8:53
7/5/2014

Napisało do nas kilku czytelników. Byli zdezorientowani i zaniepokojeni — część z nich podejrzewała nawet, że ktoś mógł przejąć kontrolę nad ich kontem bankowym albo komputerem. Skąd te obawy? Po zalogowaniu do panelu mBanku zobaczyli bowiem dość niecodzienny, a dla niektórych nawet “podejrzany” komunikat.

Testy na produkcji?

Jak pisze jeden z czytelników:

Ostatnio (dzisiaj) mBank wysłał wiadomość ‘Testową’ przez swój serwis transakcyjny. Może wiecie, czy ta wiadomość to błąd programisty/ operatora systemu czy może jednak dowód, że system jest dziurawy?

Kolejny z czytelników, Krzysiek, podesłał zrzut ekranu “testowej” wiadomości

Wiadomość "TEST" od mBanku

Wiadomość “TEST” od mBanku

Wiadomość "TEST" od mBanku

Wiadomość “TEST” od mBanku

Powyższa wiadomość testowa, to zapewne drobna pomyłka banku, a nie wynik ataków. Aby się upewnić, przesyłamy oficjalne pytanie do rzecznika mBanku, kiedy otrzymamy odpowiedź, opublikujemy poniżej (Aktualizacja: już jest odpowiedź, opublikowana poniżej).

opisywana sytuacja to wynik błędu, który wczoraj pojawił się w aplikacji wykorzystywanej do wystawiania komunikatów. Został on już naprawiony i informacja została usunięta z systemu. Przepraszamy za utrudnienia.
Emilia Kasperczak, biuro prasowe mBanku

Nie ma się jednak co dziwić klientom, że są wyczuleni na pojawiające się w kolorystyce banku podejrzane komunikaty — w trakcie niedawnych ataków na routery, przestępcy naśladując komunikaty wewnętrzne banku (m.in. także mBanku) nakłonili kilka osób do zdefiniowania przelewu niewymagającego potwierdzenia kodem SMS, co umożliwiło im okradzenie bliżej niesprecyzowanej liczby osób na co najmniej kilkadziesiąt tysięcy złotych.

Nie pierwsza taka wpadka

Przypomnijmy, że tego typu “wpadki” zdarzały się także innym bankom. ING kilka miesięcy temu przeraziło swoich klientów, kiedy przez pomyłkę rozesłało komunikat nakazujący zwrot mylnie zaksięgowanego przelewu …do większej liczby osób, zamiast tylko do jednego z klientów (co zresztą pięknie wpisało się w schemat działania przestępców, którzy wykorzystywali podobną metodę do wyłudzeń przy pomocy trojana Citadel).

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

90 komentarzy

Dodaj komentarz
  1. Co do mBanku mnie osobiście zaskoczyło coś jeszcze. Po zalogowaniu się na konto przeglądarka pyta się czy chcę sobie zapamiętać login i hasło… Jak by to było konto eMail to jakoś bym to przeżył ale w bankowości elektronicznej to dla mnie totalne zaskoczenie…

    • Google wie lepiej niż Ty co należy a czego nie zapamiętywać!

    • slowo kluczowe… nie strona banku, a przegladarka, klikasz ‘nigdy dla tej strony’ i po sprawie :D

    • Chrome? Od najnowszej wersji ignoruje flagę zakazującą zapamiętywanie haseł. Ktoś o tym pisał, jak nie było na Niebezpieczniku, to ptr na fejsie wrzucał.

    • uzywasz chrome?

    • Jak sam/sama zauważyłeś/łaś to przeglądarka cię pyta o zapamiętanie hasła a nie serwis mBanku…….

    • Chrome po ostatniej aktualizacji pozwala zapamiętać hasło na każdej witrynie nie zależnie od ustawień ‘autocomplete=off’ w formularzach.

      Jak dla mnie bardzo pozytywna zmiana.

    • Nie czytasz uważnie, drogi Termi, niebezpiecznika – pisaliśmy o tym: https://niebezpiecznik.pl/post/google-chrome-kontrowersje-dot-odwolanych-certyfikatow/

    • Przyznaje przeoczyłem wspomniany artykuł, jednakże nie wydaje mi się że to kwestia certyfikatów czy poświadczeń, a dziwnego zachowania samej przeglądarki, która widzę dostałą manię zapisywania wszystkiego co się da…

    • I bardzo dobrze, że pozwala na zapisywanie, to moja sprawa co robie, przestańmy zrzucać odpowiedzialność na zew. podmioty

    • Ja w przeglądarce trzymam tylko pliki cookies :]

    • Drogi Piotrze, ty również nie czytasz uważnie niebezpiecznika ;)
      Pisano i dyskutowano tutaj–> https://niebezpiecznik.pl/post/chrome-ignoruje-autocompleteoff/

  2. Z tego co czytam, to muszę uważać podwójnie – mam konto w mBanku i ING.

  3. “Po zalogowaniu do nowego panelu mBanku”

    zrzuty są ze starego systemu

  4. Dobrze że użyli słowa TEST a nie innego popularnego w tej branży ;)

    • No, dobrze że nie poprzedzili tego słowa długopisem ;)

  5. TEST?

  6. dobrze, że nie “dupa” ;)

    • Heh, pamiętam kiedy jedna “dupa” pojawiła się w systemie produkcyjnym po testach kolegi – reakcja była dość szybka ;-)

  7. Największa pomyłka mBanku to cały ich nowy serwis i natrętność z jaką go wciskają.
    Niby jest link do starej wersji ale nie można go sobie zapisać, żeby zawsze od razu wchodzić na starą wersję bo stara wersja najpierw przekierowuje na nową. Dopiero po wejściu na nową i kliknięciu, że się chce starą, można skorzystać ze starej. Ale tylko na chwilę bo ciastko jest jednosesyjne. Tak więc po każdym uruchomieniu przeglądarki trzeba najpierw poczekać na załadowanie ponadmegabajtowej strony, żeby móc skorzystać z normalnego serwisu.

    • Ostatnio miasto wymieniło autobusy na nowe. Dlaczego nie mogą równocześnie jeździć i stare i nowe? To oburzające bo przecież się przyzwyczaiłem.

    • Link do starego serwisu bez przechodzenia z nowego:
      https://www.mbank.com.pl/logon.aspx

    • Zupełnie jak na forum mBanku, ciągłe narzekania prowadzące donikąd. Też jestem konserwatywny, ale przestawienie zajęło mi 5 wizyt w serwisie i teraz nie chciałbym wracać do poprzedniego. W życiu jedyną stałą rzeczą jest zmiana.

    • No właśnie! I nie tylko ten serwis tak ma. Osobiście denerwuje mnie ciężka strona Play. Owszem, ważne, żeby czytelnie i atrakcyjnie przedstawić ofertę klientowi, tylko czy naprawdę potrzeba do tego tak dużo zasobów?
      Dobrze, że Niebezpiecznik jest lżejszy.

    • ponadmegabajtowej strony… sprobuj z wrsja mobilna, jest znacznie lzejsza, nawet twoj modem pociagnie…

    • @buli: Ostatnio miasto wymieniło autobusy na nowe. Jeżdżą równocześnie i stare i nowe ale gdy stoję na przystanku to zatrzymują się tylko nowe. Gdy powiem kierowcy nowego autobusu (który się zatrzymał), że wolę stare to on powiadamia kierowców nowych autobusów i od tej pory się zatrzymują ale tylko do końca dnia.

      @Aaaaa: Można ale dopiero za drugim razem. Przy pierwszym skorzystaniu z tego linka po uruchomieniu przeglądarki następuje przekierowanie na nowy.

    • @sw3: na dłuższą metę utrzymanie dwóch dużych serwisów musi być bardzo kosztowne. Cookie być może niepotrzebnie jest ustawione na tak krótki czas (gdyby to było celowe utrudnianie ludziom życia to bez sensu), tym niemniej nie ma się co dziwić polityce banku w której promuje nowy serwis.
      Nie przypominam sobie żeby ktokolwiek na dłuższą metę utrzymywał równolegle dwie kompletnie różne wersje dużego systemu webowego. Stary serwis ma ponad 12 lat i czy się to podoba czy nie wkróce zostanie zastąpiony.

    • 1. U mnie cookie nie znika i zarówno po wybraniu z linka (zła praktyka, wiem) jak i wpisaniu adresu “z palca” wchodzi od razu stara wersja (win7/chrome).
      2. Od dłuższego czasu nikt mnie nie namawia do przesiadki na nowy serwis. Nie wiem, czy ma to coś wspólnego z moim pismem, w którym zagroziłem wyniesieniem się do innego banku w przypadku gdy zechcą wymusić na mnie przejście do nowego serwisu.
      3. Ciekaw jestem, co kierowało twórcami nowego serwisu, że nie dopuszczają nawet podstawowego ASCII (32-126) w hasłach. Namiętnie stosuję “cyferki z sziftem” i OIDP dwa znaki są niedopuszczalne. Pewnie jakieś babole techniczne, ale kto im w takim przypadku zaakceptował (ograniczone) wymagania i dopuścił ten serwis?

    • @buli:
      A nie wpadłeś na pomysł, że nie chodzi o utrzymywanie dwóch serwisów, tylko zaprzestanie wciskania upierdliwego koszmaru jakiegoś szalonego designera, stworzonego tylko do popisania się w kółku wzajemnej adoracji, jaki to bank jest cool i pseudonowoczesny.

      Nie chodzi o to, żeby jednocześnie jeździły autobusy nowe i stare. Chodzi o to, że w starych autobusach mogłeś wsiadać drzwiami, a w nowych możesz wsiadać tylko przez luki dachowe, bo bez drzwi autobus ładniej wygląda.

    • dopiero za drugim razem…. albo jesli “przyszedles ze strony wyboru wersji, strony wylogowania, albo strony logowania nowej wersji”…

      a serwer wie o tym skad sie przyszlo od przegladarki,
      a przegladarka mowi serwerowi skad sie przyszlo jesli w historii danej zakladki jest jakas poprzednia strona,
      a poprzednia strona jest jesli sie na niej bylo (oczywiste – pardon :D),
      a jesli przegladarka zapamietuje przy zamknieciu karty i otwiera je ponownie przy kolejnym uruchomieniu, to….
      :D

    • @jakub: to nie tylko kwestia przyzwyczajenia, ale i funkcjonalności. Jak toś miał do tej pory wszystkie najważniejsze opcje zaraz po zalogowaniu w jednym miejscu i to dla wszystkich rachunków, włącznie z firmowym, to nowe „łowickie” UI jest dla niego porażką – zabawą klockami to z reguły się ludzie fascynują w wieku około 5 lat, no dając poprawkę na Minecraft – góra 15.
      Oczywiście jestem w stanie zrozumieć, że dla kogoś, kto ma jeden rachunek i kartę do tego, nie będzie dotkliwej różnicy…

    • @mpan: jak widać Twoją opinię podziela więcej użytkowników banku, choć nie wiem czy procentowo to taka duża część bo jednak najgłośniej zawsze krzyczą niezadowoleni. Nic na siłę, no ale dla równowagi dodam że dla mnie np. logiczna separacja rachunków prywatnego i firmowego albo zastosowany podział prezentowanej informacji na kategorie są czytelne i bardziej funkcjonalne niż w starym serwisie.
      @LordBlick: powalające argumenty, “jeśli ktoś się ze mną nie zgadza to ma 15 lat, albo nic nie wie o bankowości”.

    • @buli
      Niezadowoleni krzyczą głośniej, ale jednocześnie procentowy udział krzyczących wśród niezadowolonych jest niewielki. To się wyrównuje. 1 niezadowolona osoba krzyczy za 5, ale 9 niezadowolonych siedzi cicho. I tak powstają statystyki o 99.97% zadowolonych klientów¹. Do tego dochodzi spory odsetek osób, którym możesz narobić na głowę i nadal będzie im ganz egal.

      To, że coś tam im się udało, to nic dziwnego. Nawet zepsuty zegar dwa razy na dobę wskazuje prawidłową godzinę. Trzeba być wybitnie uzdolnionym, żeby absolutnie nic się nie udało. Mnie podoba się możliwość szybkiego podejrzenia wykresu środków na koncie, bo widzę od razu zaksięgowanie istotnych operacji. To jest jednak jeden z niewielu sensownych ficzerów, a nawet on jest mocno niedopracowany: zobaczyć można i… co dalej?

      Część osób jest wkurzona nie tylko na sam system, ale podejście banku do tematu. Król jest mniej lub bardziej nagi, ale bank przedstawia to jako gigantyczny sukces i niemalże historyczny przełom w bankowości. Problemy należy zamieść pod dywan, udawać ich brak i ciągnąć szopkę świętowania. Nikt w banku nie ma pomysłu na jakiekolwiek sensowne zmiany pchające firmę do przodu, więc robi się remont – to taki bardzo charakterystyczny krok, udający faktyczne działanie. Posadźmy nowe drzewka, zróbmy nowe logo, przemalujmy budynek. Ostatnie: to nie jest tak, że wszyscy tylko plują, narzekają i grożą odejście z banku (na grożeniu się kończy). Są osoby, w tym ja, które zdecydowanie wolą współpracę, rozwój i naprawianie, a nie robienie przewrotu. Tylko bank takie osoby totalnie olał i pokazał, że jakąkolwiek chęć poprawienia czegokolwiek ma tam, gdzie słońce nie dociera.
      ____
      ¹ Tj.: odwiedziło nas 1000000 osób i 30 tysięcy osób było tak wkurzonych, że się poskarżyło ;).

    • @buli: to że tak to odebrałeś, to twój problem…
      Po prostu nie podnieca mnie sytuacja pod tytułem „będę grał w klikaną, kolorową grę” na stronie banku. Istnieją bardziej wyrafinowane formy relaksu i rozrywki.

    • @mpan: nie wiem jakie zmiany w systemie informatycznym sprawią u tych klientów wrażenie że firma “idzie do przodu”. Zdaję sobie sprawę, że wygląd jakikolwiek by nie był, nigdy nie zadowoli 3 losowo wybranych klientów, a co dopiero 1 000 000.
      Myślę, że nowy serwis ma więcej użytecznych ficzerów niż wspomniany wykres środków na koncie. Historia i klasyfikacja wydatków, śledzenie budżetów, definiowanie strategii w funduszach inwestycyjnych itp, czytelne informacje w postaci wykresów. To są rzeczy które wiele osób planujących finanse robiło w excelu, a w tej chwili są w części zautomatyzowane i dość dobrze pozwalają realizować planowanie finansów. Mniej więcej tego oczekuję od banku.

      @LordBlick: zdaję sobie sprawę, że prawdziwe rekiny biznesu stawiają na surowy design lat 90-tych. Tęczowe kolory są dla dzieci i, najprawdopowodniej, pedałów.

    • @buli: A używaj sobie co ci pasuje, dla mnie sugestie banku dotyczące moich finansów nie będą wiarygodne, więc są zbędne. Moje kalkulacje i zamiary finansowe muszą być niezależne i nie sprzedam ich w zamian za iluzoryczną kolorową wygódkę.

  8. Do starego serwisu można dostać się bezpośrednio przez: https://www.mbank.com.pl/ albo dodając go sobie do zakładek.

    • Chciałeś chyba napisać: dodając zakładkę do strony? :) W ogóle dodanie strony do zakładek brzmi absurdalnie.

  9. ten panel transakcyjny ze screena to stary, a nie nowy panel transakcyjny mbanku. taka mała uwaga :)

  10. Dokładnie ! Ich nowy serwis po prostu poraża ! Po 5 min próby odnalezienia się, zrezygnowałem!

    • widzisz, dolozylbys jeszcze 5 min i mialbys przed soba swietne narzedzie i najlepszy panel obslugi ze wszystkich bankow na rynku polskim i nie tylko :)

      bardzo wygodny i przyjemny, ale trzeba sie przetawic ze sredniowiecznego designu starej wersji, wiele elementow zauwaza sie dopiero po czasie, ale zrozumiane sporo pomagaja

    • @mm
      mBank prowadzi tym serwisem akcję, która zakończy się na pewno wielkim sukcesem. To akcja redukcji liczby klientów. Ciekawe ile będzie premii dla pomysłodawcy jak po wyłączeniu starego systemu połowa klientów im się zwinie do konkurencji.

      I nowa wspaniała aplikacja mobilna z PIN zamiast kodów jednorazowych, jaki postęp w bezpieczeństwie.

    • Ej, jak wchodzicie do starego systemu? :)

    • mnie tez sie nie podoba nowy serwis mbanku. I nie korzystam z niego. Jak widać niezadowolonych z nowego ‘wystroju’ jest wiecej niż suszacych zęby z zachwytu cieszacych sie kazdym gównem, byle nowym.

  11. Mylisz się kolego. SOA#1

  12. Jako programista dużych serwisów webowych.. Współczuję koledze po fachu zawału serca :)

  13. Wystarczy że wyłączysz część skryptów java i masz stary mbank

    • Nie ma kolego czegos takiego jak skrypty java. Jest oprogramowanie napisane w jezyku java. Albo skrypty javascript na stronach www. To sa dwie zupelnie rozne rzeczy :)

    • “Java is to JavaScript as ham is to hamster”
      :)

  14. A ja jako ciekawostkę podam, że zespół developerów mBanku był obecny na jednym ze spotkań warszawskiej grupy .NET, gdzie opowiadali o technologi i narzędziach jakich użyli oraz problemach, z jakimi się spotkali podczas tworzenia tak dużego serwisu.
    Taka mała ciekawostka dla innych devów :D

    • Nikt chyba nie twierdzi, że system jest źle zrobiony technicznie – pewnie jest lepszy od starego. Problem jest z UI i jego założeniami.

    • No nie wiem, czy od strony technicznej jest taki wspaniały.

      Pół roku zajęło im naprawienie trywialnego buga uniemożliwiającego wpisywanie z numerycznej separatora dziesiętnego w przelewach. I to tylko po tym, gdy odwaliłem za nich połowę roboty, czyli wyszukanie przyczyny błędu. Opowiadali coś na temat sztuki debugowania?

      Ciekawi mnie też, czy opowiadali na temat odporności systemu na zgubione albo nadmiarowe komunikaty. Stary serwis pod tym względem kulał i kilka razy naraził mnie na zawał serca i rzucanie paniami lekkich obyczajów. Jednak generalnie reguła jest taka, że im więcej prób reimplementacji normalnych funkcji przeglądarki w JS, tym więcej problemów. I ich liczba rośnie tak zgrubsza “wykładniczo”. Na przygody z nowym czekam.

      Mówili może też coś na temat dokonywanych wyborów technologii? Np. czemu prosty czat tekstowy wymaga Silverlight?

    • To za jakiś czas będą go znów przepisywać – MS zarzucił dalszy rozwój Silverlighta na rzecz HTML5/JS.

    • Są jakieś materiały z tego spotkania? Może w skrócie opowiesz?

  15. A mnie zawsze zaskakuje co innego. Umieszczanie screenów z czyichś komputerów wraz z obrazem otwartej przeglądarki (a w niej otwartych innych kart), czy otwartych i zamkniętych programów na pasku. Nie wiem, nie jestem hackerem i nie umiem się włamywać na cudze komputery, ale wydaję mi się, że w czasach, gdy do domowej sieci można włamać się przez lodówkę (porównaj: https://niebezpiecznik.pl/post/telewizory-i-jedna-lodowka-wysylaja-spam-podejrzane-doniesienia-o-botnecie-inteligentnych-urzadzen-rtvagd/), nie należy ujawniać zbyt wielu informacji o używanym oprogramowaniu, czy sprzęcie. Pozdrawiam.

    • A czegoż z tego screena można się dowiedzieć? Że ktoś na Windowsie ma Padu-Padu i Winampa? A ilu polskich użytkowników Windowsa ich nie ma? xD

    • Dobre przyzwyczajenie – parę czarnych prostokątów w paint’cie żeby zasłonić nazwę innych kart, zakładek… dodatków, programów na pasku, w szybkim uruchamianiu i zasobniku. Ot na wszelki wypadek. ;)
      Z tego, co widzę po screenie – spray z painta. Trochę słaby, prostokąt jest szybszy i zasłania wszystko.

      Rzeczywiście w innych artykułach zdarzało się po screenie dużo informacji o osobie poznać. Szczególnie fajne jest to jak wielcy hakierzy się chwalą screenami i nic nie zasłaniają. :D

    • @mpan:
      > A czegoż z tego screena można się dowiedzieć?

      Niewiele, ale jednak – choćby profilu graficznego systemu, dzięki czemu możliwe jest przygotowanie 1:1 wiernej kopii komunikatów systemowych.

    • Niewiele, ale jednak – choćby profilu graficznego systemu, dzięki czemu możliwe jest przygotowanie 1:1 wiernej kopii komunikatów systemowych.

  16. Kiedyś przenosiłem większy blog WP na inny serwer z nową wersją WP przy użyciu jakiegoś “super” pluginu wp do import/export który przy imporcie każdego wpisu zaczął rozsyłać do każdego z kilkuset subskrybentów powiadomienie o nowym poscie. Sama radość.

    • ooo: WP….
      myslalem ze po nowym serwisie mBanku juz mnie nic nie polozy na lopatki…
      ale od jakiegos czasu WP zrobila sobie ze strony tabloid… to jest dopiero porazka

    • @Pepe: WP w tym przypadku to WordPress, nie wp.pl… ;)

    • @dar_ek & @LordBlick: no to sie wykazalem czujnoscia :D
      lamer :D

      nie zmienia to faktu, ze serwis wp (nie w wordpress zrobiony) zostal ostatnio zmieniony, podobnie jak mBanku, na cos nowego … ochydnie przedszkolnego :(

  17. mnie bardziej zastanawia wysyłanie hasła plain textem przy logowaniu – fakt, że https ale jakiś hash to chociaż mógł być.

    • I co zmieni hashowanie? Przecież kanał jest już szyfrowany. Albo ufamy, albo zmieniamy algorytm na lepszy. Ewentualnie nie ufamy kryptografii, ale w takiej sytuacji bądźmy konsekwentni: funkcji hashującej tez nie ufamy.

      Co ma robić hashowanie? Kod w JS? Języku w który nie daje żadnych gwarancji dotyczących czasu lub czyszczenia pamięci? Skrypt wysyłany tym samym kanałem, któremu nie ufasz?

      Przed czym ma zabezpieczyć? Przed użyciem wykradzionego hasła do zalogowania się do banku? A co za różnica dla atakującego? Zamiast hasła wyśle hash. Żadna różnica: zapytanie to zapytanie – jeden pies, czy do uwierzytelnienia używany jest hasło, hash hasła czy 30-krotnie zaszyfrowana odpowiedź na pytanie o kolor zupy teściowej. Przed poznaniem współdzielonego z innymi serwisami hasła przez osoby trzecie? Spokojnie… już je pokazałeś – bankowi i kilku innym firmom, których skrypty hulają po formularzu logowania, a które nawet nie podlegają polskiemu prawu. Bój się lepiej źle opłaconego pracownika, który za garść BTC “wycieknie” kawałek bazy danych.

    • @mpan “innym firmom, których skrypty hulają po formularzu logowania” – możesz rozwinąć?

    • @Marcin
      Z wielkim zaskoczeniem stwierdzam, że w przypadku mBanku… żadne. No to ukłon w stronę banku – wyrazy szacunku i przeprosiny, jeśli ktoś odniósł to do tego konkretnego serwisu¹.

      Ale sytuacja jak najbardziej jest normą w wielu formularzach logowania czy nawet wewnętrz serwisów, gdzie jest pełny dostęp np. do danych osobowych. Do mnie to dotarło, gdy zacząłem być zalewany przez Certificate Patrola informacjami o domenach, które nijak mają się do serwisu, z którego akurat korzystałem. Krótki rzut oka na to, co jest ściągane i okazuje się, że wesoło nie jest.

      Jeżeli chcesz konkretnego i namacalnego przypadku, wejdź do formularza logowania UPC. 2x skrypty od firm od analizy ruchu + czat. Millenium (indywidualne): google. ING OFE: gemius ma dostęp do PESELa używanego jako login, firma od czata – do strony domu maklerskiego (ok… mniej istotne, bo Gemius podlega polskiemu prawu, a strona domu maklerskiego i tak leci bez szyfrowania).

      ____
      ¹ Co prawda przysiągłbym, że jeszcze niedawno widziałem tam skrypt z Twittera albo Facebooka, ale skoro nie ma, to nie ma – trzeba przyjąć, że moja pamięć figle płata.

  18. ooo.. jak miło – gadu gadu i winamp na screenie… :)

  19. Narzekacie jak byście nie lubili zbierać odznak :P

  20. hahaha racja! facebook, bank i niebezpiecznik… swietne polaczenie. proponuje jeszcze exploit-db i indzektora ;] to na pewno zapewni brak wlaman! ;]

  21. A mnie zastanawia kwestia weryfikacji kodem przez telefon. Podczas dzwonienia do mBanku i po podaniu numeru klienta system prosi o podanie trzech cyfr z 6-cio cyfrowego telekodu. U mnie przez te kilkanaście miesięcy system nie poprosił nigdy o podanie 6-tej cyfry telekodu. Pan na infolinii stwierdził, że wszystko jest ok. A mnie wydaje sie to dziwne, że łacząc sie z infolinia setki razy ani razu automat nie poprosił o podanie 6-tej cyfry. Mało to prawdopodobne.

  22. Kolega pracuje przy podobnych serwisach, o podobnej randze.

    Jak coś ma być zrobione na już albo na wczoraj to w większości przypadków ‘robi’ od razu na produkcji. Ot polska specyfika branży…

    • Takich lubimy najbardziej w trakcie pentestów. Zwłaszcza jak korzystają z vima i sesja im się zerwie w trakcie. ~ i .swp FTW :)

    • A później połowa kodu nie trafia do głównego repo :)

  23. No co? Nie wiecie, że prawdziwi twardziele najlepsze testy robią na Prodzie ? :)

  24. Spróbujcie sobie na nowej stronie skopiować nr konta do schowka :) Powodzenia życzę. Po 10 min zrezygnowałem. Ale może ja mało bystry jestem.

    • Mam dla Ciebie złą wiadomość. Cała operacja zajęła mi – sprawdziłem z ciekawości – jakieś 3 sekundy.

  25. Może to był test sprawdzający czy ktoś jeszcze używa starej wersji serwisu transakcyjnego :-D. Test się udał ;-)

  26. Ten screen jest idealnym przykładem że należy uważać na to co zamieszczamy w sieci. Niby nic na nim nie ma ale:
    -W zawartości “oferta dla Ciebie” widzimy jakie limity kredytowe proponuje bank a te są zależne od dochodów wielkości dochodów posiadacza konta(oczywiście nie musi na to konto przelewać swojego wynagrodzenia).
    -W sekcji oferta dla Ciebie i Dostępne Rachunki widzimy które usługi posiada dany użytkownik, a które są mu dopiero proponowane. Informacje te mogą być pomocne przy telefonicznym odzyskaniu hasła bo większość z pytań weryfikujących polega na odpowiedzi na pytania czy posiada się jakąś usługę: np rachunek emax plus
    -Z wielkości zamazanego pola można widać jakiego rzędu wielkości sa środki zgromadzone na koncie
    -Użycie narzędzia spray w paincie do zamazania tekstu które zostało użyte dość niedokładnie: prześwitują piksele zamazanej kwoty dla kogoś upartego pozwalają na w miarę dokładne sprawdzenie ile środków tam się znajduje(wystarczy złączyć niemazane pixele z salda pierwszego konta oraz sumy i sprawdzić jakie cyfry mogłyby mieć w tych miejscach czarne pixele)

    • Na to samo chciałem zwrócić uwagę. Z moich obserwacji wynika, że wysokość kredytu odnawialnego (czy limitu karty kredytowej) w Ofercie dla Ciebie to około 10cio krotność miesięcznych wpływów. Tak więc trzeba, nie tylko saldo ale także i kwoty proponowanych kredytów należało by zamazać…

      A odnośnie nowego serwisu – moim zdaniem jest lepszy niż stary. A przestawienie się zajęło mi chyba z 5 logowań i było już OK.

    • Wszystko prawda i nie jeden czytający to pewnie zobaczył,
      tylko w tym przypadku co Ci dają te kwoty? ..nic
      Nawet jak byś cudem odczytał numer konta z tego screena,
      to i tak nie masz numeru klienta bądz nazwiska (imię masz :D)

  27. Nawet zalogowanie do nowego bez użycia myszy jest niemożliwe.

    • Tab -> Enter :)

  28. Mam w mBanku konto, ale jakoś nie widziałam tej wiadomości. Pewnie nie zajrzałam w porę.
    Mnie w tym banku nie podoba się jego nowy serwis. Na stronie logowania:
    http://www.mbank.pl/login/
    zawsze wybieram starą stronę tak, jak to zrobił autor przesłanych zrzutów.

    Co ciekawe nowa strona w ogóle nie otwiera mi się w przeglądarce z moimi ustawieniami (filtry reklam i skryptów), co tym bardziej wzbudza mój niepokój.

  29. Jakim cudem na screenie jest “stary” widok mbanku? ;o jak zmienić z nowego na start? gadajta mnie tu ;D

  30. Czytać kolego, czytać. Otworzyć nową stronę logowania i czytać. Szczególnie mały druczek.

  31. […] redakcyjną skrzynkę pocztową przelała się kolejna fala krytyki mBanku. Tym razem nie były to przypadkowe “testy” na produkcji, a prawdziwy komunikat ostrzegający przed atakiem …ale niestety napisany tak, że część […]

  32. Jaki bystrzak ;) surfuje po internecie a nawet w banku(!) będąc zalogowany do facebuka. Dzięki temu FB wie gdzie się szwendasz po internecie człowieku. Jak już koniecznie musisz mieć FB to na osobnej przeglądarce

  33. “Termi” To są ustawienia przeglądarki. Musisz mieć gdzieś zaznaczone proponowanie zapisania hasła. Wyłącz to i nie będzie głupich komunikatów. W ogóle ustawienia wyjściowe przeglądarki są tragiczne! A swoją drogą. Kto zapamiętuje hasło do banku? chyba tylko ktoś, kto nie szanuje swoich pieniędzy. To tak jak powiesić klucz obok drzwi. Zaproszenie dla złodzieja. Ta funkcja powinna być w ogóle usunięta!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: