16:50
3/6/2014

Czytelniczka Marysia poinformowała nas, że ostatnia wiadomość z Nordei dotycząca oferty kredytu gotówkowego trafiła do ponad 600 osób, których adresy pracownica banku umieściła w polu CC/DW, zamiast BCC/UDW…

nordea-mail-fail

Co ciekawe, chyba szybko zorientowała się, że popełniła wpadkę, bo chwilę później “zaspamowała” odbiorców raz jeszcze, tym razem komunikatem o “odwołaniu poprzedniej wiadomości” (który zapewne wygenerował jakiś wewnętrzny CRM).

nordea-mail-fail2

I chyba nawet po części ten komunikat zadziałał, bo inny nasz Czytelnik napisał nam, że dostał tylko tę dziwną wiadomość od Nordei (o odwołaniu wiadomości), bez wcześniejszej oferty. Czytelnik powiadomił o tym fakcie bank, sugerując, aby poddał się karze, jak opisywany przez nas niedawno Urząd z Warszawy, któremu przytrafiła się taka sama wpadka:

Przekazuję maila z banku Nordea, o tym że pracownik chce “odwołać” poprzedniego maila.
Nie dostałem poprzedniego, ale za to teraz dostałem kilkadziesiąt adresów mailowych waszych klientów.
Uważam, że przydałoby się waszym pracownikom szkolenie z bezpieczeństwa informacji ze szczególnym uwzględnieniem obsługi poczty elektronicznej. Ładnie by było gdybyście jako bank Nordea poddali się karze podobnej do tej, którą zaakceptował jeden z urzędów po podobnym błędzie pracownika – https://niebezpiecznik.pl/post/warszawski-urzad-ktory-ujawnil-adresy-e-mail-obywateli-akceptuje-kare-zakupi-ksiazki-i-nie-tylko/

Nordea odpisała:

W odpowiedzi chcielibyśmy poinformować, iż poniższa wiadomość została przekazana do Pracownika odpowiedzialnego za poniższą sytuację.
Jednocześnie dziękujemy za wszelkie sugestie kierowane pod adresem Banku Nordea.
Chcielibyśmy zapewnić, że sygnały dotyczące pracy Banku są przez nas szczegółowo analizowane, a wszelkie uwagi stanowią cenne wskazówki służące podnoszeniu poziomu obsługi naszych Klientów.
Dodatkowo przepraszamy za napotkane niedogodności związane z zaistniałą sytuacją.

Niestety ani słowa o książkach. A nam marzy nam się, żeby Nordea w każdym ze swoich oddziałów udostępniła w poczekalni książkę dot. bezpieczeństwa komputerowego. Czy rzecznik prasowy Nordei nas czyta? Pomożecie? ;-)

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. O książkach ani słowa, ale słowo o pracowniczce. Zapewne nieźle jej się oberwie. Trochę więcej takich afer a może się ludzie nauczą.

    • Przyczyną często nie są braki w wiedzy, tylko zwykły błąd ludzki. Człowiek to nie maszyna i czasem się myli.

      Mail mający w CC 600 adresatów powinien nigdy nie wyjść za serwer pocztowy. Można to łatwo wykryć i zatrzymać. Takie wpadki to w dużej mierze wina projektu aplikacji, która te maile rozsyła.

    • Wiem, że to błąd ludzki. Sam też popełniałem w pracy podobny (niezwiązany jednak z technologią a papierem i pocztą) i ponosiłem jego konsekwencje. Nie twierdzę, że pracownica powinna ponieść ogromne konsekwencje, ale jeżeli poniesie jakiekolwiek, to jestem pewnie, że w jej sekcji coś takiego już nigdy się nie powtórzy.

      A niebezpiecznik w interesie publicznym nagłaśnia takie przypadki co też zmniejsza ryzyko powtórki.

  2. A wystarczy odpowiednio skonfigurować postfix, aby nieświadomi pracownicy nie popełniali takich błędów…

    header_checks = regexp:/etc/postfix/header_checks

    w pliku /etc/postfix/header_checks

    /^To:([^@]*@){5,}/ REJECT Sorry, your message has too many recepients.
    /^Cc:([^@]*@){5,}/ REJECT Sorry, your message has too many recepients.

    • No to jeszcze przykłady dla Qmaila, Sendmaila, i paru innych serwerów … o ile oczywiście stosują Linuxa…

    • Wycofanie wiadomości jest możliwe w outlooku + serwer exchange. A więc przykład nie trafiony.

    • @Exverxes: z inboxu zdalnego odbiorcy również?

    • @stickman nietrafiony, bo problem dotyczy exchange, a nie postfixa.

    • @p: wciąż nie rozumiem w czym nawet możliwość odwołania wiadomości w Exchange może pomóc w przypadku korespodencji która zdążyła dotrzeć już do zdalnego odbiorcy (nie obsługiwanego w ramach tego samego systemu pocztowego).

    • Tym wyrażeniem regularnym złapiesz oprócz adresów mail także nazwy użytkowników a co za tym idzie nie wyślesz wiadomości nawet do jednego użytkownika jeśli jego imieniem jest: P@r@s@i@cz@k

  3. A tam się nauczą. Tę pracownicę zwolnią, a na jej miejsce przyjdzie inna, która znowu nie będzie tego wiedziała. I tak w koło macieju.

  4. “Każdy odbiorca niniejszej wiadomości otrzyma listę adresów e-mail do których ta wiadomość jest wysyłana. Czy na pewno chcesz umieścić wielu adresatów w polu CC?” – w takie ostrzeżenie powinien być wyposażony domyślnie klient poczty IMO. Problem stary jak świat a jakoś nie widać by producenci klientów pocztowych starali się coś z tym zrobić, żadnych ostrzeżeń, wyjaśnień, nic.

  5. Czy nie lepiej aby dział IT jakoś przerobił serwer poczty wychodzącej? Niech ten automatycznie dzieli wiadomość gdy liczba odbiorców > 10 i każdemu wyśle oddzielną kopię. Żadna pracownica nie mogłaby tego mechanizmu ominąć, nawet przypadkowo.

    • Pewnie, że lepiej. Niech jeszcze informatycy piszą za pracowników te e-maile, a całą resztę będzie można zwolnić, albo posadzić małpy..

  6. Tak naprawdę to jest wina kierownictwa i działu IT. Nie powinno być tak, że szeregowy pracownik sam kompiluje listę adresów klientów i wpisuje je do klienta poczty! Dlatego, że człowiek jest omylny. To powinien robić komputer! W ogóle taki mail z kilkuset adresami, zwłaszcza zewnętrznymi – wszystko jedno czy w CC czy w BCC – powinien zostać odrzucony przez serwer pocztowy, albo przynajmniej zatrzymany do wyjaśnienia.

    Jakiegolwiek maile marketingowe powinny być rozsyłane poprzez listy dystrubucyjne. Takich list może być wiele, dotyczyć różnie sprofilowanych grup klientów, według strategii marketingowej określonej przez “górę”. Do obowiązków szeregowego pracownika powinno należeć napisanie oferty odpowiedniej treści i wysłanie na JEDEN adres, związany z grupą docelową takiej oferty (np. kredyciarze-frankowcy@intranet.najlepsiejszybank.pl). Serwer sam roześle indywidualne wiadomości do klientów, adresując w TO an nie w (B)CC! Adresy email klientów mogą być przypisywane do list dystrybucyjnych w znacznej części automatycznie (według posiadanych usług, sald, obrotów, odkliknietych przez klienta ‘ptaszków’, cokolwiek), albo w razie potrzeby ręcznie w wypadku szczególnie ‘cennych’ klientów.

    • Nie zdajesz sobie sprawy kolego z realiów życia w korporacji, gdzie koszty są ciągle zbyt wysokie a pracowników ciągle zbyt mało. Dotyczy to tak IT jak i biznesu. Ludzie są przepracowani. IT jest dostatecznie zajęte zapewnieniem ciągłości działania tych wszystkich systemów i nikt tam nie ma czasu dopieszczać i edukować pracowników biznesu. Z drugiej strony pracownicy biznesu nie mają czasu użerać się z IT bo to oznacza same kłopoty (dodatkowa praca, co oznacza dodatkowy koszt). Aby wdrożyć takie rozwiązanie o którym piszesz, trzeba je zaprojektować, ustalić procedury, wyedukować pracowników i gruntownie przetestować aby nie popsuć komuś procesu biznesowego przez dodatkowe ograniczenia, zaangażować osoby z biznesu oraz przedstawicieli IT z różnych specjalności. Wydaje się proste ale niestety nie jest – wchodzimy w sferę zarządzania projektami.

    • Najsensowniejszy komentarz w tym wątku – ale od razu ciśnie się pytanie: który bank ma to zrobione w taki “idealny” sposób? Ktoś coś wie? A jeśli są banki, które robią to tak jak należy, to dlaczego Nordea tak nie miała (o wątku pieniężnym to się mogę domyślić, ale czy tylko?)
      Offtopicznie: Nordea to teraz już “prawie” PKO BP: http://www.pkobp.pl/aktualnosci/ogolnokrajowe/pko-bank-polski-ze-zgoda-knf-na-przejecie-nordea-bank-polska/
      Co prawda na razie to jest osobna spółka w grupie kapitałowej, ale za rok to już ma być jeden organizm, także pod kątem IT.

    • @Rych, jesteś w dużym błędzie. Pracuję w jednej z największych spółek informatycznych w Polsce i takie rzeczy są zaimplementowane nawet u nas, gdzie klientów, jak i pracowników, jest od groma. I nie trzeba nikogo doszkalać itp. Pojawia się nowy klient – jest przypisywany do danej grupy lub danych grup i tyle. Nowy pracownik? Nie ma problemu – należy do jakiegoś zespołu i do niego jest przypisywany. Zespół od początku jest przypisany do jakiejś grupy, itd. od szczegółu do ogółu. Chcę wysłać do danego zespołu – podaję email zespołu. Chcę wysłać do większej grupy, która ma w sobie kilka zespołów – podaję adres grupy. Wsio działa i nie ma takich problemów, jakie ostatnio wypływają…

  7. Odpowiedz nordei poraza swoim bezmyslnoscia, klepaniem standardowej odpowiedzi – bredni do ludu. Blad jest analizowany, sztab hakierow siedzi nam nim od 48h bez sekundy przerwy. Wszystko dla waszego dobra

  8. Co ciekawe, chyba szybko zorientowała się, że popełniła wpadkę, bo chwilę później “zaspamowała” odbiorców raz jeszcze, tym razem komunikatem o “odwołaniu poprzedniej wiadomości” (który zapewne wygenerował jakiś wewnętrzny CRM).

    Ten wewnętrzny CRM to Microsoft Exchange :D

  9. ostatnio na trojmiasto.pl nordea IT sie chwalila nowym naborem do IT. sa juz pierwsze efekty.

  10. Za dużo wymagacie od nordei. Taka sytuacja:
    Mam u nich kredyt w euro, z kredytem powiązane w sumie 4 rachunki: do spłaty w pln, do spłaty w euro, ROR a czwarty nie wiem po co. Jeżeli płacę z nordeowego ROR (w zł) na nordeowy rachunek do spłaty w zł, to podczas przelewu następuje przeliczenie i kwota wpłacona przelicza się na euro: w ułatwieniu ~500zł pojawia się jako ~120euro. Na rachunku w zł, z którego płaciłem, pojawia się blokada na… 120zł – nie, nie 500zł. Jeżeli w tym czasie do momentu faktycznego wykonania się przelewu (najbliższy elixir) na koncie, z którego wychodził przelew środki zejdą poniżej kwoty 500zł – a mogą, bo blokada jest na 120zł – to przelew naturalnie nie wykonuje się, blokada znika, a w historii nie wzmianki co się stało. A ja dostaje za 2 tygodnie pismo z informacją, że nie wpłynęła rata kredytu.
    A Wy macie jakieś wymagania co zabezpieczania postfix’a przed spamowaniem?

    • Nie tylko Nordea ma takie kwiatki. Ja miałem podobny w Multibanku. Prosta sytuacja każdy może sobie to sprawdzić: Robisz przelew, trafia on do płatności oczekujących do najbliższej sesji np 13:30. Do tego czasu możesz go usunąć ale w historii pozostaje on jako wykonany. Robisz wydruk historii przelewów wychodzących i widać go na wydruku. Że nie został wykonany dowiesz się jak wejdziesz w przelew i spróbujesz wydrukować potwierdzenie to się nie da bo nie ma przycisku drukuj. Zgłaszałem problem ale już minął rok i nic z tym nie zrobili. Najwyraźniej tak ma być.

  11. Kilka miesiecy temu bylem u nich na interview – rozmowa przebiegala w atmosferze kpin, podwazania doswiadczenia i okazywania braku szacunku. Tzw. szefowie nie raczyli nawet poinformowac o czymkolwiek – minelo pare tygodni i nic.
    Dla porownania – pare tygodni pozniej inna rozmowa, z firma zagraniczna, przebiegla w atmosferze wzajemnego poszanowania i uznania a odpowiedz dostalem nastepnego dnia.
    Przy okazji – Nordea laczy sie z PKO BP niedlugo.

  12. “sygnały dotyczące pracy Banku są przez nas szczegółowo analizowane”

    Już widzę, jak jakiś krawaciarz siedzi i analizuje dlaczego pani Małgorzata wysyła maile z outlooka waląc byki techniczne.

  13. coz, jezeli nie zakupia ksiazek, to wypadaloby skierowac sprawe do sadu, wteyd przy kolejnej wpadce bedzie miala kazda kolejna firma jasny wybor sad i odszkodowanie XXX lub ksiazki za YY :)

  14. “W odpowiedzi chcielibyśmy poinformować, iż poniższa wiadomość została przekazana do Pracownika odpowiedzialnego za poniższą sytuację.”
    Może poniedziałek z prawnikiem: Gdzie leży granica w odpowiedzialności za nieumiejętne wysłanie tego typu maila do klientów? Czy są dozwolone prawnie regulacje wewnętrzne (regulaminy pracy, obsługi stanowiska komputerowego, itp), które umożliwiają przeniesienie odpowiedzialności materialnej/innej za taki wybryk/błąd? Czy pracodawca musi odpowiedzieć prawnie za tego typu maila, czy może skierować to pracownikowi jako sprawę do rozwiązania, tak jak to zrobiła Nordea? Wszak sprawę czytelnik skierował przeciw bankowi, którego pracownik wysłał maila, a nie personalnie pracownikowi?

  15. Przepraszamy wszystkie osoby, do których trafiła błędnie wysłana korespondencja. Bezpieczeństwo danych Klientów jest dla nas najwyższym priorytetem. Dołożymy wszelkich starań, aby podobne sytuacje nie miały miejsca w przyszłości. Pracownik, który popełnił błąd został ponownie przeszkolony w zakresie standardów jakości obsługi w naszym banku.
    Nordea Bank Polska

  16. Emaile wysłane z *@ckubialystok.pl również zawierają email w polu CC/DW, zamiast BCC/UDW. :P

  17. […] wskazuje na to, że Nordea, chociaż zapoznała się z naszym poprzednim artykułem na jej temat, to nie wyciągnęła […]

  18. Dzisiaj kolejna wtopa od Nordei, tym razem jeden z gdańskich oddziałów CC-nął do 70 osób maila po czym od razu próbował go wycofać (jak w artykule) a po prawie 5 godzinach jeszcze takie coś podesłał:

    Uprzejmie przepraszamy wszystkich, do których trafiła błędnie wysłana korespondencja. Podjęliśmy działania, aby podobne sytuacje nie miały już miejsca w przyszłości. Zaistniałe zdarzenie nie jest zgodne ze standardami postępowania w naszym banku i będzie szczegółowo wyjaśniane. Jako instytucja finansowa dokładamy starań, aby nasi pracownicy przechodzili stosowne szkolenia z zakresu ochrony informacji przetwarzanych przez Bank. Wszystko wskazuje na to, że był to błąd pracownika i rozpoczęliśmy już wdrażanie rozwiązań systemowych, aby wyeliminować wystąpienie podobnych incydentów w przyszłości.

    W związku z ujawnieniem listy adresatów w przesłanej wcześniej wiadomości, stali się Państwo w posiadaniu danych, które objęte są ochroną. Prosimy o ich niezwłoczne usunięcie ze skrzynek pocztowych. Przepraszamy za powstałe w wyniku tej sytuacji utrudnienia.

    Nordea Bank Polska

  19. […] dni temu informowaliśmy o tym, że Nordea ujawniła e-maile 600 klientów — ktoś umieścił ich adresy w nagłówku TO zamiast BCC. Na nasz apel o kupno książek z […]

  20. Co to za jakieś durne pisanie, że komuś się mażą książki… Przemyśl zanim coś napiszesz.

    Ktoś, prawdopodobnie z niewielkim stażem popełnił grubszy błąd. I co z tego? Każdemu się zdarzyło albo zdarzy, ludzka rzecz.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.