21:52
24/8/2020

Wygląda na to, że mBank zaliczył dziś kolejną wpadkę. O ile poprzednia była dość zabawna i raczej nieszkodliwa (poza sparaliżowaniem na długą chwilę serwerów banku) to obecny problem już jest z gatunku tych jeżących włosy na głowie. I dział PR banku wiele tu nie załagodzi…

Jeden z naszych Czytelników, przesłał nam dziś taką wiadomość:

Dzisiaj założyłem swoje pierwsze konto w mBanku. Już podczas zakładania okazało się że w ich bazie widnieje już nr mojego dowodu jako właściciela subkonta mimo że nie miałem z nimi do tej pory do czynienia a właściciel konta jest mi obcy. Następnie [kiedy] założono mi konto [okazało się że] mój nr tel został przypisany do innej osoby która dostała powiadomienie że jej numer został zmieniony na mój, ja w międzyczasie otrzymałem SMS z hasłami do realizacji transakcji (…) były to hasła tej osoby.

Szczęśliwie, osoba której mBank podmienił numer telefonu na numer telefonu naszego Czytelnika, nazwijmy ją osobą X — jak i nasz Czytelnik — okazali się być uczciwymi ludźmi. Skontaktowali się telefonicznie ze sobą i powiadomili mBank o problemie …a bank zablokował tymczasowo oba konta, tłumacząc się problemami technicznymi”.

Nasz Czytelnik spróbował jednak zrobić coś jeszcze — uruchomił aplikację mBanku i tam, co jeszcze bardziej przerażające, zalogowało go na konto osoby X. Nasz Czytelnik mógł przeglądać historię rachunku osoby X i wypłacać cudze pieniądze, ale — ze względu na specyfikę błędu, dane w profilu nie należały do osoby X, a do niego.


Wygląda więc na to, że rachunek osoby X (starego klienta mBanku) był nadpisywany danymi nowego, świeżego klienta mBanku, który dopiero co założył konto.

Co na to mBank?

Zapytaliśmy mBank ile osób było dotkniętych tym problemem, z czego on wynikał i czy da się jakoś określić nowych klientów, których błąd dotknął. Być może pewną wskazówką będzie to, że wszystkie znane nam przypadki dotyczą kont zakładanych przez przedstawicieli mBanku (co można zrobić podczas wizyty w siedzibie mBanku). Problem może więc być związany z wewnętrznymi aplikacjami banku, z których korzystają przedstawiciele w oddziałach i — jeśli wczytać się w to co napisał nasz Czytelnik — mógł nastąpić jakiś błąd porównywania numerów dowodów, które bank zapewne traktuje jako tzw. unikatowe klucze w bazie lub po prostu “przekręcił” się inny identyfikator użytkownika.

Powodów, z których system robił “update” zamiast “insert” na bazie klientów mogą być dziesiątki — ciekawi byliśmy wyjaśnień banku, ale jedyne co otrzymaliśmy w odpowiedzi na nasze pytania to:

Na skutek błędu niewielka grupa klientów mogła zobaczyć informacje dotyczące innych osób. Ze względów bezpieczeństwa natychmiast ograniczyliśmy dostęp do serwisu. Pieniądze klientów są bezpieczne. Z każdą z osób, której ten problem dotyczy kontaktujemy się indywidualnie. Podjęliśmy wszystkie kroki, jakich wymaga od nas prawo, interes i bezpieczeństwo klientów. Bardzo serdecznie przepraszamy wszystkich klientów, których ten problem dotknął.

Czy incydent wprowadzony na produkcję został dzisiejszymi pracami mBanku, o których bank informował na Facebooku, a które zakończyły się rano? Może to one wprowadziły błąd do aplikacji bankowych:

Mam konto w mBanku, co robić, jak żyć?

Jeśli Twoje konto nie jest zablokowane i nie otrzymałeś SMS o zmianie numeru telefonu przypisanego do rachunku, to raczej nie jesteś w gronie “szczęśliwców”, których dane zostały nadpisane. Mimo wszystko rzuć lepiej okiem na swoje saldo w mBanku i sprawdź czy wszystko jest OK.

Na marginesie, mamy tu w tle dobry przykład tego, jak przydatna jest funkcja informująca o zmianie numeru telefonu przypisanego do rachunku, którą mBank zaimplementował dużo wcześniej, aby powiadamiać klientów o być może niechcianej akcji.

Problem nie wygląda na taki, który dotknął wielu klientów. Na wspomnianym wcześniej fanpage mBanku na Facebooku znaleźliśmy jednak jedną osobę, która publicznie narzekała na “przejęcie” konta pod postem o “przerwie technicznej”:

Sprawdź więc, czy Twoje dane w profilu konta mBankowego są poprawne. A jeśli jesteś jedną z osób, która dziś została objęta tym błędem, napisz na redakcja@niebezpiecznik.pl; mamy do Ciebie kilka pytań.

PS. Jeśli chcecie zabezpieczyć swoje konta (nie tylko te bankowe) przed nieautoryzowanym dostępem innych, to zapraszamy do zobaczenia naszego darmowego, 1,5h wykładu pt. “Zabezpieczanie kont“, o tym jak się za to zabrać. Chociaż wskazówki z tego wykładu nie ustrzegą Was przed “pomyłką pracownika”, to mogą pomóc szybciej ją wykryć lub ograniczą jej skutki. Warto się też z nimi zapoznać, bo całkowicie rozprawiają się z innymi, zdecydowanie powszechniejszymi atakami na Wasze konta w serwisach internetowych, którymi codziennie jesteście atakowani.

Aktualizacja 24.08.2020, 23:46
Napisały do nas kolejne osoby dotknięte tym problemem. Oto relacja Czytelnika, który wciąż jest odcięty od swojego konta, widział dane osobowe innego klienta i wygląda na to, że płacił swoją kartą na jego saldo.

Ok. godziny 13:40 dostałem SMSa informującego o zmianie numeru telefonu przypisanego do konta. Po zalogowaniu do aplikacji mobilnej zauważyłem, że pomimo, iż stan konta nie uległ zmianie, to właścicielem rachunku jak i kart do niego przypisanych jest pan Jakub. Dodatkowo miałem pełny wgląd do danych pana Jakuba – numer i data ważności dowodu osobistego, adres zameldowania i zamieszkania.
Po zgłoszeniu problemu i 15-minutowej rozmowie z konsultantką mLinii musiałem wrócić do pracy, zaś miła pani stwierdziła, że nie może zrobić nic więcej jak tylko zgłosić sprawę do działu bezpieczeństwa informując, iż ktoś “od nich” będzie się jeszcze odzywał. Po 2 godzinach wykonałam kolejny telefon, lecz tym razem inna pani kazała mi udać się do oddziału, gdyż nie może mi pomóc – moje imię i nazwisko nie zgadza się z imieniem i nazwiskiem posiadacza rachunku.
Gdy wyruszyłem do oddziału (godzina 17:10) moja karta wciąż była aktywna – udało mi się zakupić bilet autobusowy, lecz transakcja nie została odzwierciedlona w historii transakcji w aplikacji. W oddziale nie dowiedziałem się wiele – ponownie pani nie mogła mi pomóc, gdyż nie byłem posiadaczem rachunku – ponownie prośba na oczekiwanie na kontakt z działu bezpieczeństwa (tu zaproponowałem pani, żeby na wszelki wypadek zapisała mój numer, gdyż mój jest już pewnie nadpisany w bazie mBanku :) )
Na godzinę 23:30 nie jestem wciąż w stanie wykonać żadnej operacji, środki na koncie są zablokowane, a telefon milczy.

A więc podsumujmy. Błąd powodował nadpisanie w bazie mBanku danych “starego klienta” danymi “nowego klienta”. Nowy klient miał dostęp do pieniędzy i historii konta starego klienta. Za to stary klient widział dane osobowe nowego klienta i chociaż wiedział, że coś jest nie tak, to nie mógł tego zgłosić do mBanku, bo “jego dane nie zgadzały się z danymi właściciela rachunku” na skutek nadpisania, a więc pracownicy nie mogli mu pomóc. Taki trochę paragraf 22…


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

108 komentarzy

Dodaj komentarz
  1. hmm, używanie peseli w bazie danych to dobra praktyka? Czy przypadkiem nie istnieje bardzo małe ryzyko tego, że ze wzlgędu na zmianę peselu osoby się pomieszają? Przeczytałem w jednej książce, że social security number nie powinno się używać jako pikeja właśnie z tego powodu.

    • PESEL jest identyfikatorem unikatowym, przynajmniej w założeniu. Są przypadki nadania paru osobom tego samego numeru, ale to są przypadki pamiętające czasy, gdy numery nadawano na kartkach, a jedynie urzędy wojewódzkie miały terminale do Jantarów (na których stał cały rejestr) i zdarzały się pomyłki w przydzielaniu pul numerów gminom.

    • Przede wszystkim: PESEL nie jest niezmienny. W przypadku urzędowej zmiany płci dostajesz nowy. Obcokrajowcy mogą, ale na ogół nie mają PESEL w ogóle. Zapisywać w bazie można, ale na pewno nie użyłbym go jako klucza głównego.

    • PESEL raz, że zawiera w sobie dane o osobie to jeszcze nie jest stały.
      Suma kontrolna też nie musi się zawsze zgadzać to znaczy prawdziwy pesel z czyjegoś dowodu nie musi zawsze pasować do formatu pesel.
      Używanie czegoś takiego jako id w bazie to jest słaby pomysł

    • Marek, bardzo trafne spostrzeżenia – wielkie dzięki :)
      sorki za niefrasobliwość – polecasz w szczególności jakąś literature a propos baz danych? :D

    • Obcokrajowcy o ile kojarzę mogą wypełniać PESEL wpisując w ostatnie pięć pół 0 czyli np. 90020300000 – to sprawia, że kolizje są całkiem prawdopodobne :)

    • Trochę zajmuje się również i takimi problemami (także jako programista) i jakoś tak od dawna podzielam przekonanie żeby nigdy nie używać danych typu PESEL czy tp. jako główne klucze /identyfikatory rekordów/zasobów w bazach danych/aplikacjach z nimi powiązanych … ;)Zupełnie dobrze można ich używać jako wartości pól ale nie klucze. Wtedy uniknie się różnych takich kombinacji jak np. w przypadku jakiejś casualowej zmiany takiego numeru czy błędów. Lepiej na zimne dmuchać “niż potem gasić pożar” .

    • > Obcokrajowcy o ile kojarzę mogą wypełniać PESEL wpisując w ostatnie pięć pół 0 czyli np. 90020300000 – to sprawia, że kolizje są całkiem prawdopodobne :)

      Wtedy to już nie jest numer PESEL, tylko peselopodobny numer który przepuszczają niektóre systemy, oparte właśnie na PESEL-u, a te “peselopodobne” dopuszczają w wypadku cudzoziemców.

      A już całkiem oficjalnie generuje “sztuczne PESEL-e” system rekrutacji na Uniwersytet Warszawski dla cudzoziemców.

      W ogóle PESEL i inne niezmienialne numery to zło, bo w wypadku wycieku nic się nie da zrobić. Powinny zostać zniesione.

    • >Marek, bardzo trafne spostrzeżenia – wielkie dzięki :)
      >sorki za niefrasobliwość – polecasz w szczególności
      >jakąś literature a propos baz danych? :D

      Dołączam się do prośby.

    • Używanie peselu to kiepski pomysł – nie chodzi nawet o możliwość kolizji (choć nie powinny wystąpić) ale o ew. wycieki. Pesel co najwyżej powinien być jako skrót. W ostateczności w oddzielnym zestawie danych pod spec-nadzorem, nie byłby środkiem identyfikacji ale celem – właściwą daną chronioną. Tyle, że pewnie wyciekłby z innego źródła niż bank…

  2. Kolejna wpadka, tym razem groźna, moim zdaniem dyskwalifikuje ten bank, bo widać, że pracują tam niepoważni ludzie. Ciekawe w jaki “genialny” sposób odniesie się do tego dział marketingu (czy w ogóle) i czy ktoś będzie to naśladował :D

  3. Kilka lat temu logując się na moje własne konto MBnak zobaczyłem cudze dane osoby z innego miasta oraz fakt, że ma kredyt mieszkaniowy i inne.
    Wylogowałem się przestraszony, ale postanowiłem to zgłosić. Zgłosiłem. Godzinę później, po konsultacji z zaprzyjaźnionym prawnikiem zalogowałem się ponownie i zobaczyłem własne dane. Odpowiedzi od banku nie dostałem do dzisiaj… minęło kilka lat. Coś często słyszymy o Mbnaku. Znikające rachunki, nadpisywanie danych, dodawanie współwłaścicieli, podgląd cudzych rachunków. Warto zweryfikować kto pracuje nad systemami informatycznymi takich usługodawców, może ludzie bez kwalifikacji i wykształcenia.

    • Identyczną sytuację miałem kiedyś w Nordei. Po zalogowaniu widziałem dane innej osoby, mogłem przeglądać wszystkie informacje. Osoba była realna, a nie jak sugerowała konsultantka, że zalogowałem się na konto demonstracyjne. W końcu zgłoszenie problemu przyjęli ale tylko dlatego że sie uparłem. Potem dostałem informację że wystapił problem techniczny i podziękowali za zgłoszenie.

  4. Na szczęście “u mnie działa” :D
    Ale patrząc na poprzednią i obecną wpadkę, można podejrzewać że testowanie systemu nie jest jednak mocną stroną w mBanku.
    Ciekawe czy to robi mBank czy dla nich jakaś firma zewnętrzna z ludźmi nie do końca wiedzącymi co robią.

    • Firma zewnętrzna i to niejedna. W innych bankach jest tak samo.

  5. Ja mam problem z dostępem do aliorbanku. Do weba zalogować się nie można, a aplikacja po aktualizacji na telefonie się deaktywowała….

  6. Mam konto w mBanku i od godz. 21 dnia 23.08.2020 do godz. 18 dnia 24.08.2020 wyskakiwała mi prośba o wpisanie kodu SMS podczas logowania się do konta przez stronę WWW. Teraz już nie ma tego problemu.

    • Sporo takich komentarzy widzę na fejsbukach i wykopach.
      Problemem są adbloki które blokują fingerprint, trzeba zrobić wyjątek dla: online.mbank.pl/venezia/fingerprint.js

  7. Jezeli to taka powazna wpadka to czy stwierdzono ze klient ktory zobaczyl saldo innego klienta mogl wyczytyac z tych danych do kogo to saldo nalezy? Podejrzewam ze nie. Pewnie nawet w historii rachunku dane konta obciazanego byly juz na tego nowego klienta. Dolglebna analiza tytulow platnosci i odbiorcow przelewow MOZE pozwolilaby na odkrycie realnego wlasciciela tych srodkow. Biorac dodatkowo pod uwage ze pewnie byly to osoby niepowiazane, trudno mowic tu o powaznych konsekwencjach. No chyba ze jednak widzial te dane, ale z artykulu to nie wynika :)

    • W komentarzach na FB mBanku są osoby które mówią wprost, że znalazły tego “nowego właściciela” i się z nim skontaktowały, albo to ten nowy właściciel kontaktował się z nimi.

    • Nie bylo to trudne, skoro widzieli jego dane i numer telefonu otrzymali w SMS

  8. Konsekwencją jest to, że można było wypłacić kasę z cudzego rachunku, czyli kogoś okraść.

    • Ale okraść kogoś czy bank, bo tego do końca nie rozumiem. Chyba bank odpowiada za swoje błędy nie wynikające z winy klienta? Chyba?

    • Jeśli osoba A ma z winy banku dostęp do konta osoby B i wypłaca z niego środki, to osoba B ma roszczenie wobec banku, a bank ma roszczenie do osoby A. Ponadto osoba A może odpowiadać karnie za przywłaszczenie jeśli uda się wykazać, że mogła się zorientować.

    • A jaki jest paragraf na bank który odcina klienta od pieniędzy? Dlaczego w jakikolwiek sposób osoba A ma odpowiadać karnie, nawet jeśli się zorientowała? Skąd ma brać środki do życia i płacić za zobowiązania? Jeżeli w takiej sytuacji osoba A może odpowiadać za coś karnie to prawo mamy do dupy i to my jesteśmy krajem 3-go świata. Przyczyna i skutek. Jeśli nie byłoby awarii w banku, osoba A nikogo by nie okradła. Proste.

  9. KNF zapewne wyjasni ta sprawe. Bedzie to sporo kosztowalo… Tak sie konczy “agile” i dopychanie projektow “kolanem”.

    Byc moze nawet ktos na wysokim stolku sie zmieni.

    Z pewnowcia jakas grupa klientow odejdzie. Nie dziwie sie…

    • Ostatnio kilka nowych rekrutacji w mBanku ruszyło. Wśród nich “Lider Zespołu IT”.
      Pewnie od jakiegoś czasu bezkrólewie panuje i się chłopcy bawią.

    • +1 do tekstu “tak sie konczy agile” :-D
      smichy chichy ale to oddaje istote sprawy, zwlaszcza w banku.

    • Agile, dovops, wietrzna beta testowana przez klientów. Zastępowanie aplikacji przez strony internetowe. Bo Google i Facebook tak robią i są popularne to musi to być dobre rozwiązanie.

    • Korekta – tak się kończy naginanie agile do własnych biznesowych celów. Czyli słynne “almost done”. Widywałem to nie raz i nie dwa w trakcie swojej kariery. “Bo to ma szybko być”, “Bo klient bardzo potrzebuje”… Często się “udaje” i to rozzuchwala ludzi, a potem w końcu walnie i dzieją się takie rzeczy jak powyżej. Definition of Done jest jasne, albo jest done albo nie jest done. Jeśli w DoD jest zapisany coverage 90%, to jak go nie ma to nie ma prawa wejść na produkcję mimo że “to tylko głupie testy automatyczne”. Jeśli tester nie zdążył przetestować – nie ma prawa wejść na produkcję mimo że “przecież mamy testy automatyczne”… Ale wtedy czasem przychodzi “garniturek” do przełożonego IT i “wymusza” wdrożenie. A potem odpowiedzialności nie ma komu brać. Im większe korpo, tym więcej do powiedzenia mają jakieś “garniturki” nie związane z zespołem.

  10. Ja dzisiaj jedyną nieprawidłowość miałem podczas logowania się 4 razy przez stronę http://www.mbank.pl
    Za każdym razem musiałem potwierdzać logowanie dodatkowo w aplikacji mobilnej mimo iż wcześniej tego nie robiłem.
    Ale innych błędów nie zauważyłem.

    • Podobny przypadek. Logowałem się jakby 3 razy za każdym razem potwierdzając na aplikacji…

    • Wyłącz AdBlocka (lub coś podobnego) na stronach mBanku. Wygląda na to, że blokują nieco za dużo i to powoduje problemy.

  11. Prawda jest taka, że bank nie ma pojęcia co się odjebało… Ale jest jedno pewne … cały czas mówili w działach IT “nie ma ludzi niezastąpionych”.. i zastąpili speców.. dziećmi z uczelni.. to już TRZECI ICH WYBRYK… to już nokaut…

    1. udostępnianie jawne danych osobowych i sald klientów za pośrednictwem GMIUS…
    2. aplikacja myląca klientów .. i dająca dostępy do kont innych klientów.. bo się aktualizacja nie udała
    3. teraz to.. (bo awaria z SMS.. była przynajmniej śmieszna i mało szkodliwa, ale 3 pozostałe…) zastanawia mnie co robią opierdalacze z KNF.. bo jak jest w pytę roboty to się potrafią godzinami przypierdalać, a jak muszą zareagować to wody w usta i bulbul tonę..

    dla mnie to jest nokaut, bank powinien dostać nadzór, a dział it powinien zostać mocno zrewidowany

    • Moim zdaniem mBank powinien dostać nadzór i zarząd komisaryczny. W tym wypadku KNF ma okazję pokazać swoją siłę, póki zarząd mBanku nie opuści kraju (ze względów rodzinnych i z powodu pandemii koronawirusa nie jest to łatwe na zawołanie, ale trzeba zakładać taki scenariusz), choć w razie czego nawet zza granicy się ich przywiezie wbrew woli, czyli podda ekstradycji. Może nawet lepiej mBank znacjonalizować, bo w obecnym stanie następna awaria już zupełnie oczyści klientów ze zgromadzonych środków a wieloletni klienci mogą usłyszeć, że nigdy nimi nie byli, bo doszło do nadpisania danych. Od tego jest KNF, żeby stanowczo zajął się tematem. Zarząd komisaryczny jak nic. Tu nie ma sensu negocjowanie z mBankiem, bo trzeba go przymusowo naprawić, żeby z mBanku cokolwiek jeszcze było nadającego się do w miarę bezpiecznego powierzenia swoich środków

    • Takie czasy. Do niedawna pracowałem w Londynie w banku inwestycyjnym. W czerwcu zastąpili mnie gościem z Węgier z półtorarocznym doświadczeniem.

    • @Paweł Nyczaj. Dwa lata temu brytyjski bank TSB został kupiony przez Sabadell Group od Lloyds Group. Po migracji z jednej platformy na drugą prawie 2 miliony klientów na tydzień straciło dostęp do konta. Przez kolejny miesiąc były znaczne problemy z płatnościami online, często ludzie mieli dostęp do nieswojego konta i wypłacali z niego pieniądze. Minęły cztery miesiące zanim wszystko wróciło do normy. W między czasie wiele osób nie było w stanie zapłacić kilku rat kredytów przez co mieli problemy. Skończyło się na tym, że CEO podał się do dymisji. Kary nie zapłacili, bank działa nadal a klienci się z niego nie wynieśli. Kilka miesięcy po tej porażce mieli kolejną wpadkę gdy przelewy do TSB znikały po drodze. Po kilku dniach pieniądze się znalazły. Klienci nadal nie rezygnują z tego banku.

  12. Było już kilka takich orzeczeń (chyba nawet SN) opartych na prawie bankowym, z którego wynika że właścicielem pieniędzy zdeponowanych na koncie bankowym jest bank, a klient który te środki zdeponował jest ich dysponentem.
    Orzeczenia dotyczyły zazwyczaj różnych wyłudzeń i pomyłek i to zawsze bank musiał udowodnić że właściwy dysponent wydał np. polecenie przelewu.
    Problem jak zwykle jest taki, że wg systemów i procedur bankowych autoryzacja jest zawsze prawidłowa, ale to przecież dowód przez założenie tezy.

  13. A ja narzekałem zawsze na zacofane Inteligo – bo interfejs sprzed dekady itp. itd., a tu się okazuje, że niby ekstra hiper nowoczesny mBank takie wpadki zalicza… W obu bankach mam konta, mBank to moje główne, ale naprawdę ostatnio coś tam nie gra.

    • W Inteligo mam konto od 2006 roku i nic mnie tak nie cieszy jak jego archaiczny interfejs użytkownika. Animacje czy doczytywanie danych ajax’em są czasami fajne, ale nie w banku. Ponadto nie pamiętam żadnej awarii! Nic mnie tak nie wkur*ia w bankach, jak ociężałe interfejsy użytkownika i piekielne animacje tracące czas i marnujące nerwy. Niech żyje prostota :)

    • Nawet nie wiecie jak płakałem, gdy mBank zmienił swój pierwszy interfejs. A potem, gdy zrobił to po raz kolejny. Do dziś nie umiem się odnaleźć w tym nowym. Założę się, że jeszcze trochę i dodadzą logowanie pejsbukiem.

      Zawsze warto mieć konto gdzieś jeszcze.

    • Pytanie: Czy takin incydent, mBank powinien zgłosić do UODO?

    • Odnośnie prostoty, to pod tym względem niepobity był oryginalny interfejs mBanku.

  14. Miarka się przebrała. Dzwoniłem w czwartek na infolinię aby się upewnić, że w galerii dominikańskiej we Wrocławiu będę mógł wpłacić kwotę powyżej 50k, bo wiedziałem, że niektóre placówki mają ograniczenia. Dostałem potwierdzenie. Przywiozłem ze sobą 150k. Pani w nieprzyjemny sposób poinformowała mnie, że ze względów bezpieczeństwa (swojego i banku) może przyjąć tylko 50k. Zostawili mnie z 100k bez żadnego wsparcia i pomocy. Drugie okienko z klientem było oddalone o max 1 metr. Także o moje bezpieczeństwo już nie zadbali. Po 18 latach czas na zmiany..

  15. @Lukasz032, jesteś pewny, że właśnie w założeniu PESEL jest unikatowy?
    Miałem kiedyś wykłady z profesorem, który projektował (nigdy nie wprowadzony) PESEL2 i nam wielokrotnie powtarzał, że kluczem głównym w tej pierwszej bazie jest para: PESEL i miejsce urodzenia.

    • Nie mam informacji z pierwszej ręki “od środka” z mBanku (jak zapewnie większość komentujących), ale nie sądzę, że PESEL jest używany jako klucz główny – po pierwszy każdy klient ma unikalny NIK, po drugie PESEL może się zmieniać, po trzecie istnieje możliwość, że ten sam PESEL jest przypisany do wielu różnych kont (np. konto indywidualne, konto firmowe, konto zmigrowane z innego banku, który został kiedyś kupiony przez mBank, etc).

    • > kluczem głównym w tej pierwszej bazie jest para: PESEL i miejsce urodzenia

      Numery PESEL i cały ten rejestr to zło, ale swoją drogą: naprawdę miejsce urodzenia jest częścią klucza?
      1) nie sposób zwalidować,
      2) w bazie PESEL są literówki
      3) są różne pisownie nazwy danego miejsca (z myślnikiem lub bez, ze spacjami wokół myślnika lub bez – tak, dopiero od kilku lat powoli jest to poprawiane!)
      4) są różne warianty dla ludzi urodzionych za granicą (polska pisownia miasta bywa różna).

  16. U mnie wygląda, że działa :)
    Ale zastanawia mnie jedna rzecz, jak to możliwe, że ktoś widział np. czyiś numer dowodu osobistego? Ja wszedłem w mój profil i widzę 2 pierwsze i 2 ostatnie znaki numeru dowodu, a jak chciałem edytować to mogłem wpisać tylko od zera, numer dowodu.

  17. Niepokojące jest to, że ludzie odbijali się od infolinii, bo nie mogli zostać zweryfikowani. Niebezpieczniku, może warto sprawdzić za kilka dni, czy mBank wypracował jakieś procedury, na taką sytuację.

  18. I właśnie to jest to co krytykowałem odnośnie wpadki z ęźąć. Dużo osób mnie krytykowało, że przesadzam. Czy aby na pewno? Krótko po tamtym wydarzeniu mamy kolejną, o wiele poważniejszą sytuację. I to już nie “wpadka” tylko potężne zaniechanie.

    Czy ktoś jeszcze uważa, że Mbanku procedury IT działają poprawnie?

    • I słusznie. Bo samo ISO 217001 którym bank się chwali wyklucza takie akcje. Mam nadzieję, że chociaż certyfikację stracą, ale za to UODO, KNF i parę innych instytycji powinno się im już ostro dobrać do d….y.
      Tylo, jak to w Polsce, nic się nie stanie :D

  19. Fajny ten mBank… taki nie za bezpieczny ;-)

  20. Z tego co wiem to obcokrajowcy jeśli podejmują pracę na UoP muszą mieć PESEL. Mój mąż dostał defaultowo jak załatwiał dokumenty pobytu stałego (obywatel UE, transfer wewnątrz firmy).

    • > Z tego co wiem to obcokrajowcy jeśli podejmują pracę na UoP muszą mieć PESEL.

      Jaka jest podstawa prawna takiego twierdzenia?

      W UoP wystarczy oznaczenie stron, PESEL nie jest potrzebny. Zgłosić do ubezpieczenia można po numerze paszportu (wszyscy cudzoziemcy) albo dowodu (UE/EFTA). PESEL znów nie jest potrzebny.

      PESEL jest nadawany cudzoziemcowi z urzędu, ale dopiero przy pierwszym zameldowaniu w Polsce (nawet czasowym).

      >Mój mąż dostał defaultowo jak załatwiał dokumenty pobytu stałego (obywatel UE, transfer wewnątrz firmy).

      Pobyt stały to jest dopiero po pięciu latach jeśli na podstawie obywatelstwa unijnego. Jeśli na podstawie małżeństwa z obywatelką polską, to szybciej (chyba dwa lata).

  21. Dziś przez ok 2 godziny nie działały płatności w usłudzie PlanetPay firmy ITCard. Nomem omen firmy która ma związek z mBank-iem. Przypadek?

    • Jak już to ITCard ma związek z BPS (właścwie to był kiedyś można powiedziec jeden z działów IT w BPS)

    • ITCard to jest raczej związany z BPS a przynajmniej historycznie.

  22. Błąd jak błąd, ale dla mnie zaskakująca jest ospała reakcja na infolinii. Powinni być wyuczeni w taki sposób aby wykrywać pewne schematy. Czyli widać, że jest potencjalny wyciek danych i taki ktoś zgłasza od razu sprawę do działu bezpieczeństwa.

  23. […] Niebezpiecznik.pl opisał przypadek klienta, który po założeniu rachunku w mBanku otrzymał dostęp do konta innego klienta banku. Użytkownik mógł sprawdzić saldo i przeglądać historię rachunku. […]

  24. Na koncie na razie jest w porządku, od wczoraj nie mogę wejść w sekcję ustawień (nastąpił błąd podczas pobierania zasobów…. naciśnij ctrl+f5 by spróbować jeszcze raz…) i prosi o kod z sms-a przy logowaniu pomimo ustawienia jednej przeglądarki jako zaufanej.

  25. Warto mieć 2 konta w 2 różnych bankach i 2 karty w 2 różnych organizacjach. A tak w ogóle to warto mieć gotówkę.

    • > tak w ogóle to warto mieć gotówkę

      Otóż to.

      Mieszkam w Polsce. Od 8 lat nie skorzystałem z konta bankowego. Pracuję, zarabiam, nie mam żadnych problemów z tym związanych.

      Nie życzę sobie, żeby bank wiedział gdzie i na co wydaję pieniądze. Nie mam nic do ukrycia. Do pokazania też nie. Moje życie, moja sprawa.

    • @Andrzej

      Rozumiem trochę obiekcje Kolegi. Sam mam je również, choć może nie podchodzę do sprawy tak radykalnie. Raczej staram się płynnie i kreatywnie ;) łączyć używanie gotówki z inteligentnym używaniem bankowości także elektronicznej i kart kredytowych. Dlaczego użyłem terminu “inteligentnym” ? Bo chodzi o tzw. świadome używanie (świadoma decyzja użycia) pewnych typów usług – czyli o posiadanie wiedzy i świadomości z czym wiąże się użycie tego czy innego mechanizmu . Np. z transmisją danych (jakich?) tam (gdzie?), albo gdzieś indziej. I potem mając taką świadomość można decydować się na to czy
      – bardziej zależy mi na wygodzie i wykorzystaniu technologii tak żeby mi ułatwiała życie i codzienne sprawy za cenę pewnej (ale konkretnej) utraty części prywatności
      – czy akurat w pewnych sprawach (np. osobistych) zależy mi na zachowaniu maksymalnego poziomu prywatności – i wtedy najprawdopodobniej nie dokonam tego czy innego zakupu w żaden z dostępnych sposobów elektronicznych.

      To dość prosta kalkulacja. Coś za coś. Warto tylko wiedzieć na początku konkretnie co się traci a co zyskuje. I potem , przemyślawszy sobie “za i przeciw” podjąć odpowiednią decyzję :)
      trochę przypomina mi to – równie prostą (choć niektórzy twierdzą że to rzecz z kategorii “wysublimowanego know-how”) analizę ryzyka operacyjnego czy w szczególności wyznaczania właściwego poziomu bezpieczeństwa (np. serwerów, usług, infrastruktury) w stosunku do ceny jaką trzeba ponieść za uzyskanie konkretnego poziomu takiego bezpieczeństwa.
      Zarówno w jednym jak i drugim przypadku – rzecz sprowadza się do dobrej analizy zysków i strat i podejmowania w oparciu o nią decyzji. Oraz oczywiście wymaga wiedzy o możliwych zagrożeniach (a czasem o ich unikaniu…)

      Pozdrawiam

  26. mbank jest dla twardzieli, takich co to bekapów nie robią, maseczek nie ubierają, jedzą owies i banany

    • A w co ubierać maseczki? W czapkę i szalik? ;]

  27. A tu co to jest

    http://mbank.westeurope.cloudapp.azure.com/

  28. Nie bardzo rozumiem. Przychodzę do banku z umową na rachunek są podane dane, nr konta pracownik to sprawdza i twierdzi, że co? nie jestem właścielem konta bo są tam inne dane? Ciekawe czy jakby podmieniło dane z kredytem hipotecznym na 500 tyś czy też by tak twierdzili, że nagle nie jestem klientem. Nic tylko dzwonić po policję i zgłaszać kradzież skoro ma się umowę z bankiem a bank coś spierniczył i teraz umywa ręce a Ty masz czekać na kontakt łaskawie.

  29. Próbowałem kiedyś porozmawiać z kimś od bezpieczeństwa w mBanku jak zabezpieczyć się przed simswapem itp. Innymi bardziej wyrafinowanymi atakami. Powiem krótko ze mieli mnie w mPupie i jedyne co po kilku dłuższych rozmowach usłyszałem to żeby aktualizować antywirusa. Wkurzyli mnie. Bo problem realny a postawa socjalistyczna. Kreują się na nowoczesnych i bezpiecznych ale bez współpracy z klientem nie będzie dobrych rozwiązań. Czy Pan Prezes Stypulkowski moglby się tym zainteresować? Naprawdę ważny temat.

  30. Pytanie: Czy taki incydent, mBank powinien zgłosić do UODO?

  31. > Od 8 lat nie skorzystałem z konta bankowego.

    Jak rozumiem rachunki za prąd,gaz itd. płacisz na poczcie?

    • Płacę gotówką dostawcy usług. U wielu operatorów to nadal możliwe.

      A tam gdzie niemożliwe, to tak, płacę na poczcie. 3,50 zł raz na dwa miesiące to bardzo niewielka opłata. A zresztą nawet gdyby była wyższa, to i tak nie zamierzam bankom udostępniać moich danych osobowych i finansowych. Już wystarczy tej inwigilacji (rządowej i ze strony prywatnych firm), która i bez tego nas otacza.

      I nie, nie jestem rolnikiem ani emerytem. W dodatku pracuję w IT. Pracodawca, zgrzytając zębami, musi wypłacać mi pensję w gotówce do ręki.

    • @Andrzej

      Czyli udostępniasz dane Poczcie Polskiej

    • @stukot

      Na poczcie można zapłacić nie podając swoich danych (albo inaczej – podając nie swoje . Nikt tego nie sprawdza) . Zresztą wykonując przelew również tak zrobić można – np. jak się płaci z nie swojego konta (nie zarejestrowanego na siebie) do którego posiada się tylko pełnomocnictwa. To tak gwoli rozważań o różnych możliwościach.

    • @stukot-upd (update):

      W (niektórych) sieciach handlowych również można płacić rachunki nie podając ŻADNYCH danych osobowych . Przykład w takim Carr podchodzisz sobie do kasy przy okazji robienia zakupów wyciągasz kwitek rachunku i mówisz miłej Pani w kasie :) że chcesz za niego przy okazji zapłacić . Oczywiście płacisz gotówką !! (a nie żadną karta abonamentowa, upominkową, kredytową czy ‘jaką-by-kolwiek-nie-była’. Gotóweczką . :)
      Np. pobraną kilka godzin wcześniej z losowego bankomatu po drugiej stronie miasta z którego wcale często nie korzystasz – oczywiście w obowiązkowej w dzisiejszych czasach maseczce (najlepiej zakrywającej od razu 2/3 twarzy …te istotne 2/3 ;P ) (to dla paranoików, albo ‘ludzi w potrzebie’ :) )

      Dla prawdziwych paranoików – można dodać – obowiązkowa wycieczkę bez telefonu komórkowego i wykonanie kilkunastu przesiadek po drodze ‘do i z’ owego bankomatu włącznie z wmieszaniem się w tłum na dworcu kolejowym oraz rozmienienie po drodze pobranych banknotów w niewielkim butiku/budce z obwarzankami (takie budki nie mają monitoringu najczęściej) bo gdzieś na kamerze z bankomatu moły zaszwędac się kolejne numery banknotów kiedy je przeliczaliśmy …. ;P xD
      Wszystko wedle gustu i zapotrzebowań :)

      Ale wracając do meritum – tak, w dzisiejszych czasach można całkiem spokojnie płacić wszystkie rachunki nie podając żadnych danych osobowych przy tym .
      może i Wielki Brat Was/Nas obserwuje, ale tez i nie wszystko widzi i nie wszystko nawet ma ochotę oglądać , a poza tym , o ile nie popełniacie właśnie jakiegoś poważnego przestępstwa , to sie Wami służby na pewno nie zainteresują na tyle, żeby wykreślać trasę waszej podróży po logowaniu się do BTSów waszego phona czy na podstawie nagrań z kamer monitoringu miejskiego . Chodzi tutaj (Koledze Andrzejowi) jak mniemam o rzecz znacznie prostszą, czyli o nie pozostawianie zbyt wielu śladów dla (natrętnych nieraz) firm reklamowych, niepożądanej konkurencji i/albo potencjalnych złodziei którzy chcieli by poznać stan Waszego konta zanim zabiorą się do jego obrobienia :)

      Pozdrawiam

    • @stukot, markoff

      Można podać zmyślone dane, ważny jest tylko numer konta i tytuł przelewu.

      Ale nawet gdyby podawało się prawdziwe dane, to:

      1) Poczta nie wykorzystuje tych danych do celów marketingowych, a banki owszem,

      2) Pani w okienku na poczcie nie widzi historii moich poprzednich wpłat (nie są one wiązane w jedną całość). A pani z banku widzi.

      3) Poczta przechowuje historię wpłat przez 5 lat, a potem kasuje. A banki trzymają historię na zawsze i nic z tym nie można zrobić.

      Dlatego ostatecznie i tak wygrywa Poczta.

  32. A jak ta cała sytuacja ma się do potwierdzania tożsamości w profilu zaufanym za pomocą interfejsu banku? Czy przy tym bałaganie ktoś mógł autoryzować cudze dokumenty/wnioski itp.?

    • I to jest jeden z argumentów przeciwko – tak promowanemu przez panią Streżyńską – dostępowi “jednym kliknięciem”: błąd w banku oznacza, że ktoś nie tylko moje dane finansowe i osobowe (!) zobaczy, ale jeszcze może się uwierzytelnić w Profilu Zaufanym i zrobić mi takie kuku, że hoho…

      Nie życzę sobie, żeby przy błędzie banku “jednym kliknięciem” ktoś wchodził w mój Profil Zaufany i oglądał sobie tam:
      – moje recepty,
      – skierowania lekarskie,
      – moje dane z rejestru PESEL,
      – wszystkie moje zdjęcia do dowodów osobistych,
      etc. etc.

      Cały ten system jest zaprojektowany źle od początku do końca: “integracja rejestrów” żeby “wymieniały się ze sobą danymi” i by “obywatel miał wszystko w jednym miejscu” i żeby było “wygodnie” to jest Orwell jakiego dotąd nie było. Nie chcę takiej wygody. Nie chcę centralnych baz. Nie chcę integracji tych baz jednym kluczem (PESEL).

      Między innymi dlatego nie mam konta w żadnym banku. Cyfryzacja w naszym kraju to niskie bezpieczeństwo, niewydolne urzędy i silna inwigilacja obywateli.

    • A ja chcę taką wygodę, ale w wersji bezpiecznej.

    • @Jurek

      popieram w 100% szczególnie fragment :
      >> Cały ten system jest zaprojektowany źle
      >> od początku do końca: “integracja rejestrów”
      >> żeby “wymieniały się ze sobą danymi”
      >> i by “obywatel miał wszystko w jednym miejscu”
      >> i żeby było “wygodnie”
      >> to jest Orwell jakiego dotąd nie było.

      Niestety. Tego jesteśmy właśnie świadkami . Albo prób wprowadzenia tego. Ale to i tak już jest wiele . Ale nie należy składać broni , nie tak od razu. Trzeba się dobrze przyjrzeć wszystkim mechanizmom i ich wymogom formalnym , bo może się i tak okazać finalnie, że wiele z tych niebezpieczeństw da się stosunkowo prostymi i dostępnymi środkami ominąć/zneutralizować.

      Podam przykład:
      nie dawno – głośno było trochę o nowych e-receptach i tym ze wymusza się na obywatelu posiadanie albo telefonu komórkowego (i udostępnianie go do przesyłania e-recept) albo adresu mailowego. Chodziło o to – ze w sytuacji np. utraty telefonu/przejęcia konta mailowego – automatycznie w ręce włamywaczy/złodziei trafiają nie tylko treści naszych rozmów/maili, ale również wgląd w nasze wszystkie recepty – cyzli praktycznie całą historie chorobową .

      Przynajmniej co do tego ostatniego (e-maila) można znaleźć pewne rozwiązanie/obejście problemu. Otóż ustawodawca nie precyzuje tutaj (bo nie ma zresztą jak) jakiegoś konkretnego dostawcy poczty – a więc można podać DOWOLNY adres = dowolne konto pocztowe. W tym również takie, nad którym będziemy mieli pełną kontrolę (czyli np. zlokalizowane w ramach swojej własnej infrastruktury na swoich zasobach i jakiejś wykupionej przez siebie domenie) I teraz zyskujemy 2 rzeczy :
      1) ciężar zabezpieczenia tego konta (kont) spoczywa na nas . W szczególności możemy nie robić żadnego dostępu doń/do nich via WWW, utrzymując tylko obsługę standardowych protokołów pocztowych (czyli odpowiednio : SMTPS/SMTP + TLS (STARTTLS) oraz POP3s/imaps ) I tyle. Do odbierania /wysyłania maili korzystać będziemy z dedykowanego programu pocztowego (np. Thunderbird), którego użycie (uruchomienie) można również ohaślić (tzw. master password). Plusem jest, ze wszystkie typowe wektory ataków na pocztę – będą tutaj w zasadzie bezradne.
      Oczywiście wymaga to używania ‘porządnych’ , odp. silnych haseł do ego konta i samego serwera na którym jest obsługiwane, ale tego chyba nie musżę nikomu przypominać … :)
      2) tak przygotowane , dedykowane konto – będzie służyło JEDYNIE i TYLKO do wysyłania i gromadzenia recept /linków do recept/ kodów itp – więc nie będziemy ich musieli mieć na jakimś głównym koncie mailowym , na którego bezpieczeństwo nie mamy żadnego prawie wpływu i które po ew. przejęciu może spowodować dużo więcej szkód jeśli tam będą także lądować recepty ,skierowania itp. Nie ryzykujemy tez, podobnie jak w przypadku wielu providerów kont pocztowych – PRZEKAZYWANIA treści prywatnej korespondencji ich partnerom biznesowym , czyli praktycznie nie wiadomo komu …

      Koszty takiego rozwiązania – to jedynie ok 130 zł /rok – czyli koszt certyfikatu SSL dla serwera pocztowego. Bo sam serwer i tak umieszczamy w swojej własnej infrastrukturze (zakładam tak jak w moim przypadku, ze takową i tak musimy utrzymywać z powodów zawodowych)

      Może brzmi jak nadmiernie skomplikowane i niewygodne ? Być może – ale dla niektórych sprawdzi się bardzo dobrze. Wszystko zależy od – jak napisałem już gdzieś powyżej – analizy priorytetów czyli potencjalnych zysków i strat.

    • Moim zdaniem standardowa praktyka powinnobyc zeby szkodami wynikajacymi z takich “wygod” AUTOMATYCZNIE obciazano bezmyslnych integratorow wlasnie…

    • @markoof: Płatny certyfikat SSL dla serwera SMTP/IMAP jest zbędny, wystarczy self-signed. U mnie działa. Za domenę płacę ~$20/rok. Skrzynek pocztowych i aliasów ile dusza zapragnie. Problem jest z pocztą wychodzącą, niektórzy blokują po adresach IP “abonenckich”. Mam na to wynajęty serwer wirtualny za $%/mies., VPN do niego zestawiony i on wysyła w świat. Przy okazji załatwia parę innych rzeczy, DNS, webserwer itp.

    • @Malgond

      Jak również rozwiązania typu Let’s Encrypt …
      Ja tam wole używać “pełnowartosciowych” certyfikatów, choćby dla wygody , zwłaszcza że często i tak wykupuje/emy wildcardowe dla całej domeny … więc są “i tak”.

      >> Problem jest z pocztą wychodzącą, niektórzy blokują po adresach IP “abonenckich”.
      Ja bym powiedział – że prędzej dlatego, że w takich przypadkach najczęściej mapowanie revdns != dns a to w sytuacji protokołu SMTP poważna przeszkoda (właściwie blokująca możliwość komunikacji w dzisiejszych czasach). Potem kwestie SPF, DKIM itp równiez żeby się ‘poważni odbiorcy’ nie musieli niepotrzebnie frustrować .. :)

      >> Mam na to wynajęty serwer wirtualny za $%/mies., VPN do niego zestawiony
      >> i on wysyła w świat. Przy okazji załatwia parę innych rzeczy, DNS, webserwer itp.
      No, ja też pisząc “swoją infrastrukturę ” miałem na myśli właśnie bardziej dedykowane maszyny i/albo kolokacje “gdzieś w świecie” niż stawianie wszystkiego ‘w domu za kanapą’ :) ;P
      Ponieważ i tak się takie utrzymuje (na potrzeby pracy) więc dodanie do tego jednej domeny/plus SSL więcej właściwie nie wiele zmienia, a korzyści jak piszemy obaj – są/potrafią być naprawdę znaczne.

      Problem (dla mnie) tylko w tym – że taki System Opieki Medycznej/Elektroniczny Identyfikator Pacjenta powinien być równie bezpieczny i wygodny tak dla przeciętnego “zjadacza bitów” Kowalskiego jak i dla bardziej znającego technologię inżyniera/IT. Tak POWINNO być, bo przecież to jest rolą i powinnością Państwa (jako Ustawodawcy i Twórcy rozwiązań) żeby były one uczciwe i bezpieczne. Bez wykonywania specjalnych extra-zabiegów w tym celu … A że , co pisano już po wielokroć (także na łamach niebezpiecznika) rządy (nie tylko ten) mają czasem naprawdę wysublimowane (czyt. odjechane) poczucie tego co jest bezpieczne(albo i nie) dla obywatela – i nie chcą słuchać zdań/ostrzeżeń fachowców *) w tych sprawach – to niestety mamy sytuację, w której trzeba się naprawdę dobrze przyglądać każdemu z nowo wdrożonych zastosowań/projektów – zanim z większym spokojem/mniejszymi obawami można będzie z nich skorzystać.

      Mam na myśli tutaj – oczywiście – nie tylko o rządowe projekty czy systemy ale także i te o których rozmawiamy powyżej czyli w sektorze bankowym czy biznesie. Czasami rozwiązania lepsze (bezpieczniejsze) nie wymagają wcale o wiele większej kasy (w skali operatora wdrażającego rzecz jasna a nie Obywatela), natomiast wymagają właśnie pochylenia się uważniej nad problemem, co często pociąga za sobą konieczność posłuchania, a czasem zatrudnienia również kogoś ‘mądrzejszego’ (jako np. konsultanta/ów) …

      Pozdrawiam
      _________
      *) a przecież mają/mogliby mieć ich nieraz naprawdę pod bokiem – choćby nie szukając daleko, pamiętam (i pewnie Piotr tez nie zaprzeczy – jeśli tu zerknie :) ) te różne dyskusje panelowe w ramach nawet dawniejszych konferencji GIODO czy różnych wydarzeń pokrewnych. Mam przekonanie, ze prócz wspólnej wymiany, czasem gorących a często b.interesujących, zdań :) nic wiele większego z nich nie wyniknęło…

    • @Niebezpiecznik – podaję za nagłówkiem z poprzedniej próby wysłania postu:
      “Twój komentarz pojawi się niebawem (po akceptacji przez moderatora)
      markooff 2020.09.01 18:43 | # | ”

      @Malgond

      Jak również rozwiązania typu Let’s Encrypt …
      Ja tam wole używać “pełnowartosciowych” certyfikatów, choćby dla wygody , zwłaszcza że często i tak wykupuje/emy wildcardowe dla całej domeny … więc są “i tak”.

      >> Problem jest z pocztą wychodzącą, niektórzy blokują po adresach IP “abonenckich”.
      Ja bym powiedział – że prędzej dlatego, że w takich przypadkach najczęściej mapowanie revdns != dns a to w sytuacji protokołu SMTP poważna przeszkoda (właściwie blokująca możliwość komunikacji w dzisiejszych czasach). Potem kwestie SPF, DKIM itp równiez żeby się ‘poważni odbiorcy’ nie musieli niepotrzebnie frustrować .. :)

      >> Mam na to wynajęty serwer wirtualny za $%/mies., VPN do niego zestawiony
      >> i on wysyła w świat. Przy okazji załatwia parę innych rzeczy, DNS, webserwer itp.
      No, ja też pisząc “swoją infrastrukturę ” miałem na myśli właśnie bardziej dedykowane maszyny i/albo kolokacje “gdzieś w świecie” niż stawianie wszystkiego ‘w domu za kanapą’ :) ;P
      Ponieważ i tak się takie utrzymuje (na potrzeby pracy) więc dodanie do tego jednej domeny/plus SSL więcej właściwie nie wiele zmienia, a korzyści jak piszemy obaj – są/potrafią być naprawdę znaczne.

      Problem (dla mnie) tylko w tym – że taki System Opieki Medycznej/Elektroniczny Identyfikator Pacjenta powinien być równie bezpieczny i wygodny tak dla przeciętnego “zjadacza bitów” Kowalskiego jak i dla bardziej znającego technologię inżyniera/IT. Tak POWINNO być, bo przecież to jest rolą i powinnością Państwa (jako Ustawodawcy i Twórcy rozwiązań) żeby były one uczciwe i bezpieczne. Bez wykonywania specjalnych extra-zabiegów w tym celu … A że , co pisano już po wielokroć (także na łamach niebezpiecznika) rządy (nie tylko ten) mają czasem naprawdę wysublimowane (czyt. odjechane) poczucie tego co jest bezpieczne(albo i nie) dla obywatela – i nie chcą słuchać zdań/ostrzeżeń fachowców *) w tych sprawach – to niestety mamy sytuację, w której trzeba się naprawdę dobrze przyglądać każdemu z nowo wdrożonych zastosowań/projektów – zanim z większym spokojem/mniejszymi obawami można będzie z nich skorzystać.

      Mam na myśli tutaj – oczywiście – nie tylko o rządowe projekty czy systemy ale także i te o których rozmawiamy powyżej czyli w sektorze bankowym czy biznesie. Czasami rozwiązania lepsze (bezpieczniejsze) nie wymagają wcale o wiele większej kasy (w skali operatora wdrażającego rzecz jasna a nie Obywatela), natomiast wymagają właśnie pochylenia się uważniej nad problemem, co często pociąga za sobą konieczność posłuchania, a czasem zatrudnienia również kogoś ‘mądrzejszego’ (jako np. konsultanta/ów) …

      Pozdrawiam
      _________
      *) a przecież mają/mogliby mieć ich nieraz naprawdę pod bokiem – choćby nie szukając daleko, pamiętam (i pewnie Piotr tez nie zaprzeczy – jeśli tu zerknie :) ) te różne dyskusje panelowe w ramach nawet dawniejszych konferencji GIODO czy różnych wydarzeń pokrewnych. Mam przekonanie, ze prócz wspólnej wymiany, czasem gorących a często b.interesujących, zdań :) nic wiele większego z nich nie wyniknęło…

  33. @Glass Pewnie jest rolnikiem lub emerytem. Wielu seniorów nie ma konta i jakoś żyje.

    • @Twój nick
      I stoją w kilometrowych kolejkach, zarażając się wirusem. Jakbym miał czas jak emeryt, to też bym wolał płacić osobiście – choćby dla zabicia nudy i możliwości spotkania się z innymi dziadkami.

  34. Tak jak ktoś napisał wcześniej. Pierwszy interfejs mBanku był nie do pobicia. Potem zaczęły się eksperymenty. Jeszcze kilka dni temu współposiadacze konta widzieli swoje książki adresowe. I nagle bam. Dostęp odcięty. Chyba po to zakładam wspólne konto abyśmy mieli wzajemny dostęp do wszystkiego ?. Wprowadzili sraty pierdaty z lizaniem ekranu, miskami, kwiatkami na ekranie. A podstawowe funkcje aplikacji bankowej przestają działać. Chyba wiem dlaczego ludzie mają konta w bankach spółdzielczych. Idą do Pani “Hani” i nie wkurzają się ciągłymi zmianami interfejsów. Jam powiedział nasz mądry marketingowiec (są tacy jeszcze). Marka premium będzie polegała na tym, ze będziesz mógł załatwić sprawę z człowiekiem a nie lizać komórkr czy gadać z IVRem.

    • @Dariusz

      dokładnie tak ! niestety nie jest to tylko domeną samego mBanku, ale i wielu (jak nie wszystkich obecnie) banków w Polsce. Obserwuję od iluś tam lat tą sytuacje i mam – nieodmiennie – wrażenie, że po czasie jak interfejsy (no, dobra nazwijmy to aplikacjami :) ) wielu banków wyszły już z fazy “niemowlęcej” i zaczęły wreszcie zawierać wszystkie potrzebne nam, klientom funkcje (także statystyczne do prostych analiz) – nastąpił i następuje obecnie etap tzw. ich “zwijania się” czyli degeneracji.
      Poprzez udziwnianie na maxa (różne tam “projekty” ehem “autorskie” i “influencerskie” pożal się.. ) zaskakiwanie coraz to nowym )i durniejszym, bezfuncjonalnym) interfejsem , po likwidację wielu potrzebnych funkcjonalności – albo tak jak pisze Kolega – przenoszeniem ich w wersji premium.
      Wszystko na karb “nowoczesności & (tfu!)mobilności & wizażu”

      Osobiście głęboko w (_|_) mam nowoczesność (tak rozumianą) , mogę zrezygnować z “mobilności” (tfu!) obejdę się bez “latających misek w szablonie” – a wszystko to na rzecz :
      1) jakości, przejrzystości i bezawaryjności działania (w końcu chodzi o pieniądze! moje! )
      2) prostego acz funkcjonalnego interfejsu w którym nie trzeba się gubić, albo klnąc przez xx minut przeklikiwać się przez DURNE ekrany po to żeby odpisać sobie sumę przelewu wysłanego 29.12.2018 do xx.yy
      3) możliwości robienia notatek, kopiowania i wklejania , intuicyjnego tworzenia przelewów/dyspozycji, zapisywania grup odbiorców/kontrahentów itp kontaktów, łatwego załączania i wysyłania potrzebnych dokumentów etc.

      Tyle i dziękuję !

    • @Markoff
      Warto jeszcze dodac ze fajnie by bylo zeby bank nie wszedl w jakies dziwne “podstołowe” partnerstwo z jakims producentem sprzetu i oprogramowania ktory na stronie banku z “powodow bezpieczenstwa” zablokuje produkty konkurencji (notabene wybrane DOKLANIE WLASNIE ZE WZGLEDOW BEZPIECZENSTWA a ich wlasne produkty (nawet nie obecnej generacji, gdzie ta wymowka chociaz bedaca klamstwem ale przynajmniej mozliwa) a praktycznie antyczne i dawno w czerwonej strefie zagrozenia hulaja niczym halny bez zadnych obostrzen).

      Takze fajnie by tez bylo gdyby bank nie odcial cie od konta z biznesowych powodow ani nie sprzedawal? (jest szansa ze “wejscie w posiadanie” bylo niekoniecznie uczciwe/legalne) prywatnych danych owemu producentowi (wlaczajac kontakty i saldo), ktory z kolei uzyczal tych danych “partnerom marketingowym” o delikatnie mowiac “nie najlepszej renomie”…

      Bank (byly) austriacki. Firma technologiczna amerykanstka (globalna wlasciwie). Takze to nie jest tylko teoria.

    • @WkurzonyBialyMis90210

      Jasne że tak!
      To się już nazywa Trust (w wykonaniu polskim – wersja “podstolna”). Ale nie jest tylko specyfiką naszą i potrafi działać szerzej. Tyle że w krajach o mocniej/dłużej ugruntowanych tradycjach demokracji i demokratycznej kontroli nad urzędnikiem – jest znacznie więcej organizacji pro-konsumenckich które o ile uda się takim “procederem” zainteresować potrafią działać energicznie i konkretnie doprowadzając do skazania odpowiedzialnych za tego typu przestępstwa osób. Oczywiście tez nie wszędzie inie zawsze. Ale jest łatwiej. Wszystko zależy również od świadomości społecznej ludzi, im jest ona większa tym (bardziej świadomi swoich praw ) wymaga się “jakościowo” więcej od dostawców i ocenia się ostrzej wypełnianie przez nich zobowiązań z tytułu zawartych z klientami/odbiorcami umów.
      Użyczanie danych partnerom – tutaj nadal jest “pies pogrzebany” mimo wejścia w życie RODO . Bo robiło i robi się to jawnie (wtedy teraz jest już obowiązek poinformowania o tym przynajmniej klienta) lub niejawnie. Z tym procederem jest bardzo ciężko – tzn. b. ciężko jest go wykryć (dla klienta) – ale jeśli się już wykryje – to obecnie można doprowadzić do ukarania finansowego winnej firmy. Tyle, że właśnie wykrycie jest najtrudniejsza w tej sprawie rzeczą. Tak naprawdę, przewrotnie powiem, że najprościej czasem jest wykrywać poprzez zatrudnienie się w danej firmie (jeśli to możliwe) przy pracy z danym projektem/systemem. Miałem kiedyś trochę doświadczeń tego typu, np. podczas czasu mojej pracy dla dawnej TPsa. Wiedziałem (wiedzieliśmy) że dane ciekną i nawet można było się zorientować/domyślić gdzie, jak i do kogo, tyle że nie było wtedy zupełnie prawa – żeby takie praktyki ścigać – bo wszystko szło “na wolnoamerykankę”. W końcu formalnie wszystko było ‘zorientowane pro-kliencko’ na zasadzie “w trosce o jakość świadczenia naszych usług … ”

      Tak przy okazji – zdrowa zasada w biznesie – nie kupuje się Software’u od producentów jaj . Ani wakacji od dostawcy usług telekomunikacyjnych. Choćby były najkorzystniejsze nawet promocje…

    • @markoff
      Co do jajek nie jestem pewny ale sam sprzet (serwery) raczej faktycznie nie byly od nich, chodzilo mi tutaj o to ze to faktycznie wielka firma – natomiast to podejscie jest troche idealistyczne, bo na chwile obecna w niektorych sektorach mamy faktyczne monopole/kartele z papierowa konkurencja (ktore same musza wspierac) jako zaslona przed blokujaco-dzielacymi zapedami rzadow. Wiec realistycznie mozna zalozyc ze sporo przedsiebiorst bierze co jest (i wazeline do tego)..

      Ps. To nie jest tak ze to bylo jakos obwieszczone, wiec wydaje mi sie ze producent softu poszedl po bandzie bo zalozyl ze nie zostanie powiazany z problemami a wrazie jakichkolwiek problemow to sie wypna na bank i tamci zaczna swiecic oczami.
      Sam nie wiedzialbym nawet o kontekscie sytuacji gdybym zlosliwie nie postanowil nie sciagnac i przeanalizowac co sie da — a tam, ladne i cool, ASCI-estetyczne banery wszedzie: “Ten soft napisalismy , wszystkie prawa nalerza do nas! te tu! te tam! siamte! sr*! i owamte! etc. etc. bla bla bla” (doslownie w kazdym pliku, czy to konfiguracja czy skrypt) xD
      Ach ta chciwosc… prawie jak skrytobojca/kasiarz z obsesyjnym “parciem na szklo” ;)

  35. Tak się kończy oszczędzanie na testach. Pewnie licznik w sequencerze nagle się “skończył”, a żeby to wykryć trzeba robić audyty. Na to potrzeba doświadczonych testerów i dodatkowych dni roboczych.

  36. Które z banków polecacie ?które mają najlepsze zabezpieczenia?

  37. A teraz wyobraźcie sobie, że w niedalekiej przyszłości mają być tylko elektroniczne pieniądze a wtedy powodzenia. Dbajcie o gotówkę bo to jest ostatni bastion wolności.

  38. hmmm …… i pomogliście mi podjąć decyzję. Jedyną, słuszną !!! :-)

  39. W appce na telefon udało mi się doklikac do opcji pokazania danych i podejrzeć swój numer dowodu.

    Profil / ustawienia (ikonka z kołem zębatym / dane osobiste (zakładka bezpieczeństwo) / pokaż dane

  40. @G

    > Które z banków polecacie ?które mają najlepsze zabezpieczenia

    Ten z guzikiem i plastikowymi hasłami jednorazowymi.

  41. @keiran

    Jesli obcokrajowiec melduje sie w Polsce (studia lub praca) to z automatu ma przydzielony PESEL, nie musi nawet wniosku skladac.

    • Ale tylko jak złoży wniosek o zameldowanie na pobyt czasowy lub stały.

      Mnóstwo cudzoziemców studiuje lub pracuje w Polsce bez dopełnienia obowiązku meldunkowego i PESEL-u nie mają.

      Ba – nawet wnioskują pozwolenie na pobyt i je dostają. I posługują się kartą pobytu bez PESEL-u i bez zameldowania.

  42. FUNDOS ARE SAFU

  43. A zauważyliście że mainstreamowe media prawie nic o tym nie pisały? Wydawałoby się, że o największym failu w historii polskiej bankowości internetowej będzie aż huczało! A tu cisza…

    Kto smaruje ten jedzie.

  44. Przed chwila czytalem nowy artykul o problemie (z ktorego wynika ze ciagnie sie to tydzien, a bank stosuje podejscie “nie mam panskiego plaszcza i co mi pan zrobisz” zbywajac klientow wymowkami ze klientami nie sa bo konto ma inne dane CO NIE MA PRAWA sie zdarzyc, niezaleznie od tego jak bardzo spi* ich system”) i nie wiem czy mozna to na ten moment nazwac wpadka czy mozemy mowic o biznesowej fuzji ogolnopolskiego operatora kolektorow sciekowych i najwiekszego w kraju producenta wiatrakow…

  45. […] wpadką sprzed kilku dni nikomu już nie powinno być do śmiechu. Serwis niebezpiecznik.pl opisał historię klienta, który założył konto w mBanku. Co się […]

    • @Tomek

      a to rzeczywiście dość interesujący wypadek, bo OIP stare konta bez aktywności były objęte procedurami likwidacji/kontaktu z klientem i wyjasnień co do celu ich utrzymywania – gdzies tak na przełomie 2005-2006 … Mnie tak potraktowali wtedy – pytając się grzecznie czy konto będzie mi potrzebne, czy można je zlikwidować .

  46. mbank to dno – jakieś 20 lat temu zakładałem konto – podpisałem papiery i na tym się skończyło. Nie dostałem karty, danych do logowania – NIC zupełnie NIC. W tym roku przysłali mi pierwszy (sic!) raport ze stanem konta. Wszędzie same zera!!!! Przez 20 lat się nie zorientowali że takie konto mają w systemie? Niedawno przysłali informację o zamknięciu konta i prośbę o przesłanie numeru konta na który mogą przelać środki…..Przy pierwszym piśmie nieźle się uśmiałem (i nie tylko ja) ale przy drugim….co za żenada

  47. Może przekręcił im się klucz sztuczny na bazie dlatego mają problem?

  48. MBank ukradł mi tożsamość jeśli ktos zna kogoś od takich spraw proszę o kontakt pod nr 570027250

  49. […] błędy zdarzają się często. Ofiarą podobnych wpadek w przeszłości były takie firmy jak mBank (klienci widzieli cudze rachunki i mogli wydawać cudze pieniądze), UPC (widzieli cudze dane), T-Mobile (klienci byli logowani na cudze konta i mogli doładowywać […]

  50. To już nie pierwsza taka wpadka mbanku, za chwile zamiast patrzeć na opłaty za konto będziemy sprawdzać w pierwszej kolejności bezpieczeństwo :D

Odpowiadasz na komentarz Adam

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: