21:51
7/4/2017

mBank przyznaje — informacje o stanie kont jego klientów były przesyłane na serwery Gemiusa, czyli zewnętrznej firmy zajmującej się zbieraniem informacji na temat internautów. mBank stara się przedstawić to jako drobny błąd, ale sprawa może być poważniejsza niż się wydaje.

“Sprzedali dane mojego konta”

4 kwietnia napisał do nas Czytelnik, który korzystając z bankowości internetowej mBanku zauważył dziwne żądania wychodzące na zewnętrzne serwery.

Niedawno zauważyłem podany niżej request z mojej przeglądarki w systemie transakcyjnym mbank i ciekaw jestem komu jeszcze sprzedali dane mojego konta – parametr sarg podaje dokladne saldo z rachunku do serwera zewnetrznego:

GET /_xxxxxx/redot.gif?l=1&id=XXXXXXX.s7&arg=0&sarg=btn-gray-gradient%20navigationButton%20Historia%20operacji%20eKonto%20
XX%20XXX%2CXX%20PLN
||&ref=http%3A%2F%2F0.0.0.0%2Fhml%3D
https%3A%2F%2Fonline.mbank.pl%2Fpl%23||
&href=https://online.mbank.pl/pl
HTTP/1.1
Host: ghmpl.hit.gemius.pl

Oczywiście, o sprawę postanowiliśmy spytać zarówno Gemius (czyli odbiorcę tych danych) jak i mBank. Trochę się zdziwiliśmy, gdy Patrycja Miązek z firmy Science PR (obsługującej Gemiusa) odpisała nam jak niżej:

Panie Marcinie, decyzją Gemiusa i mBanku ten temat komentuje mBank. W związku z tym zapraszam do kontaktu z biurem prasowym banku

Odpowiedź dziwaczna, ponieważ pytania przesłane Gemiusowi dotyczyły działań Gemiusa. Zresztą zobaczcie czego m.in. chcieliśmy się dowiedzieć:

  • do czego Gemius wykorzystywał informacje o saldach klientów mBanku?
  • czy Gemius nawiązał podobną współpracę z innymi bankami, a jeśli tak to z jakimi?

Według nas, wbrew sugestii Gemiusa, mBank nie wydaje się odpowiednim adresatem dla powyższych pytań. Z drugiej strony, taka odpowiedź Gemiusa sugerowała, że to mBank coś zepsuł i w opinii Gemiusa, to on powinien się tłumaczyć.

mBank: “To był błąd. Gemius nie analizował tych danych”

Nie pozostało nam nic innego, niż czekać na odpowiedź banku. A ta, kiedy nadeszła, potwierdziła, że:

w trakcie korzystania z serwisu bankowości elektronicznej, podczas wykonywania określonej operacji, przeglądarka mogła przekazywać do wykorzystywanego przez bank narzędzia analitycznego Gemius nadmiarowe dane.

Krzysztof Olszewski z mBanku, w wypowiedzi dla Niebezpiecznika dodał również, że:

Informacje wysyłane były w formie anonimowej – nie pozwalającej na powiązanie z rzeczywistym klientem. Nie istnieje więc żadne zagrożenie dotyczące bezpieczeństwa zdeponowanych w banku środków. Sytuacja była wynikiem błędnego działania skryptu osadzonego w serwisie banku. Skrypty były osadzone statycznie w domenie mBanku, a przed uruchomieniem produkcyjnym zostały poddane testom realizowanym przez zewnętrznego, niezależnego audytora.
Dane, o których mowa, gromadzone na serwerach firmy Gemius, pozostają własnością mBanku. Firma Gemius nie przekazywała ich żadnym innym podmiotom, ani nie wykorzystywała do jakichkolwiek analiz. Podkreślamy, że dane, o których mowa, wykorzystywane były w celu mierzenia ruchu na stronie banku.
Przepraszamy za błąd.

Przyglądając się temu oświadczeniu należy docenić zarówno szczerość banku, jak i kunszt w doborze słów. W tym przypadku zagrożenie dotyczące środków faktycznie nie istniało. Bank mówi prawdę. Istniało jednak zagrożenie dla prywatności klientów mBanku, o czym bank nie wspomina.

Dodajmy tu, że kilka razy wnikliwie przeczytaliśmy politykę prywatności mBanku. Nigdzie w dokumencie nie ma mowy o przesyłaniu komukolwiek stanu salda. Polityka prywatności wymienia jedynie Gemiusa jako “podmiot trzeci”, który wykorzystuje pliki cookies w celu “pomiaru ruchu internetowego”.

Jak Gemius mógłby deanonimizować klientów mBanku?

Gemius po takim żądaniu, na jakie pozwalał mBank, dysponował adresem IP klienta mBanku i wysokością jego salda (co bardzo ważne — otrzymywał aktualną wartość, a więc mógł śledzić jej zmianę w czasie). Ale to faktycznie za mało, aby “zdeanonimizować” klienta. Ale jeśli na innej domenie (np. jakimś sklepie internetowym korzystającym z usług Gemiusa) pojawiłoby się żądanie do tego samego hosta, czyli ghmpl.hit.gemius.pl (nie wiemy czy tak było, bo Gemius nie udzielił odpowiedzi na nasze pytania), to Gemius za pomocą mechanizmu cookies mógłby powiązać informacje na temat internauty pochodzące z mBanku z informacjami pochodzącymi z profilu sklepu (czyli danymi teleadresowymi). Ba! Sklep pewnie bardzo ucieszyłby się z informacji na temat tego, jakie saldo w banku ma odwiedzający go klient, więc pokusa tego typu działań dla wielu jest pewnie niemała!

gdyn - jedno z trackingowych ciasteczek Gemiusa, pochodzące z innych serwisów, a wysyłane także wraz z żądaniami wymuszanymi przez mBank i zawierającymi saldo

gdyn – jedno z trackingowych ciasteczek Gemiusa, pochodzące z innych serwisów, a wysyłane także wraz z żądaniami wymuszanymi przez mBank i zawierającymi saldo

Wiemy natomiast, że wraz z żądaniem do Gemiusa zawierającym saldo w mBanku, klienci tego banku wysyłali Gemiusowi także inne ciasteczka “trackingowe”, które na ich komputerze osadziły się w przeszłości, po wejściu na inne niż mBank strony internetowe korzystające z usług Gemiusa. A wszystko dlatego, że Gemius swoim trackingowym ciasteczom przypisuje domenę *.hit.gemius.pl (pasującą także do hosta wykorzystywanego przez mBank). Przykładowo, jedna z naszych testowych przeglądarek, posiadała takie ciasteczko:

Ciasteczko to, wedle serwisu webcookies.org, ustawia 21 966 serwisów. Sporo możliwych danych do korelacji… Zauważcie też, że tego typu korelacje są możliwe nawet wtedy, kiedy w parametrze do śledzącego gifa osadzonego na stronach mBanku (redot.gif) nie byłby wysyłany parametr z saldem.

Na marginesie, w sprawie zewnętrznych skryptów JS warto także poczynić dodatkową uwagę dla wszystkich właścicieli serwisów internetowych. Osadzanie skryptów JavaScript z zewnętrznej domeny może narazić serwis internetowy na atak persistent XSS. Niegroźna zawartość skryptu ładowanego z zewnętrznej domeny (np. biblioteki jQuery) w przypadku ataku na tę zewnętrzną domenę, może zostać zmodyfikowana w złośliwy sposób (np. wykradajacy dane lub w przypadku bankowości internetowej, podmieniający wprowadzane numery rachunków).

Pytając o sprawę Gemiusa i bank chcieliśmy wiedzieć zwłaszcza to, czy pomiędzy podmiotami istniała jakaś umowa dotycząca przekazywania danych o saldzie konta i profilowania na ich podstawie klientów na potrzeby podmiotów trzecich. Z powyższych odpowiedzi wnioskujemy, że umowy między mBankiem i Gemiusem dotyczyły jedynie mierzenia ruchu w serwisie. Dane należały do banku i wedle niego nigdy nie były wykorzystywane do analiz innego rodzaju.

Ryzyko naruszenia tajemnicy bankowej

Skoro brak dowodów na to, aby Gemius korelował informacje pobierane z mBanku “w wyniku błędnego działania skryptu” z innymi danymi i przez to nie da się połączyć tych informacji z z konkretną osobą, to czy zatem można powiedzieć, że… nic się nie stało?

O komentarz w tej sprawie poprosiliśmy Fundację Panoptykon, która zajmuje się problemami związanymi z wykorzystywaniem danych o ludziach. Prezeska Fundacji Katarzyna Szymielewicz w rozmowie przyznała, że sprawa jest poważna. W grę wchodzą nie tylko problemy związane z ochroną danych osobowych, ale też ryzyko naruszenia tajemnicy bankowej.

Zdaniem Katarzyny Szymielewicz to zrozumiałe, że bank wykorzystuje informacje o saldzie klientów na potrzeby marketingu własnych produktów np. aby skierować propozycję kredytu do kogoś, u kogo pojawiły się wyższe wydatki, albo lokaty do kogoś, kto właśnie ujawnił wyższe wpływy. Natomiast to w żadnym razie nie oznacza, że bank może takie informacje przekazać dalej, innym firmom i reklamodawcom. Bo nie może.

Bank, nawet jeśli sam profiluje swoich klientów bez ich wiedzy i zgody, nie może tych informacji udostępniać innym podmiotom w celach marketingowych (“jeśli interesują was klienci z takim saldem konta, z takimi przychodami i wydatkami, to my ich mamy”). Mogę sobie wyobrazić duży popyt na takie informacje na rynku reklamy behawioralnej, ale ich przekazywanie poza bank nie mieści się w uzasadnionym interesie administratora danych i jest po prostu nielegalne – mówi Katarzyna Szymielewicz.

Jeszcze raz warto dodać, że w tym przypadku wszystko okazało się błędem. Gdyby jednak było to zaplanowane działanie… byłoby naprawdę źle.

“Jedna dana, druga dana i prywatność wy***na”

Można też zastanowić się, czy zestawienie informacji o saldzie w innymi “anonimowymi” danymi tworzy duże zagrożenie dla prywatności? W tym kontekście można przypomnieć, jak w listopadzie zeszłego roku dziennikarze niemieckiej telewizji Norddeutscher Rundfunk (NDR) zdobyli próbkę “zanonimizowanych” danych użytkowników wtyczki Web of Trust. Niestety te zanonimizowane dane pozwoliły im dotrzeć do 50 ludzi, którzy potwierdzili używanie wtyczki.

Jeśli zbierzemy odpowiednio dużo informacji o człowieku to wcale nie musimy mieć imienia i nazwiska podanego na tacy. Jak to mówią:

“Jedna dana, druga dana i prywatność wy***na”.

Mam konto w mBanku — co robić, jak żyć?

Teraz już za późno na reakcję po stronie klienta. mBank, póki co, zaprzestał serwowania żądania do Gemiusa. Mimo wszystko, proponujemy aby w przeglądarkach z których korzystaliście do obsługi konta bankowego usunąć wszystkie ciasteczka gemiusowe, czyli te pochodzące z domen:

hit.gemius.pl
alt.adocean.pl
alt.hudb.pl

W przypadku przeglądarki Chrome, możecie to zrobić przechodząc pod ten adres: chrome://settings/cookies, a w przypadku Firefoksa przechodząc pod adres about:preferences#privacy i klikając w “Show Cookies”.

Generalnie, dobrym pomysłem pod kątem ochrony prywatności będzie także wyłączyć obsługę 3rd party cookies w przeglądarce i wyposażyć się w jakiś dodatek typu adblock i noscript.

Relacja między klientem a bankiem nie powinna polegać na tym, że bank udostępnia dane o klientach osobom trzecim i sam decyduje o tym, jaki zestaw danych będzie wystarczający do zachowania prywatności. Bank ma zarabiać na świadczeniu usług bankowych. Bankowi wręcz płacimy za pilnowanie naszych pieniędzy, ale także pewnych informacji o nas. Bank to nie jest Facebook czy Google.

Bez problemu możemy przyjąć do wiadomości wyjaśnienie banku, że to był błąd (patrząc na opis parametru, który był wysyłany, faktycznie wygląda to na pomyłkę programistyczną — z drugiej jednak strony tak najlepiej to ukryć ;). Błędy się zdarzają — mBank ma na Niebezpieczniku nieźle udokumentowaną historię wpadek (por. Wyciek adresów e-mail klientów mBanku). Zresztą, błąd to w tej sytuacji znacznie lepiej niż “zaplanowane działanie“. Nie możemy jednak w kontekście tego zdarzenia stwierdzić, że nic się nie stało. I kategorycznie nie możemy powiedzieć, aby nad takim zachowaniem banku dało się przejść do porządku dziennego. Oby więc takich błędów było jak najmniej. Nie tylko w tym banku.

Przeczytaj także:


78 komentarzy

Dodaj komentarz
  1. Ciekawe czy ta “wpadka” może mieć związek ze zbieraniem danych do KIR i czy inne banki też miały podobne ficzery. Swoją drogą taka wtopa, niezależnie od przyczyn czy celów, zasługuje na pozew zbiorowy.

    • Za takie wycieki “niecelowe” to KAJDANY SIĘ %&^#$ należą. JAK DŁUGO BĘDĄ nasze dane wyciekać z banków, od pracodawców (hostingi na gmailu), z uczelni o zaległościach (podobnie – wszechobecny gmail.

      JAK DŁUGO BĘDĄ systemy Microsoftu w instytucjach państwowych? Czy baza PESEL też jest na sprzedaż poza granice kraju? Ile im płaci za to gmail, gemius i microdoft?

    • Minsterstwo Finansów dane firm w postaci JPK przechowuje i przetwarza w Chmurkach MSFT, a wy tu szum o saldo konta.

    • MBank to niemiecki bank należący do Commerzbank.
      69,53 proc. akcji mBanku (dawnego BRE Banku) należy do niemieckiego Commerzbank AG
      Mam nadzieję że będzie pozew i otrzymają wysokie kary finansowe jako przykład.

      Ps.
      Coś ostatnio te zagraniczne banki nie mają szczęścia w Polsce bo to już czwarta głośna wpadka :)

  2. czy da się jakoś zablokować ciasteczka z gemiusa (czarna lista) ?

    • Ja używam Privacy Badger (wtyczka do Mozilli), który wykrywa i blokuje ciasteczka i adresy używane do śledzenia użytkownika, a pozostałe przepuszcza.

    • Też właśnie zacząłem używać borsuka i po kilku odwiedzinach na onecie zostawił mi tam tylko kilka pustych prostokątów, innymi słowy – zablokował praktycznie cały portal. Ten soft jest absolutnie genialny, polecam! :D

  3. Dobra doczytałem do końca artykuł :P

    • Zaprawde, rodzice będą z Ciebie dumni.

    • Świetnie, w nagrodę dostaniesz ciasteczka od Gemiusa. ;)

    • Nie, nie, niee, co jak się zakrztuszę?

  4. Sugestia wyłączenia 3rd party cookies jest trochę na wyrost w dzisiejszych czasach, gdzie mnóstwo witryn ma wiele domen, między którymi przekazuje owe ciasteczka i po wyłączeniu tychże takowe witryny przestają działać, lub co gorsza, działać błędnie/wadliwie w jakiejś części.
    NoScript to też niezbyt dobry pomysł, bo w przypadku powyższego błędu mBanku mielibyśmy do wyboru albo brak działania serwisu (blokada JS w domenach mBanku) albo bez zmian (bo JS są z domen mBanku).
    Bardziej bym się zastanawiał czy mógłby pomóc jakiś uBlock albo uMatrix, które blokują selektywnie adresy i/lub rodzaje żądań.
    Ciekawe też, co na to dodatki w rodzaju Ghostery…

    • EFF stworzył Privacy Badger’a do takich rzeczy. Ustawia sie sam, nie rozwala stron i działa.

      Osobiście uzywam tez no-scripta i po miesiącu praktyki wiem, które skrypty odblokować by strona działała. No i ustawienia się zapamiętują, więc zabawę mam tylko na nowych stronach. Największą korzyścią jest brak durnych banerów “zasubskrybuj newslettera”.
      No script blokuje też XSS i przy transakcjach kartą muszę zezwalać na przepuszczenie. Albo wreszcie ogarnąć regex i dopisać zasadę do listy ;)

    • Ghostery daje sobie radę zarówno z gemiusem jak i innymi śledzikami.

  5. Wyłączenie 3rd party cookies to jedna z pierwszych rzeczy, jakie robię w przeglądarce, a Gemiusa dodatkowo wycina mi Adblock. Pozamiatane :-)

  6. Gemius i mBank powinni otrzymać pierdyliardowe kary za to.
    Jaki musg wymyślił używanie zdupy obcych skryptów wewnątrz systemu tranzakcyjnego.

    • Gemius nie powinien dostac zadnej kary, ta firma udostepnia technologie mierzenia, natomiast implementacje tego leży po stronie tego kto tą technologię kupuje.
      Oni są tutaj wizerunko przypadkową ofiarą błędu mBank. Tak to był błąd, podejrzewam ze w skrypcie wstawionym na stronie zabraklo zamknięcia.

  7. Ja dziś rano zwróciłem się pisemnie do GIODO, UOKiKU oraz KNFu o zbadanie tej sprawy. Zobaczymy co to organy państwowe…

  8. Ciasteczkowym danożercom mówimy NIE.

    Wszystkie *gemius*cookies paaaszły…

  9. Najprościej do pliku host dodać następujace wiersze:
    0.0.0.0 15minadlt.hit.gemius.pl
    0.0.0.0 hit.gemius.pl
    0.0.0.0 activeby.hit.gemius.pl
    0.0.0.0 ad.hit.gemius.pl
    0.0.0.0 adactiongapl.hit.gemius.pl
    0.0.0.0 adafi.hit.gemius.pl
    0.0.0.0 adbg.hit.gemius.pl
    0.0.0.0 adclick.hit.gemius.pl
    0.0.0.0 adcz.hit.gemius.pl
    0.0.0.0 adee.hit.gemius.pl
    0.0.0.0 adhr.hit.gemius.pl
    0.0.0.0 adlt.hit.gemius.pl
    0.0.0.0 adlv.hit.gemius.pl
    0.0.0.0 adnet.hit.gemius.pl
    0.0.0.0 adnetgalt.hit.gemius.pl
    0.0.0.0 adocean-by.hit.gemius.pl
    0.0.0.0 adocean-cz.hit.gemius.pl
    0.0.0.0 adocean-ee.hit.gemius.pl
    0.0.0.0 adocean-hr.hit.gemius.pl
    0.0.0.0 adocean-lt.hit.gemius.pl
    0.0.0.0 adocean-lv.hit.gemius.pl
    0.0.0.0 adocean-pl.hit.gemius.pl
    0.0.0.0 adocean-ro.hit.gemius.pl
    0.0.0.0 adocean-si.hit.gemius.pl
    0.0.0.0 adocean-ua.hit.gemius.pl
    0.0.0.0 adro.hit.gemius.pl
    0.0.0.0 adrs.hit.gemius.pl
    0.0.0.0 advice.hit.gemius.pl
    0.0.0.0 advicead.hit.gemius.pl
    0.0.0.0 aolt.hit.gemius.pl
    0.0.0.0 aolv.hit.gemius.pl
    0.0.0.0 apolloadlv.hit.gemius.pl
    0.0.0.0 arbo.hit.gemius.pl
    0.0.0.0 aripaadee.hit.gemius.pl
    0.0.0.0 avt.hit.gemius.pl
    0.0.0.0 allegro.hit.gemius.pl
    0.0.0.0 axel.hit.gemius.pl
    0.0.0.0 b92adrs.hit.gemius.pl
    0.0.0.0 bestjobs.hit.gemius.pl
    0.0.0.0 bg.hit.gemius.pl
    0.0.0.0 blitzadbg.hit.gemius.pl
    0.0.0.0 ghm_bulgaria.hit.gemius.pl
    0.0.0.0 centrumcz.hit.gemius.pl
    0.0.0.0 ua.cnt.gemius.pl
    0.0.0.0 corm.hit.gemius.pl
    0.0.0.0 counter.gemius.pl
    0.0.0.0 cz.hit.gemius.pl
    0.0.0.0 darikspaceadbg.hit.gemius.pl
    0.0.0.0 delfiadlt.hit.gemius.pl
    0.0.0.0 delfiadlv.hit.gemius.pl
    0.0.0.0 delfiadee.hit.gemius.pl
    0.0.0.0 delfilv.hit.gemius.pl
    0.0.0.0 diginetlt.hit.gemius.pl
    0.0.0.0 digital4adro.hit.gemius.pl
    0.0.0.0 dirbg.hit.gemius.pl
    0.0.0.0 edipresse.hit.gemius.pl
    0.0.0.0 ee.hit.gemius.pl
    0.0.0.0 eega.hit.gemius.pl
    0.0.0.0 eniro.hit.gemius.pl
    0.0.0.0 gaae.hit.gemius.pl
    0.0.0.0 gaat.hit.gemius.pl
    0.0.0.0 gaba.hit.gemius.pl
    0.0.0.0 gabe.hit.gemius.pl
    0.0.0.0 gabg.hit.gemius.pl
    0.0.0.0 gaby.hit.gemius.pl
    0.0.0.0 gacz.hit.gemius.pl
    0.0.0.0 gadk.hit.gemius.pl
    0.0.0.0 gaee.hit.gemius.pl
    0.0.0.0 gadnet.hit.gemius.pl
    0.0.0.0 gahu.hit.gemius.pl
    0.0.0.0 gajo.hit.gemius.pl
    0.0.0.0 gail.hit.gemius.pl
    0.0.0.0 gakz.hit.gemius.pl
    0.0.0.0 galb.hit.gemius.pl
    0.0.0.0 galindia.hit.gemius.pl
    0.0.0.0 galt.hit.gemius.pl
    0.0.0.0 galv.hit.gemius.pl
    0.0.0.0 gamd.hit.gemius.pl
    0.0.0.0 gamk.hit.gemius.pl
    0.0.0.0 gapl.hit.gemius.pl
    0.0.0.0 gars.hit.gemius.pl
    0.0.0.0 garo.hit.gemius.pl
    0.0.0.0 garu.hit.gemius.pl
    0.0.0.0 gask.hit.gemius.pl
    0.0.0.0 gatr.hit.gemius.pl
    0.0.0.0 gaua.hit.gemius.pl
    0.0.0.0 gazeta.hit.gemius.pl
    0.0.0.0 gdebg.hit.gemius.pl
    0.0.0.0 gdeil.hit.gemius.pl
    0.0.0.0 gdecz.hit.gemius.pl
    0.0.0.0 gdelv.hit.gemius.pl
    0.0.0.0 gdesk.hit.gemius.pl
    0.0.0.0 gders.hit.gemius.pl
    0.0.0.0 gdetr.hit.gemius.pl
    0.0.0.0 gemadhu.hit.gemius.pl
    0.0.0.0 generalmediaadhu.hit.gemius.pl
    0.0.0.0 gg.hit.gemius.pl
    0.0.0.0 gde-default.hit.gemius.pl
    0.0.0.0 ghmme.hit.gemius.pl
    0.0.0.0 ghmbg.hit.gemius.pl
    0.0.0.0 ghmpl.hit.gemius.pl
    0.0.0.0 ghmrs.hit.gemius.pl
    0.0.0.0 goldbach.hit.gemius.pl
    0.0.0.0 gspro.hit.gemius.pl
    0.0.0.0 gtlt.hit.gemius.pl
    0.0.0.0 gtlv.hit.gemius.pl
    0.0.0.0 idg.hit.gemius.pl
    0.0.0.0 hr.hit.gemius.pl
    0.0.0.0 hu.hit.gemius.pl
    0.0.0.0 huadn.hit.gemius.pl
    0.0.0.0 icorpadro.hit.gemius.pl
    0.0.0.0 idm.hit.gemius.pl
    0.0.0.0 interia.hit.gemius.pl
    0.0.0.0 investoradbg.hit.gemius.pl
    0.0.0.0 keepaneyeadmk.hit.gemius.pl
    0.0.0.0 kon.hit.gemius.pl
    0.0.0.0 lrytasadlt.hit.gemius.pl
    0.0.0.0 ls.hit.gemius.pl
    0.0.0.0 lt.hit.gemius.pl
    0.0.0.0 lv.hit.gemius.pl
    0.0.0.0 mbank.hit.gemius.pl
    0.0.0.0 mediaregad.hit.gemius.pl
    0.0.0.0 metagaua.hit.gemius.pl
    0.0.0.0 mreg.hit.gemius.pl
    0.0.0.0 negadbg.hit.gemius.pl
    0.0.0.0 netsprint.hit.gemius.pl
    0.0.0.0 neogenadro.hit.gemius.pl
    0.0.0.0 o2.hit.gemius.pl
    0.0.0.0 o2adpl.hit.gemius.pl
    0.0.0.0 oglasnikadhr.hit.gemius.pl
    0.0.0.0 ohtulehtadee.hit.gemius.pl
    0.0.0.0 olx.hit.gemius.pl
    0.0.0.0 onet.hit.gemius.pl
    0.0.0.0 opt.hit.gemius.pl
    0.0.0.0 prefix.hit.gemius.pl
    0.0.0.0 pracuj.hit.gemius.pl
    0.0.0.0 pro.hit.gemius.pl
    0.0.0.0 protvadmd.hit.gemius.pl
    0.0.0.0 rbcgaru.hit.gemius.pl
    0.0.0.0 realitateadro.hit.gemius.pl
    0.0.0.0 ringieradrs.hit.gemius.pl
    0.0.0.0 ringieradro.hit.gemius.pl
    0.0.0.0 ro.hit.gemius.pl
    0.0.0.0 ro1adro.hit.gemius.pl
    0.0.0.0 rp.hit.gemius.pl
    0.0.0.0 scz.hit.gemius.pl
    0.0.0.0 see.hit.gemius.pl
    0.0.0.0 seznam.hit.gemius.pl
    0.0.0.0 si.hit.gemius.pl
    0.0.0.0 sk.hit.gemius.pl
    0.0.0.0 slovakia.hit.gemius.pl
    0.0.0.0 spir.hit.gemius.pl
    0.0.0.0 spl.hit.gemius.pl
    0.0.0.0 sportaladbg.hit.gemius.pl
    0.0.0.0 st.hit.gemius.pl
    0.0.0.0 st1.hit.gemius.pl
    0.0.0.0 std1.hit.gemius.pl #[WebBug]
    0.0.0.0 str.hit.gemius.pl
    0.0.0.0 stua.hit.gemius.pl
    0.0.0.0 thinkdigitaladro.hit.gemius.pl
    0.0.0.0 tr.hit.gemius.pl
    0.0.0.0 tvn.hit.gemius.pl
    0.0.0.0 ua.hit.gemius.pl
    0.0.0.0 vbadbg.hit.gemius.pl
    0.0.0.0 webgroundadbg.hit.gemius.pl
    0.0.0.0 wp.hit.gemius.pl
    0.0.0.0 wykop.hit.gemius.pl
    0.0.0.0 home.hit.stat.pl
    0.0.0.0 onet.hit.stat.pl
    0.0.0.0 s1.hit.stat.pl
    0.0.0.0 s2.hit.stat.pl
    0.0.0.0 s3.hit.stat.pl
    0.0.0.0 s4.hit.stat.pl
    0.0.0.0 sisco.hit.stat.pl
    0.0.0.0 http://www.stat.pl

    • u mnie właśnie poleciało:
      *.gemius.pl
      *.adocean.pl
      *.hudb.pl
      – nie będę się bawił z indywidualnymi subdomenami.
      Do dupy to wszystko… rozumiem, akceptuję i nie mam nic przeciwko by portale na których regularnie siedzę miały dokładne dane o tym co czytam, co klikam, co komentuję, ale w tej sytuacji – mój interes jest najważniejszy.

    • @jasc: w windowsowym hosts to nie zadziała. M$ wyciął opcję wildcard jeszcze w XP… trzeba albo wszystkie domeny wycinać z osobna albo gdzie indziej…

    • jasc: Twojego interesu już nie ma (nawet tego szeroko pojętego), ponieważ powinno Cię interesować co wiedzą o Tobie inne firmy. Jeżeli nie interesuje Cię prywatność, to sorry Gregory, ale na bezpieczeństwo też nie zasługujesz.

    • @Łukasz – wrzuciłem te domeny (i dorzuciłem jeszcze te “spółdzielni”) do blokowania przez wtyczki, w hosts nie chciało mi się grzebać; parę innych rzeczy wycinam już na routerze.

      @Kraina Grzybów – to nie jest takie proste: wyjątek zrobiłem dla niewielu portali, w tym tego, którymi jestem faktycznie zainteresowany. Większość z nich działa komercyjnie – dostarcza dobry content i zarabia na reklamach; dzięki analityce wiedzą jakie treści są najbardziej atrakcyjne dla odbiorcy i mogą pozyskać reklamodawców. Jeśli zablokujesz wszystkie skrypty, w tym reklamowe – te portale znikną, a Ty stracisz content który Cię interesuje i zostaną Ci tylko amatorskie, hobbystyczne stronki, albo paywalle – wolisz tak? Ja nie.
      Dla webdevelopera analityka ma kluczowe znaczenie – przez jej coraz powszechniejsze blokowanie albo spoofowanie, dane z GA na mniejszych stronach są coraz mniej wiarygodne i użyteczne.
      Powiem więcej – klikam w reklamy, które zazwyczaj kompletnie mnie nie interesują – tylko po to, by portal który cenie mógł zarabiać i działać dalej; np. na portableapps.com mam whitelist i CTR na poziomie 50%!

    • @jasc – i przy CTR tego rzedu jestes przez kazdy system klasyfikowany jako spamer. Efekt: serwis dostaje rowne zero z twoich klikow. Milego klikania.

  10. Wyłączyłem AdBlocka i resztę na tej stronie, no bo przecież bank – poważna instytucja itd., ale skończyło się – strona jak każda inna i będzie podlegać takim samym restrykcjom. Smutne…

    • Niestety ale prawdziwe bezpieczeństwo nie zna wyjątków. Gdy jest chociaż jeden – masz dziurę w systemie.

  11. We wszystkich podstawowych listach AdBlock / uBlock , Gemius jest standardowo blokowany (u mnie gemius.pl zawsze na pierwszym miejscu pod względem ilości zablokowań), a wcale nie trzeba wyłączać AdBlocka, żeby w pełni korzystać z serwisu mBank czy innych. (oni to niby polecają, ale wcale włączone blokowanie wcale nie utrudnia korzystania z serwisu)

  12. Jestem programistą od kilku dobrych lat, ale moja wiedza widocznie jest bardzo mała, ponieważ nie jestem w stanie wyobrazić sobie w jaki sposób można “pomylić się” w ten sposób? Jeszcze nazwa zmiennej “sarg: która aż woła “saldo argument”. Przy manipulacji DOMem programista doskonale wie do którego elementu chce się odwołać a tym bardzie ściągnięcie wartości z JavaScriptu, więc ciężko uwierzyć mi w “błąd programisty” :)
    Chyba, że macie jakieś wytłumaczenie… Piotrze?

    • To tylko pokazuje, gdzie mają nasze dane osobowe. Oni nie zasługują na podawanie im prawdziwych danych. Poczytaj trochę panoptykon.org, a dowiesz się o co chodzi – oni wszyscy mają WŁADZĘ nad Tobą. Tu nie chodzi o nic innego niż władzę – im Ci z góry będą wiedzieć więcej o Tobie, tym więcej będą mieli haków. Dlatego zawartość systemu PESEL oraz twoje dane medyczne już fruwają w chmurach Tora. Nie to, żeby Tor był zły – źli są ludzie, którzy chcą władzy nad innymi.

      Czy 10 lat temu wisiało Ci tyle kamer nad głową?

    • Dobra, dziś zobaczyłem zdekodowany URL i faktycznie wygląda na pomyłkę
      ciąg znaków: “btn-gray-gradient navigationButton Historia operacji eKonto
      XX XXX,XX PLN”
      wskazuje na pobranie fragmentu strony w formie tekstowej. Znajdują się tam zarówno nazwy klas jak i fragmenty tekstów ze strony (w tym nieszczęsne saldo).

      Skrypty gemiusa dokładnie skanują stronę i wyciągają z niej fragmenty to być może zrozumiałe (i akceptowalne, jeżeli dzieje się to tylko u użytkownika), bo w jakiś sposób muszą budować dokładne statystyki. Dlaczego jednak bank nie sprawdził tego przed wdrożeniem skryptów? Oraz, jeżeli miał umowę z gemiusem na świadczenie takich usług, dlaczego nie zadbał o ograniczenie statystyk do odwiedzania strony? Przecież w tym wypadku atak na infrastrukturę gemius i podmiana plików JS, spowodowałby pełen dostęp do wszystkich informacji dostępnych na danej stronie zalogowanego do banku użytkownika.. brrr…

    • No to pięknie, ciekawe, za którym razem, poleci hasło wpisywane na formularzu przy pobieraniu fragmentu struktury DOM tej strony. To już nie wygląda na niecelowe ze strony banku. Dlaczego nie ograniczył się tylko do wstawienia ramki gemiusa na stronie?

      Poza tym na stronie banku nie powinien użytkownik być śledzony. Czy nie stać ich na napisanie własnego kawałka kodu, który będzie to robił? Niestety po takiej wpadce – mBank won stąd!

  13. Do FF bardzo fajna jest wtyczka Self Destructing Cookies. Nie blokuje całkowicie przyjmowania ciasteczek, ale po określonym czasie po zamknięciu zakładki kasuje wszystkie ciasteczka ustawione przez stronę która była w niej otwarta.
    Wadą jest to, że potrafi rozwalić single sign-on i trzeba się ponownie logować do powiązanych serwisów (np. usługi obsługiwane przez Google), i czasami się zdarza że trzeba się ponownie logować po restarcie przeglądarki.
    Mimo to – warto.

    • O, dzięki za info, że coś takiego istnieje. Dla chromowanych jest też coś podobnego – https://chrome.google.com/webstore/detail/tab-cookies/iahecghojagkcoehfhfknajofkokndjm
      A co do wylogowywania po restarcie przeglądarki, to w dzisiejszych czasach jak dla mnie jest to zaleta, a nie wada.

    • Na ponowne logowanie pomaga keepass + keefox, 1 klik i zalogowany, nie jest to aż tak uciążliwe, można się przyzwyczaić (mi to 1 dzień zajęło), bardziej problematyczne jest zmusić się by coś zacząć, bo tyle haseł do przepisania z przeglądarki …

    • @Holian Jak jest tylko hasło to nie ma problemu. Czasami trzeba jeszcze wklepać kod. A i nie wszystkie hasła są trzymane w managerze.

    • Wiem co masz na myśli, ja do teraz nie potrafię (pewnie nie ma nawet takiej funkcji) przeskoczyć problemu wpisywania tylko częściowo (co któryś znak w haśle – chyba się do maskowanie hasła nazywa)

  14. Odkąd pamiętam, nazwa “gemius” pojawiała się zawsze w jakichś nieciekawych okolicznościach. Albo jakieś wyskakujące gówno z zachętą do wypełnienia ankiet, albo dziwny ruch w ich kierunku, albo teraz to…
    Nie łudzę się, wiem że tacy jak oni istnieją i będą istnieć ale straszne to jest.

    • Twój problem załatwi odpowiedni skonfigurowany uBlock i Ghostery.

  15. Witam, ile jeszcze obywatele tego kraju będą w pozycji niewolnika? Ile jeszcze będziemy przejawiać mentalność genu niewolnika? Instytucje robią nas w ciula – róbmy procesy zbiorowe! Zażądajmy po 1000zł odszkodowania dla każdego klienta banku + pokrycie kosztów procesu. Raz, drugi, trzeci i zaczną Cię szanować OBYWATELU!

    • Jesteś niewolnikiem i nim pozostaniesz na zawsze. Małym trybikiem wykorzystywanym, przez tych co mają władzę. DO KOŃCA ŻYCIA nim będziesz.

    • W Polsce i nie tylko, żeby żądać czegoś od jakiejś firmy musisz udowodnić stratę przed sądem, powodzenia.

    • ▌▌Holian: — „W Polsce i nie tylko, żeby żądać czegoś od jakiejś firmy musisz udowodnić stratę przed sądem, powodzenia.”

      Zależy pewnie jakiego papugę najmiesz — kilka lat temu małżeństwo dostało 10.000 za kartkę świąteczną z banku — mieli na papierze usunięcie danych osobowych i wystarczyło.

  16. Polecam dodatek do przeglądarki:
    Ghostery

  17. Teraz UKS’y będą miały co robić. Ukrywaliście forsę w mbanku, to będziecie się tłumaczyć skąd ją macie.

  18. Pozew na mbank z rana jak śmietana

  19. Dobra – a jakie są szanse na wykorzystanie tej sytuacji na swoja korzyść? Jakieś odszkodowanie lub inne forma gratyfikacji??

    Macie jakiejś pomysły?

  20. Jak to zablokować na starej Operze (12.18)

  21. SKANDAL!

  22. > Osadzanie skryptów JavaScript z zewnętrznej domeny może narazić serwis internetowy na atak persistent XSS.

    Można temu zapobiec używając Subresource Integrity: https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity

  23. Według wypowiedzi na wykop sprzed kilkunastu minut (profil zweryfikowany), umowa jednak istniała:
    “Współpracę między firmami reguluje umowa.”

    Swoją drogą strach przekazywać pieniądze bankom aczkolwiek państwo reguluje prawo tak żeby jak najwięcej funduszy znalazło się na kontach (ciekawe czy to zabezpieczenie przed ewentualnym kryzysem).

  24. Trzeba było pytać nie fundację tylko od razu skarga do KNF-u!

  25. Jestem zielony w temacie i byłbym wdzięczny za oświecenie mnie (i wwszystkich podobnie niedoinformowanych):
    czy żądanie (podpisanego przez pracownika banku) potwierdzenia bądź zaprzeczenia wycieku takich danych może być technicznie spełnione? Czy tego typu wywołanie jest logowane od strony serwera czy tylko lokalnie w przeglądarce klienta?

  26. Z czym jeszcze “rozmawia” system mBanku?

    Moje spostrzeżenia po lekturze ogólnodostępnego kodu ich strony/systemu:

    – Komunikacja z Gemius wygląda na wyłaczoną, tj. zmienili ScriptEnabled na false (widać to w źródle po zalogowaniu).

    – ale… w ten sam sposób wyłaczone jest także coś o nazwie Ebre.Hicron.

    Ale cóż to takiego? Po chwili szukania ujawnia się adres, który miałby zostać wywołany gdyby w/w było włączone:

    api.spoldzielnia.nsaudience.pl/frontend/api/dataReceiver.png?token=…-…-…-…-….&provId=mbank&userId=’ + Ebre.Hicron.CustomerId;
    (źródło: https://online.mbank.pl/Scripts/Shared/hicronPixel.js.

    Strona http://spoldzielnia.nsaudience.pl/ przekierowuje na http://audience.netsprint.eu/, tam zaś dowiadujemy się, iż jest to SPÓŁDZIELNIA DANYCH.

    W zakładce dostawcy znajdujemy “5 powodów, dla których warto dołączyć do spółdzielni danych”:
    pkt 1. Dodatkowe źródło przychodów – każdy Dostawca Danych uczestniczy w podziale przychodów proporcjonalnie do swojego wkładu w danym typie danych.
    Zaś poniżej, w dziale FAQ: Spółdzielnia Danych generuje przychody na sprzedaży segmentów użytkowników (profile demograficzne, intencje zakupowe i profile zainteresowań) do reklamodawców bezpośrednich, a także agencji reklamowych, domów mediowych i DSP.

    O ile Gemius to zapewne faktycznie analityka, to czy ninejsza spółdzielnia nie wygląda na zarobkową sprzedaż danych?

    • Całe szczęście, Filtr znajduje się na liście: POL: polskie filtry do Adblocka i uBlocka

  27. Chyba czas się pożegnać z tym bankiem, po 10 latach współpracy

    • Dłuższy staż i już po “rozwodzie”. Ulga jakby się wysiadło z przedziału pociągu, w którym trafiło się jechać z obsesyjnym pierdołą mądralą.

  28. Dla Firefoxa jest “Selective cookie delete”. Mam ustawione na “za każdym razem gdy zamykam przeglądarkę.

  29. Co na to służby nadzoru finansowego teoretycznego państwa?

  30. Bank uwaza ze problemu nie ma i winna jest przegladarka a nie oni:

    Tomasz Łopatka xx:xx:xx Potwierdzamy, że w trakcie korzystania z serwisu bankowości elektronicznej, podczas wykonywania określonej operacji, przeglądarka mogła przekazywać do wykorzystywanego przez bank narzędzia analitycznego Gemius nadmiarowe dane. Informacje wysyłane były w formie anonimowej – nie pozwalającej na powiązanie z rzeczywistym klientem. Nie istniało więc żadne zagrożenie dotyczące bezpieczeństwa zdeponowanych w banku środków.
    Dane, o których mowa, gromadzone na serwerach firmy Gemius, pozostają własnością mBanku. Gromadzone były w celu mierzenia ruchu na stronie banku. Firma Gemius nie przekazywała ich żadnym innym podmiotom, ani nie wykorzystywała do jakichkolwiek analiz.
    Sytuacja była wynikiem błędnego działania skryptu osadzonego w serwisie banku. Skrypty były osadzone statycznie w domenie mBanku, a przed uruchomieniem produkcyjnym zostały poddane testom realizowanym przez zewnętrznego, niezależnego audytora

    Jak widac winna jest przegladarka a nie filia niemieckiego banku dla polakow

  31. Reklamację rozpatrzymy standardowo w ciągu 30 dni, jednak nie później niż w ciągu 60 dni od dnia otrzymania.

    Czyli – odpowiemy ze mamy Ciebie tam gdzie ciemno gdy sprawa przyschnie a w zamian dostaniesz superoferte na drogi kretyt i niemal nieoprocentowane lokaty :)

  32. Dobrze, niech wiedzą wszyscy że mam 0zl

  33. ” wraz z rządaniami wymuszanymi ” – proszę, poprawcie – aż oczy bolą.

  34. dzwonilem to mi probowali wmowic ze to wlasnie osadzony blad skryptu a ja mowie do tej pani ze to celowe dzialania w celu udostepniania moich kurwa danych to ona ze podnosze glos itd nie ma nawet nikogo kompetentnego do rozmowy w tym zjebanym banku mieli kilka afer na koncie ale teraz to przegieli po 14 latach zamykam tam konto i chuj im w dupe

  35. Ciekawe info właśnie się pojawiło w UK:
    https://www.theguardian.com/business/2017/apr/09/wonga-data-breach-could-affect-250000-uk-customers

    • Ich niedorzecznik popelnil zdaje sie standartowy tekt ktory odczytuja / podsylaja w razie zgloszenia reklamacji. A jak ktos sie nie poddaje to 60 dni i bujaj sie.
      Sadze ze to jest tez z ich strony test na to ile osob dba o jakakolwiek prywatnosc – byc moze jako przygotowanie nowej wspanialej umowy z jakims sprzedawca garnkow albo innym ‘niemieckim przemyslem’

      Sadze ze trzeba wykorzystac ze chwilowo opcja niemiecka ma w plecy i podsylac masowo zgloszenia do KNF (tu moze bank najbardziej zabolec) ale i do GIODO (ale wtedy pewnie tylko ABI poleci).
      Moze bank aluzje zrozumie i zacznie klientow traktowac jak ludzi a nie jak barany na rzez.

  36. Polecam wtyczkę do FF: Self-Destructing Cookies. Domyślnie automatycznie usuwa cookies po zamknięciu okna. Można dodawać domenę do white list. Doskonale usupełnia się z Ghostery albo adBlockiem.

  37. No to już wiem skąd na mailu mam oferty szybkich pożyczek wszelkiej maści, z których nigdy nie korzystałem. Wysyp maili mam w momencie kiedy stan konta dobija do 0 zł.

  38. Jeśli Gemius nie ma podpisanej z mBankiem umowy outsourcingowej, na którą dał zgodę KNF to takie przekazywanie informacji jest złamaniem tajemnicy bankowej. Kropka. Nie ma żadnego pijarowego wytłumaczenia że to wina przeglądarki. Ktoś kto podpisał umowę z Gemiusem wiedział dokładnie co zlecał.
    Jeśli nie mają zgody KNF na ousourcing to każdy może zgłosić to do prokuratury i myślę, że głowy spadną.
    Jeśli mają zgodę na outsourcing – mogą robić co chcą – możemy się zżymać godzinami a i tak nic nie poradzimy.

  39. mBankowi kroliczki sie dalej legna w lepetynach.
    W odpowiedzi na email z reklamacja zazadali…. przeslania reklamacji emailem :) W sumie czego oczekiwac od filii upadajacego niemieckiego banku przeznaczonej do golenia Polakow… Ponizej tekst emaila przeslanego przez mBank w odpowiedzi na email z reklamacja. Swoja droga ktos kto pisal ten tekst polskiego musial sie uczyc eksternistycznie jesli nie korespondencyjnie:

    Dzień dobry,

    w celu rozwiązania opisanej sprawy proszę Pana o złożenie reklamacji.

    Reklamację może Pan złożyć:

    1. Z pomocą eksperta online, konsultanta mLinii lub doradcy w placówce mBanku.

    Do połączenia z ekspertem online proszę przygotować identyfikator klienta

    i hasło do serwisu transakcyjnego

    Proszę przygotować identyfikator klienta i telekod

    Proszę zabrać aktualny dokument tożsamości

    * Opłata za połączenie z mLinią zgodna z opłatą przewidzianą przez operatora wg aktualnego cennika.

    2. Reklamację może Pan także złożyć pisemnie lub pocztą elektroniczną.

    Jeśli będzie Pan chciał złożyć reklamację pocztą elektroniczną proszę podać Pana dane osobowe umożliwiające identyfikację, tj. numer rachunku oraz imię i nazwisko oraz zachować ciągłość korespondencji.

    W reklamacji w formie pisemnej wysłanej na adres korespondencyjny banku proszę, aby Pan umieścił imię, nazwisko, adres do korespondencji, numer PESEL i Pana podpis.

    Reklamację w postaci elektronicznej proszę przesłać na adres kontakt@mbank.pl, a w przypadku reklamacji pisemnej na adres poczty tradycyjnej:

    mBank S.A.

    Bankowość Detaliczna

    Skrytka Pocztowa 2108

    90-959 Łódź 2

    Zgłoszenie rozpatrzymy standardowo w ciągu 30 dni, jednak nie później niż w ciągu 60 dni od dnia jego otrzymania.

    Odpowiedź na reklamację otrzyma Pan tradycyjnym listem albo w formie e-mailowej, jeśli wyrazi Pan zgodę na otrzymanie odpowiedzi w formie elektronicznej.

    Proszę podać w wiadomości zwrotnej formę, w jakiej mamy udzielić Panu odpowiedzi na reklamację. Oczywiście w każdym momencie trwania procesu reklamacyjnego, telefonicznie lub e-mailowo, może Pan dokonać zmiany formy wysyłki odpowiedzi na reklamację.

    Pełne zasady składania reklamacji odnajdzie Pan na naszej stronie pod adresem: http://www.mbank.pl/o-nas/reklamacje.html

    W przypadku dodatkowych pytań związanych z reklamacją zachęcam Pana do rozmowy z ekspertem online lub konsultantem mLinii.

    Przepraszam za wszelkie utrudnienia związane z opisywaną sytuacją.

  40. co by nie gadali z mbanku.. mam znajomego w dziale bezpieczeństwa w gemiusie.. to się dzieje od zmiany systemu, notorycznie dla wszystkich rodzajów kont oraz usług na zlecenie mbanku :)

    są sposoby aby to zablokować o czym informowałem na forach wielokrotnie. Używajcie dostępnych narzędzi – po to macie choćby scriptlokera, czy domainlinka.. czy choćby lightlinka – ale pamietajcie dodatki do przeglądarki też nie są święte, a także niektóre programy jak np. rocketdock – który pięknie raportuje gdzie łazimy :)

    dla przykładu na niebezpiecznik’u dane zbiera:
    1. google,
    2. doubleclick
    3. newrelic
    4. facebook

    a podpięte pod to wszystko jest min. gemius :)

    od tego macie tcpdumpa :P

  41. swoją drogą jak się przyjrzeć dokładnie to ghostery od mw. 2 lat podsyła “coś” w ramach analityki działania do swojego taty, podobnie jak adblocki, lighteningi itp badziewie. Z bezpiecznych narzędzi mamy snort, tcpdump, ipfilter, a do tego ciasteczka w ram dysku, ważne max godzinę, w przeglądarce blokowane domyślnie skrypty z domen zewnętrznych, wyłączone ramki, zagnieżdżone skrypty, wywalony flesz, środowisko air itp.. funkcjonalność spada o 90%, ale wiesz co się dzieje :)

  42. Dostalem odpowiedz od KNF na moje zgłoszenie, z którego na moje oko wynika ze moge sobie to zgłaszac na ……….
    W sumie naprawdę trudno się dziwic że ludzie mają dość tego państwa.
    By nie było. Doceniam fakt, że przynajmniej dostalem odpowiedz czego jeszcze niedawno bym nie uswiadczyl. Idzie nowe?

    Poniżej odpowiedź.

    W nawiązaniu do Pana korespondencji e-mailowej z dnia 10.04.2017 r. dotyczącej działalności mBanku SA, Urząd Komisji Nadzoru Finansowego uprzejmie informuje, że przyjmuje sygnały o nieprawidłowościach w działalności nadzorowanych podmiotów, a otrzymane informacje są wykorzystywane w procesie sprawowania nadzoru nad tymi podmiotami zgodnie z przysługującymi Komisji Nadzoru Finansowego kompetencjami.
    Jednocześnie wyjaśniam, że informacje o wszczętych konkretnych działaniach nadzorczych nie są przekazywane osobom zgłaszającym nieprawidłowości w działalności podmiotów nadzorowanych z uwagi na to, że nie są stronami postępowań prowadzonych wobec nadzorowanych podmiotów a ww. działania organu nadzoru nie mają bezpośredniego wpływu na rozstrzygniecie zgłoszonych przez nich spraw.

    Należy wskazać, że czynności wyjaśniające podejmowane wobec podmiotów nadzorowanych dotyczą kwestii będących przedmiotem nadzoru bankowego, określonych w art. 133 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2016 r., poz. 1988 – j.t.). Ww. działania podejmowane są w takim zakresie jaki wynika z celów sprawowanego nadzoru bankowego.

    Ww. działania nadzorcze podejmowane przez UKNF w stosunku do pomiotów nadzorowanych mogą być skutkiem indywidualnego zgłoszenia klienta banku lecz nie służą rozwiązywaniu indywidualnego sporu zaistniałego pomiędzy podmiotem i jego klientem. Urząd Komisji Nadzoru Finansowego nie dokonuje oceny działań podmiotów nadzorowanych w kontekście realizacji zobowiązań umownych. Zakaz ingerencji w przedmiot sporu wynika wprost z art. 138 ust. 7 ustawy Prawo bankowe, zgodnie z którym środki podejmowane w ramach nadzoru nie mogą naruszać umów zawartych przez bank.

    Jednocześnie informuję, że w przypadku potrzeby uzyskania dodatkowej pomocy istnieje możliwość skontaktowania się z organizacją konsumencką lub powiatowym (miejskim) rzecznikiem konsumentów, którzy zajmują się udzielaniem porad prawnych i pomocy prawnej konsumentom w sporach z przedsiębiorcami. Dane teleadresowe organizacji konsumenckich znajdują się na stronie internetowej Urzędu Ochrony Konkurencji i Konsumentów (www.uokik.gov.pl).

    Dodatkowo, w sprawach indywidualnych, skargi i wnioski dotyczące nieuwzględnienia roszczeń indywidualnych klientów będących osobami fizycznymi przez podmioty rynku finansowego w trybie reklamacji, można kierować do Rzecznika Finansowego. Informacje na temat sposobu składania skarg i wniosków w indywidualnych sprawach znajdują się na stronie internetowej Rzecznika Finansowego (www.rf.gov.pl).

    W przypadku zaistnienia sporu cywilnoprawnego, organem właściwym do jego rozpoznania, poprzez weryfikację stanowiska podmiotu nadzorowanego oraz wydanie wiążącego rozstrzygnięcia, jest właściwy rzeczowo i miejscowo sąd powszechny.

    Sprawa o charakterze sporu cywilnoprawnego powstała pomiędzy podmiotem nadzorowanym a jego klientem może zostać skierowana do Sądu Polubownego przy KNF. Warunkiem koniecznym jest wyrażenie zgody przez obie strony sporu na postępowanie przed Sądem Polubownym.

    Sąd Polubowny w zakresie orzekania jest organem niezależnym od KNF. Funkcjonowanie przy KNF niezależnego podmiotu dedykowanego do polubownego rozwiązywania sporów może być skuteczną alternatywa dla długotrwałego postępowania przed sądami powszechnymi zarówno z punktu widzenia czasu trwania postępowania, jak i z punkt widzenia kosztów postępowania sądowego. Należy podkreślić, że wyrok Sądu Polubownego oraz ugoda przed nim zawarta, po zatwierdzeniu przez właściwy miejscowo i rzeczowo sąd powszechny wskazany przez przepisy ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2014 r., poz. 101 z późn. zm.), mają moc prawną na równi z wyrokiem sądu powszechnego. Więcej informacji o Sądzie Polubownym przy KNF znajduje się na stronie http://www.knf.gov.plzakładka : Sąd Polubowny.

    Departament Ochrony Klientów
    URZĄD KOMISJI NADZORU FINANSOWEGO
    Pl. Powstańców Warszawy 1
    00 – 950 Warszawa
    Tel. 22 262 40 54
    Fax. 22 262 40 74
    Email dok@knf.gov.pl

  43. Wydaje się że to działanie wyczerpuje znamiona​ przestępstwa naruszenia tajemnicy bankowej. Ciekawe czy komuś będzie się chciało napisać zawiadomienie o podejrzeniu popełnienia przestępstwa, pole do popisu dla kancelarii dręczących banki …

  44. No nie wiem czy te dane były takie anonimowe, bo od jakiegoś czasu wydzwaniali do mnie pseudo-doradcy (spoza mBanku) w sprawie inwestycji Forex. Jak tylko do mBanku wpłynęła kasa od kontrahentów i saldo oszczędności było znaczne to miałem telefon. Od ok. miesiąca telefonów już nie ma. Nie oskarżam, nie mam dowodów, ale się zastanawiam, bo widzę pewną zależność…

  45. Forex – potwierdzam, miałem dokładnie to samo. Najpierw telefony, później maile.

  46. No cóż, po tej historii KNF wpadło do mbanku i Gemiusa… zrobili wielkie halo, mbank przeprosił i niby wszystko ok.. ale nie do końca…

    Okazuje się że Gamius zbiera tyle danych, że istnieje możliwość połączenia danych z IP logowanie oraz .. uwaga przy otwieraniu dokumentów np zmiana cennika, jesteśmy pięknie przekierowywani na stronkę na której już nas monitoruje i google, i gemius i doubleclick… no i fingerprint przeglądarki + ip …. i mamy saldo, imię i nazwisko oraz numer konta – piękne co :)

    więc niby coś zrobili, ale tylko aby KNF się odp… a dane no cóż przy odpowiednim nakładzie finansowym i przy posiadaniu odpowiedniego centrum przetwarzania danych wiemy o kliencie:
    1. jak sie nazywa, ile ma kasy, jakie produkty przegląda – na stronie mbnaku,
    2. gmius i google wiedzą też jaki ma profil i w jakim serwisie, oraz jak nie dbasz … to wiedzą gdzie mieszkasz, jak wyglądasz, gdzie pracujesz…
    3. ps.. wiedzą więcej niż policja :)

  47. a jak robisz zakupy w żabce – to wiedzą co jesz i co pijesz :P

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: