na kartę powoduje, że informacje (pola) niewidoczne w stylu podstawowym przy “normalnym” uruchomieniu wniosku stają się nagle widoczne (np. właśnie średnia skorygowana kwota zasilania rachunku za 6 m-cy dla kampanii przychodzących/wychodzących)

  50. Ten bank jest szczerze beznadziejny na plaszczyznie IT. Czy tam pracuja ludzie z lapanki?

  51. @Galnospoke
    Czy prowadzisz czarny PR?
    W jakim banku pracujesz?
    A jeżeli wyskakujesz z takimi rewelacjami bezinteresownie(w co kompletnie nie wierzę), to co chcesz osiągnąć?

  52. […] złota dla marketingowców i że banki mogą handlować tymi danymi lub wykorzystywać je np. w decyzjach kredytowych. Teraz mamy dowód — Mastercard w USA zaczął sprzedawać te informacje […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.