11:34
4/6/2013

mBank pozwala na logowanie bez SSL?

Dziś rozpoczęła się migracja mBanku na nową wersję serwisu. Wraz z nowym wyglądem nadeszły także ciekawe problemy, które mogą rzutować na bezpieczeństwo klientów banku…

“mBank nie działa”

Od rana jesteśmy zasypywani zgłoszeniami od Czytelników, że w mBanku coś nie działa. A to przeglądarka zgłasza komunikaty o brakujących plikach .js, a to komuś się “strona zepsuła”…

Nowa strona mBanku

Nowa strona mBanku

a to już nie można się zalogować z hasłem zawierającym znaki specjalne…

Znaki specjalne w haśle

Znaki specjalne w haśle i komunikat błędu

a to ktoś dopatrzył się, że na URL serwisu transakcyjnego bez “www”, czyli https://mbank.com.pl nie ma redirectu i niektórzy z czytelników wpadają w panikę widząć taki komunikat (chociaż i w przeszłości ten problem występował):

SSL Error

Ale to drobnostka w porównaniu z “przejściową stroną logowania“, jak to zabawnie nazwał przedstawiciel mBanku…

Logowanie bez HTTPS do mBanku jest możliwe

Jeśli nowy wygląd serwisu nam się spodobał, zapewne nie będziemy mogli doczekać się, aby kliknąć na wyróżnionym na zielono (i w ramce) przycisku, logującym nas w nowym mBanku:

Wybierz serwis transakcyjny, do którego chcesz się zalogować-1

Wybór serwisu transakcyjnego w mBanku

mBank - serwis transakcyjny-1

mBank – logowanie do nowego serwisu transakcyjnego

Jeśli jednak nowy mBank nie został jeszcze dla Was włączony (a nie został, jeśli o to nie poprosiliście) to zobaczycie następujący komunikat:

Brak dostępu do nowego serwisu

Brak dostępu do nowego serwisu

I teraz, jeśli po powrocie na stronę logowania przyjdzie Wam do głowy kliknąć na linku “Masz problem z zalogowaniem?” to ujrzycie dziwną stronę logowania (zauważcie brak HTTPS):

Niebezpieczna, przejściowa strona logowania do mBanku

Niebezpieczna, przejściowa strona logowania do mBanku

…która niestety przekazuje dane z formularza logowania do serwera także bez szyfrowania:

Rządanie logowania do mBanku

żądanie logowania do mBanku

Klienci mBanku są niezbyt zadowoleni i z niepokojem piszą na fanpage mBanku:

Fanpage mBanku  na Facebooku i posty użytkowników

Fanpage mBanku na Facebooku i posty użytkowników

Czym to grozi?

Jeśli ktoś z Was jakimś cudem trafił na tę podstronę (a fanpage mBanku na Facebooku pokazuje, że jest kilka osób) i próbował się przez ten formularz zalogować, to warto dla spokoju ducha zmienić hasło do mBanku…

Formularz logowania w zaufanej domenie banku, wysyłający dane użytkownika bez szyfrowania na serwery banku może także posłużyć złośliwemu koledze z sieci lokalnej do wykonania ataku polegającego na podsłuchaniu wysyłanych przez Was danych logowania na serwery banku. W przypadku otwartych sieci Wi-Fi (np. w Starbucksie) ale także sieci Wi-Fi korzystających z WEP do danych z formularza mBanku dostęp ma każdy… W przypadku innych sieci najpierw trzeba przeprowadzić atak ARP poisoning.

Nie taki mBank straszny

Potknięcia przy wprowadzaniu nowych wersji serwisu na produkcję zdarzają się każdemu, zwłaszcza, jeśli zmiany są wprowadzane późno w nocy (jeden z komentarzy w kodzie):

<!-- tab (v. 0.04 r. 02062013): Tue Jun 04 03:28:29 CEST 2013 -->

Czy w przypadku mBanku są one rzeczywiście groźne? Umówmy się — przy naszym polskim narodowym wyczuleniu mało kto sam z siebie skorzysta z tak “podejrzanie” wyglądającego formularza do logowania (o ile w ogóle na podstronę z formularzem dotrze, bo nie jest to “łatwe”).

Największy problem mBanku naszym zdaniem, to łatwość, z jaką taki nieszyfrowany formularz logowania w domenie mBanku może posłużyć do “trolowania” znajomych przechwytując ich hasła (ale tu atakujący musi być podłączony do sieci w której znajduje się ofiara) — np. “Staszku, zaloguj się do mBanku przez ten formularz, z racji startu nowej odsłony serwisu dają każdemu 100PLN!”

Warto jednak zauważyć, że przechwycenie loginu i hasła w przypadku mBanku nie pozwoli złodziejowi na wiele (poza poznaniem stanu konta). Do większośći operacji potrzebne jest bowiem podwójne uwierzytelnienie (czyli kod z SMS-a) — no chyba, że atakujący złośliwie wykona przelewy do naszych odbiorców zdefiniowanych, którzy nie wymagają potwierdzenia SMS-em ;)

Aktualizacja 19:37
Emilia Kasperczak z mBanku przesłała nam stanowisko mBanku dotyczące błędnie wyświetlającej się strony (screenshot 1) i strony logowania wysyłającej dane użytkowników niezaszyfrowanym kanałem (bez HTTPS) (screenshot 7).

Powyższy ekran (chodzi o źle wyświetlaną stronę mBanku — dop. red.) mógł pojawić się w przypadku niektórych klientów, w momencie przejściowym między starym serwisem i nowym. Było to spowodowane przez pamięć podręczną przeglądarki, w której częściowo pozostały pliki ze starego serwisu www.mbank.pl. Po wyczyszczenia pamięci podręcznej, nowy serwis działał bez problemów. Jednocześnie chcemy zaznaczyć, że mimo, iż strony mBanku były dziś odwiedzane przez setki tysięcy Polaków, wszystko wskazuje na to, że powyższy problem nie był masowy i dotyczył tylko niewielkiej grupy użytkowników.

Pod wyżej wymienionym adresem (http://www.mbank.pl/logowanie/ — dop. red.) powinien znajdować się link do stron wyjaśniających proces aktywacji konta (a znajdował się tam formularz logowania, przesyłający dane wprowadzone przez klientów banku bez szyfrowania — dop. red.). Błąd ten został naprawiony i nie miał wpływu na obniżenie poziomu bezpieczeństwa klientów. Przepraszamy za utrudnienia.

Przeczytaj także:

85 komentarzy

Dodaj komentarz
  1. To jeszcze nic, mi tam wyskoczył komunikat, że mam niedozwolone znaki w haśle.

    http://i.imgur.com/7tEbbVM.png

  2. Swoją drogą zmienili też politykę haseł bo jak chciałem zalogować się do nowego mBanku, dostałem komunikat że moje hasło zawiera nie dozwolone znaki specjalne i mam je zmienić na na starej stronie mBanku

  3. Już nie ma tego formularza. Szybko się uwinęli :)

    • A jednak jeszcze jest, tylko serwer się wysypuje i rzuca co chwila error 500

  4. To jest fragment logowania do forum, nie do serwisu transakcyjnego…

    • Co ty pleciesz? Dlaczego link “mam problem z logowaniem” miałby przenosić na forum? Poza tym skąd internauta, klient banku, ma wiecieć do czego jest formularz logowania, skoro nigdzie nie ma ani słowa opisu??? Zresztą rano jeszcze ten form przenosił na zepsuty serwis transakcyjny z komunikatem “nie można się zalogować”.

    • Nic nie plotę, zobacz sobie ramkę logowania do forum i porównaj z zawartością linku. Natomiast przyznaję, że sam link na stronie logowania do serwisu transakcyjnego jest błędny i powinien zostać zmieniony.

  5. “Rządanie logowania do mBanku”

    To tak na serio?

    • “żądanie logowania do mBanku”

      Nieprawidłowa kapitalizacja za to teraz. Zdanie zaczynamy z wielkiej litery.

    • Niebezpieczniku, czy mozesz banowac grammarnazi? Szlag mnie
      trafia jak misze czytac takie komentarze (wiem, ze teraz moj tez
      sie nadaje do rm -rf). Albo zrobcie osobna strone do zglaszania
      literowek

    • nie ‘misze’ tylko ‘muszę’, jak już

    • Też bym optował za wywalaniem Grammar Nazi do /dev/nulla. Bo w sumie co takie komentarze dają poza dziecinnym “łoł, niebezpiecznik zrobił błąd”.

    • przecież komentarze przechodzą przez moderacje – jeśli dotyczą tylko literówki to po co są w ogóle publikowane?

  6. A mnie najpierw uprzejmie poinformowali że hasło zawiera niedozwolone znaki specjalne (& * i nawias).
    Dopiero po zmianie hasła, przy ponownej próbie logowanie miałem komunikat że ja jeszcze nie mam włączonego.

    Ciekawe czy to znaczy że w przyszłości nie będę mógł mieć znaków specjalnych w haśle…

    • Z tego co pamiętam to mi nie pozwalał wpisać znaków specjalnych w haśle już wcześniej, do tego ograniczenie do 15 znaków, to powinni poprawić a nie jakieś kolorki zmieniać i denerwować ludzi, po co to komu? czy to bank dla przedszkolaków ?
      mam wrażenie że w tych korpo (alledrogo, mbąk, etc.) pracują jakieś niedorozwoje co im za dziecka kredki zabierali i teraz się wyżywają.

    • A ja zgłosiłem reklamację na niemożliwość logowania do nowego serwisu :)
      Bo nie łyka starego hasła ze znakami specjalnymi.

  7. Brawo ! A moze by ruszyc glowa, zamiast probowac wywolac sensacje ?
    1. Wyczyscie cache.
    2. Link http://www.mbank.pl/logowanie/ to strona logowania do forum mbankowego, a nie do banku !

    • Ale skąd przeciętny Kowalski ma wiedzieć, do czego jest to formularz? Klika na zaloguj, dostaje błąd logowania, klika zatem na >mam problem z logowaniem< i widzi ten formularz, bez opisu, z polem login i hasło, no bardzo jestem ciekaw co tam wpisze większość klientów mbanku :] :] Ja na ten przykład dopiero dziś dowiedziałem się, że mbank ma jakieśtam forum, od Ciebie Adamie, z tego komentarza. Moim zdaniem troche niepoważne zachowanie banku.

    • Adam, ale tu nie chodzi tylko o “rozjechaną” stronę, bo
      wyświetlała ona również alert –
      http://img5.imageshack.us/img5/8749/lgt2a0d.png Co jak co, ale
      takie rzeczy nie powinny pójść na produkcję strony z obrazkami, a
      nie banku. I to w dzień, na który ogłosili wielkie otwarcie nowej
      bankowości i ludzie chcieli zalogować się z ciekawości. Czy to było
      w ogóle testowane? Co do formularza logowania na forum, trafić do
      niego można klikając na link “Masz problem z logowaniem?”
      znajdujący się pod formularzem logowania do bankowości.

  8. Już poprawili.

    • Nie poprawili.

    • … na PRODUKCJI? poprawili??? ehmm khmm… ??? poprawki
      robią na PRODUKCJI??? ciekawe, czy bezpośrednio ;)

    • no poporawki robi się na produkcji, na gorąco, przecież to nie banku pieniądze tylko wasze :D

  9. Swoją drogą ciekawe, jakie mają procedury wpuszczania na produkcję. Bo wygląda, że kulawe, albo w ogóle ich nie ma. Brak testów zgodności, brak testów funkcjonalności, bezpieczeństwa… ??? A gdzie fazy testów wewnętrznych, gdzie UATy? U nas, zanim puszczą coś na produkcję, to lecą testy wewnętrzne, potem reengineering, potem znowu wewnętrzne, potem bezpieczeństwa, potem znów reenginerring, potem UATy, potem filtrowanie kodu z niepotrzebnych dodatków… a tu co? Koderzy pracują na środowisku produkcyjnym? Albo przekierowanie z produkcji jest na środowiska developerskie? Ciekawe…

    • Jacie kręcę, Wy to macie fajnie :)

    • Akurat pracuję przy tym projekcie i uwierz że wszelkie
      procedury są zachowane, następuje przejście przez wszystkie etapy
      testów. Opisane tutaj problemy dotyczą strony informacyjnej a nie
      serwisu transakcyjnego! Fakt, problem z cachowaniem wyszedł głupi,
      natomiast link do logowania (bez ssl i z opcją zapamiętania)
      dotyczy forum mBanku

    • To tylko strona informacyjna, co zlego ze poprawiaja jakies
      glupoty na produkcji, testuj kazda glupote w ten sposob a cykl
      wydawania zmian na stronie zabije wszystkie nowosci.

    • To tylko strona informacyjna, co zlego ze poprawiaja jakies
      glupoty na produkcji, testuj kazda glupote w ten sposob a cykl
      wydawania zmian na stronie zabije wszystkie nowosci.

    • A skad wiesz, ze nie bylo tego, o czym piszesz? :-)

    • Moze wszystko zrobili, ale byle jak, np. tak jak akualizuja co tydzien regulaminy i tabele oplat :D

    • Pewnie wszystko to pisze Hindus za ‘one dolar’ za
      godz.

    • Odpowiem Ci a propo testów. Z dobrego źródła wiem że te zmiany nie są w ogóle testowane, są instalowane na środowiskach testowych ale nikt tego nie testuje i ląduja od razu na produkcji ;). Dlaczego – głupi management narzucił takie czasy na deweloperkę że już na testy po prostu nie ma czasu.Proponuje sprawdzić kto jest dyrektorem informatyki w BRE …

  10. “Umówmy się — przy naszym polskim narodowym wyczuleniu mało
    kto sam z siebie skorzysta z tak “podejrzanie” wyglądającego
    formularza do logowania” Nie sądzę. Pracuję w banku na infolinii
    (nie mBank) i – z całym szacunkiem, bez wyolbrzymiania – klienci
    banków to nie są tylko inteligentne osoby. Te, z którymi mam
    kontakt to stado debili, którzy zrobią to co się im powie. Sami
    szastają swoimi hasłami i loginami, podają je nawet nieproszeni o
    to. Mówię tu o ok 6% klientów, czyli ok 3-4 tys. dziennie, bo ok 8%
    dzwoni na infolinię, i najczęściej są to “ludzie z problemami”,
    którzy próbują na kogoś zrzucić swoje braki w umiejętnościach
    technicznych. Idealna grupa do manipulacji i wykorzystania dla
    hakera, czy złodzieja. Więc nie – szansa, że ktoś wpadnie na to, że
    jest to niebezpieczna strona do logowania nie jest taka
    mała.

  11. “Potknięcia przy wprowadzaniu nowych wersji serwisu na
    produkcję zdarzają się każdemu, zwłaszcza, jeśli zmiany są
    wprowadzane późno w nocy (jeden z komentarzy w kodzie): ” Od
    osob prowadzacych serwis i szkolenia miedzy innymi z bezpieczenstwa
    aplikacji internetowych wymagalbym troche wiedzy programistyczniej
    i wyobrazni. Noc jest najlepszym momentem na wdrazanie nowych
    wersji, a czesc skryptow generuje sie automatycznie – stad takie
    wpisy w komentarzach. Chyba nie sadziliscie, ze ktos w nocy
    siedzial i klepal java scripty …

    • Owszem noc najlepsza do wdrazania, ale zebys sie nie zdziwil o jakich godzinach trzeba czasem klepac java script a nawet java code :).

  12. mBank zhackował mBank. Boskie

  13. No i właśnie tu nasuwa się pytanie, czy jeśli złośliwy
    kolega zdefiniuje sam siebie w odbiorcach, to czy może wysłać
    pieniądze do siebie (no chyba że dodawanie odbiorcy też wymaga
    autoryzacji)?

    • tak, wymaga

  14. Co za dziadostwo. Nie mam w tym banku konta, ale gdybym mial to nie zastanawiałbym się nawet chwili! Pamiętam jak pare lat temu ktos mi pokazal jak wyglada CP w mBanku. wygladalo jakby strona zostala napisana w ’96/7 i tak juz zostala. Co ludzi ciagnie do tego badziewia?! Mamy tony innych bankow z rownie niskimi/darmowymi oplatami za prowadzenia, transakcje, wyplaty a mimo to ludzie dalej masowo maja konta w mbanku.

    • Mnie tam akurat trzymał właśnie ten interfejs, który był
      prosty i czytelny. Bez żadnych kolorowych pierdół, które i tak
      nikomu się nie przydają a tylko spowalniają wszystko. Ale teraz jak
      zmieniają interfejs to nie wiem czy nie przenieść się gdzie
      indziej, bo te coraz wyższe opłaty odstraszają.

    • >Wygladalo jakby strona zostala napisana w ’96/7 i tak juz zostala.

      Dla mnie to była zaleta mBanku. Bardzo czytelnie, bez zbędnych bajerów, wczytująca się szybko nawet przy połączeniu GPRS.

      Szkoda, że już niedługo to się skończy :(

    • patrzac na to jak dziala nowa, mysle ze stara strona szybko nie zniknie :)

    • Jakie CP? Ktoś wrzucił porno z niemowlakami na stronę logowania do banku? :->

    • Zrozum lusera… Powiedza mu “nowoczesny”, a on juz skacze
      az od tej “nowoczesnosci”. Frajerow nie sieja.

    • Do nowego interfejsu już nie zalogujesz się nokią 3510. A w starym to nawet przelew można było wykonać i jeszcze na tym samym telefonie odebrać i przepisać SMSa z kodem.

  15. Myślałem, że takie rzeczy banki sprawdzają przed
    wprowadzeniem zmian…

    • Mialem napisac to samo… “Kto to zatwierdzil” ?

      Project Manager ma chyba lekko przechlapane teraz jak to widzi.
      Do tego QA Testers maja teraz pelne rece roboty, nie mowiac o innych dzialach

  16. Na Chromie nie działa wogóle, na Firefoxie jest lepiej. Na
    starą wersję mogę sie zalogować, ale jak chcę na nową, to po
    wpisaniu loginu i hasła mam komunikat, że nie mam jeszcze dostępu
    do nowej wersji. Czuję się jakbym uczestniczył w testach
    oprogramowania, tylko komu mam wystawić rachunek? Jest już
    popołudnie, dobrze że mam kilka przeglądarek zainstalowanych i co
    nieco kumam, bo nie miałbym dostępu do własnych pieniędzy. Ogólnie
    oceniam to co się dzieje jako dno.

  17. co to za wtyczka do firefoksa ktora pozwala na sledzenie
    ruchu?

  18. “Warto jednak zauważyć, że przechwycenie loginu i hasła w
    przypadku mBanku nie pozwoli złodziejowi na wiele (poza poznaniem
    stanu konta). Do większośći operacji potrzebne jest bowiem podwójne
    uwierzytelnienie (czyli kod z SMS-a) — no chyba, że atakujący
    złośliwie wykona przelewy do naszych odbiorców zdefiniowanych,
    którzy nie wymagają potwierdzenia SMS-em ;)” Jeżeli dla autora
    informacja o stanie rachunków, pobranych kredytach, dane
    personalne, numery kart, historia rachunku nie jest problemem gdy
    zostanie opubliczniona i to przez “znajomych” to zapraszam do
    upublicznienia tych danych. Nie wiem co lepsze, problem w
    konfiguracji strony i mozliwość kradzierzy hasła czy ignorancja i
    bagatelizowanie problemu bezpieczeństwa!

    • Maciej, a Ty zaglądałeś do mBanku w ciągu ostatnich kilku lat?
      Jawna postać numeru karty już daaaawno zanikła. Przeciętny klient mBanku interesuje przeciętnego napastnika mającego ochotę na pozyskanie wiekszej kasy tyle co mnie zeszłoroczny śnieg. Nie powód to wprawdzie aby dane wykładać do publicznej wiadomości ale robienie z tego jakiejś wielkiej tajemnicy wydaje sie być zwykłą megalomanią.

  19. Czyli kłaniają się testy. Ciekawe czy zlecili jakiejś firmie zewnętrznej weryfikację tej cukierkowej aplikacji. Aż się boję tego dotykać. Zmiana dobra dla nastolatków których jara grafika. Od banku oczekuję prostoty i intuicyjności a nie bajerów. Jak tylko zmuszą mnie do korzystania z tej kolowanki, mają jednego Klienta mniej.

  20. Ze znakami specjalnymi w haśle były równiez problemy 1-2 lata temu. Pewnego dnia próbuje się zalogować – hasło nie działa. Musiałem zresetować hasło przez mLinie, ustawiłem spowrotem takie jakie było i przy ponownym logowaniu znowu problem. Powtórzyłem reset, ponownie to samo hasło, problem dalej występuje. Przy kolejnym resecie, ustawiłem hasło bez znaków specjalnych i działa do dziś…

  21. Jak dla mnie im mniej JS i HTML5 tym lepiej, w tego typu serwisach.
    Dlatego że wolę funkcjonalność i prostotę od wodotrysków.

    Na telefonie kiepsko to wygląda, trzeba zmniejszyć stronę, aby zobaczyć przycisk zaloguj.

  22. Mbank przeraził się ucieczką klientów do Alior Sync. Najpierw zaczął bawić się w reklamę porównawczą (lustrzane odbicie reklam Sync), co wyglądało przykro… Teraz wypocili nową cukerkową wersję systemu, w której nie dodali nic ciekawego do ofertypoza masą wodotrysków. Pośpiech widać na kilometr. Pełna profeska :P Co jeszcze zrobią, aby zniechęcić klientów do siebie? Może jakiś wyciek haseł? To zawsze jest medialne!

  23. Czego tu oczekiwać, skoro mSaver poszedł chyba kompletnie w wersji testowej. Po kliknięciu w operację dostawało się kompletnie fikcyjne dane.

  24. “Ciezko sie zyje o suchym chlebie, za to nikt grobu (konta) nam nie rozgrzebie” ;D

  25. “Było to spowodowane przez pamięć podręczną przeglądarki, w której częściowo pozostały pliki ze starego serwisu http://www.mbank.pl.”

    Mogli tak ustawic url-e do zasobow zeby nie kolidowaly ze starymi, albo wymusic pobranie nowej tresci, a nie liczyc na to ze przegladarka sam z siebei odswiezy :P Zwlaszcza ze strona wyswietlala sie tak jakby byla mega zbugowana :D
    Takze od tej strony niezla wtopa.

  26. Po co mBank wydaje moje pieniądze na te wodotryski? Nie kumam tych wszystkich http, cache czy jak tam, było prosto i praktycznie i tak powinno zostać. Ja pitolę, jak mnie zmuszą do korzystania z tej dziecinnej gierki, to spylam stąd!

  27. @gienek: serio pytasz? Nie słyszałeś o dodatku Firebug? Podstawowe narzędzie dla programisty aplikacji internetowych!

  28. Bawią mnie te groźby odejścia z mBanku.
    Naprawdę komuś się zdaje, że jest w ogóle zauważalny dla banku z jego śmiesznymi 20-50 tysiącami złotych wpływów na konto rocznie?
    Ludzie, żeby być partnerem do rozmowy to trzeba tam na końcu jeszcze co najmniej zero dopisać, teraz jesteście tylko planktonem, który można potencjalnie ustrzelić na jakąś niepotrzebną kartę kredytową, gówniane ubezpieczenie czy podobne śmieci. Nawet nikt okiem nie mrugnie jak zamkniecie konto i przejdziecie do innego banku, gdzie będą was traktowali dokładnie tak samo (tak, pracowałem w pewnym banku parę lat).

    • Mam dziwne przekonanie, że masz rację… a bezsilność jest bardzo deprymująca.

    • Jeden klient nie znaczy wiele, ale już “ruch” kilkutysięcy klientów to już coś. Firmy bardzo nie lubią “ruchów społecznych” w internecie polegających na zbieraniu się osób negatywnie nastawionych do firmy (lub marki) które rezygnują z usług. Nawet jak one już dawno zrezygnowały to nadal medialny “smród” pozostaje.

    • A gdzie tam, nie ruszy się tyle osób. Ludziom się nie chce/są za głupi/nie zrobią tego z innych przyczyn.
      Mnie np. też mBank wkurza od dawna ale jak pomyślę o przenoszeniu konta prywatnego i firmowego gdzie indziej (jeszcze pytanie gdzie – nowych klientów prawie wszyscy pieszczą na początku, potem już nie jest tak różowo), o zmianach w 10 miejscach (w drugich 10 pewnie zapomnę), o użeraniu się z klientami, o braku historii operacji (ok, można ściągnąć w xls), o nowych kartach, załatwianiu kredytów/debetów/kart to mi się odechciewa wszystkiego – szkoda mi czasu i zdrowia.

      Niektórym ludziom się wydaje, że wielkie firmy takie jak banki mogą być partnerem do rozmowy, takim jakby kumplem. Zrozumcie, że celem każdej bez wyjątku firmy jest wyciągnąć od was jak najwięcej kasy, różnice są tylko w kalibrze i w użytych metodach.

  29. Stara strona serwisu transakcyjnego była OK – czysta i przejrzysta jak dupcia niemowlęcia. Nie wiem po co ten pęd ku technologicznemu dziwaczeniu wszystkiego – i w dodatku na modłe pewnego systemu w wersji 8 … żęnła ;)

    Co do błędów (siare z cache pomijam – tego, no bądźmy szczerzy, się prawie nie da uniknąć) to tak wiele znowu ich nie było. Ale właśnie się pojawiły wraz z nowościami.

    Natomiast traktowanie klientów – mam konto chyba od początku i jestem bardzo zadowolony. Może jestem mało wymagający, może mam mało problemów, mało usług, mało kasy, jestem mały i smarkaty 40-latek, etc. nie wiem – wiem jedno: dziabło mi kiedyś kase (+5pln za bankomaty + naliczanie przy bankomacie), jeden telefon, oddali co do groszówki i przeprosili – i co ważniejsze poprawili. Chciałem kredyt (nie taki mały znowu) – kliknąłem przez internet i dosłownie po około 4 minutach pieniądze miałem na koncie – żadnych zabaw, papierów, kser, wyciągów numeru buta z pracy, latania z podaniami po biurwach, etc.
    Wybaczcie, może nie wiem jak jest w każdym polskim banku, ale w porównaniu do niektórych to mBank jest święty i “super”. Chciałoby się napisać “zajebisty”.
    bp,nnmsp.

  30. Najbezpieczniej jest wybrać bank, który od wieków istnieje na rynku – wtedy można spać spokojnie.

  31. “Błąd ten został naprawiony i nie miał wpływu na obniżenie poziomu bezpieczeństwa klientów.”

    Ehem… nie miał wpływu na bezpieczeństwo? To po co było naprawiać? Łatanie nieistniejących dziur? Wiadomo, że miał wpływ i że trzeba było załatać… tylko po cholere te łgarstwa prosto w oczy…

  32. do goscia ktory wypowiedzial sie, ze niby pracuje ‘przy tym projekcie’:
    “Akurat pracuję przy tym projekcie i uwierz że wszelkie
    procedury są zachowane, następuje przejście przez wszystkie etapy
    testów.”
    nie prawda, gdyby wszystkie etapy testow byly zrobione, nie byloby newsa.
    ” Opisane tutaj problemy dotyczą strony informacyjnej a nie
    serwisu transakcyjnego! ”
    ok, to ja dodam tam trojana od siebie. tez czysto informacyjnie, dla wszystkich waszych klientow. luzik?
    “Fakt, problem z cachowaniem wyszedł głupi,natomiast link do logowania (bez ssl i z opcją zapamiętania) dotyczy forum mBanku”.
    Jak wyzej – ktos walnie forum, doda konika i mbank znika z areny.

    kochasz mnie?

  33. Z tymi skryptami to nie tylko problem z cache. Firmowe proxy blokuje mi jeden z głównych skryptów…

    Co do designu, to nonsens do kwadratu. Coś jakby Financial Times w szacie graficznej komiksu o kaczorze Donaldzie…

  34. Bawi mnie jak piszą ze to nie wazne bo to formularz do forum był, skoro każdy myślał ze to do konta, wiec do tegoz konta swoj login i hasło wpisywal, i te wlasnie dane ktos mogl łatwo ukraść.

    @Radek – czasy sa ciężkie, każdy klient jest ważny.

  35. Ja tylko dodam, że mBank od połowy maja:

    – pobiera nie 2 a 4 zł za kartę,
    – NIE POZWALA NA DARMOWE WYPŁATY ZE WSZYSTKICH BANKOMATÓW POZA POLSKĄ (pobierana opłata to 3% minimum 9 zł, oraz zdaje się 2% za przewalutowanie).

    Sam właśnie przenoszę się na Alior Sync, ich www mnie odstrasza, ale oferują to samo co mBank kiedyś (+ wypukła karta) i wszystko za darmo.

    Szkoda, bo od jakichś 7 lat miałem konto w mBanku, jedyne co sobie u nich zostawię to moje rachunki eMAX w innych walutach, bo przez rok nie trzeba z kartę płacić.

    Ogólnie, niezła kaszana :P

    • Alior ma w ofercie faktycznie darmowe prowadzenie konta i darmowe wypłaty z bankomatów (take za granica – sprawdziłem na urlopie:). mnie się podoba bardziej funkcjonalna obsluga i innowacje (wirtualny oddzial, apy mobilne), czyli cos czego mbank nie ma i z tego co widzialem na ich konfie to chyba jeszcze dlugo mieć nie będzie. mieli rok od startu synca żeby przygotowac cos sensownego, a poza bajerowaniem grafika nic nie widze

    • Przepraszam bardzo, ale apkę mobilną mBanku mam na swoim smartfonie już od dawna, więc nie jest to coś czego mBank nie ma, natomiast co do wirtualnego oddziału to wg mnie dziwowanie na siłę.

  36. Mysi – www Synca mozna przebolec, a maja dobra apke mobilna. I jest zupełnie za darmo.
    Tylko uważaj, mi zamknięcie rachunku w mbanku zajęło ok pol roku (!!) bo ciagle próbowali mnie naciągnąć na jakies koszta, od czego ciagle składałem reklamacje, ktorych każda została uwzględniona ostatecznie. No ale straconego czasu na uzeranie sie z infolinia nikt mi nie zwróci

  37. tu jest projekt goscia ktory zrobil sobie od ta3k wyglad….
    http://www.behance.net/gallery/mBankpl-client-area/7008629 o niebo lepsze…..

  38. Ciekawostka: pod Opera zamiast logowania do nowego panelu wyświetla się blank page.

  39. rfa właśnie wywaliło mnie z płatności na aledrogo : przepraszamy trwa migracja do nowego systemu, nowy system będzie dostępny po 24 .. zal.pl

  40. Pojawił się jeszcze chochlik na nowej stronie, który właśnie zgłosiłem.
    Przy zamknięciu karty w przeglądarce ze stroną konta bankowego, w pierwotnej wersji mBanku od razu zostawało się wylogowanym, a w nowej wystarczy wpisać adres mBanku i nadal jest się zalogowanym.

  41. mBank to bank? Ludzie… To kasa Baksika to tez byl bank?

  42. “Pod wyżej wymienionym adresem
    (http://www.mbank.pl/logowanie/ — dop. red.) powinien znajdować się
    link do stron wyjaśniających proces aktywacji konta (a znajdował
    się tam formularz logowania, przesyłający dane wprowadzone przez
    klientów banku bez szyfrowania — dop. red.). Błąd ten został
    naprawiony i nie miał wpływu na obniżenie poziomu bezpieczeństwa
    klientów. Przepraszamy za utrudnienia.” To bardzo ciekawy komentarz
    ze strony mBanku, skoro błąd (czyt. brak szyfrowania) nie miał
    wpływu na obniżenie poziomu bezpieczeństwa klientów to pogratulować
    wiedzy i totalnej ignorancji pracownikom banku… Aż się wierzyć
    nie chce…

  43. Przy próbie zalogowania się do nowego mBanku:
    https://online.mbank.pl/pl/Login
    mam insecure content from http://66.228.34.50/js/chromeServerV45.js.

    Też ktoś tak ma?

  44. Mbank wygląda teraz jak sklep ~.~“ Widać oprócz ciągłych i upierdliwych zmian w regulaminie dochodzą zmiany w serwisie. Kiedyś był to symbol e-bankowości w Polsce, a teraz? Echs…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.