19:42
11/9/2017

Przyzwyczailiśmy się już do tego, że raz na pewien czas, jakaś polska firma popełnia popularny błąd umieszczenia odbiorców w polu CC zamiast BCC i nie publikujemy większości przesyłanych do nas zgłoszeń dotyczących tego typu wpadek. Teraz jednak, pozwólcie, zrobimy wyjątek. Bo pomyłka zdarzyła się mBankowi, a od banku macie prawo wymagać większej ochrony waszych danych…

Oto wiadomość, jaką rozesłał jeden z opiekunów klienta mBanku do ponad 740 klientów:

Mleko się rozlało, niektórzy zrozumieli, że to pomyłka i nie żywili pretensji, inni może spodziewali się przeprosin. Ale zamiast tego, 750 odbiorców dostało drugą, bezsensowną dla większości z nich wiadomość z prośbą o odwołanie poprzedniego e-maila. Wiadomość jest bezsensowna, bo większość klientów poczty się do niej nie zastosuje automatycznie.

Dlaczego wyciek adresów e-mail w przypadku banku to poważniejszy problem?

Sprawa z ujawnieniem adresów e-mail zazwyczaj, w przypadku firm które potrafią przyznać się do błędu, kończy się zakupem książek do pobliskiej biblioteki albo przekazaniem darowizny na rzecz domu dziecka (por. Jak walczyć ze spamerem). Niekiedy jednak, taki niefortunny e-mail, jak w przypadku opisywanej przez nas kilka tygodni temu recepcjonistki, może zakończyć się w sądzie (por. Rozesłała pocztę bez BCC, sąd ją ukarał, po czym prokuratura ujawniła dane osobowe wszystkich poszkodowanych i samej skazanej).

Abstrahując od ujawnienia danych osobowych niektórych klientów, w przypadku banku, ujawnienie adresów e-maili klientów może narazić ich na ukierunkowane ataki phishingowe. Teraz 750 osób wie, z usług jakiego banku korzysta 750 odbiorców e-maila… I że ma w nim status “zamożniejszego” klienta, bo tacy doradcy obsługują tylko konta Aquarius z segmentu premium. Innymi słowy, obiekty idealne na spear-phishing.

To nie pierwszy wyciek danych dot. klientów z mBanku

Przypomnijmy, że to nie pierwszy raz, kiedy wyciekają e-maile klientów mBanku — 2 lata temu wyciekły adresy e-mail klientów banku, którzy udzielali się na jego internetowym forum, były po prostu dostępne jawnym tekstem w kodzie źródłowym HTML stron forum… Z mBanku przez pewien czas wyciekały też informacje dotyczące szczegółów kont klientów, w tym sald, por. Uwaga klienci mBanku, wasze saldo było udostępniane zewnętrznej firmie.

Jeśli jesteście klientami mBanku, proponujemy odznaczyć wszystkie zgody na marketing, kontakt e-mailowy. To powinno uniemożliwić omylnym opiekunom klientów na przypadkowe ujawnienie Waszych danych. Piszemy powinno, ponieważ jeden z naszych redaktorów, pomimo odznaczonych zgód na kontakt i marketing, mimo wszystko był spamowany. Ale to historia na kolejny artykuł…

Dziękujemy Czytelnikom Ł, J i M za przesłanie e-maila

Przeczytaj także:



49 komentarzy

Dodaj komentarz
  1. Po co ta wiadomość “Odwołanie” znowu bez BCC? Funkcja jakiegoś programu pocztowego czy efekt pierwszych pogróżek

    • Pewnie w Outlooku. Jak wysyła się w ramach tego samego serwera to można odwołać, o ile odbiorca nie przeczytał.

    • To funkcja w exchange i korporacyjnej poczcie, ale nie ma zastosowania jak odbiorca korzysta z IMAP/ POP

      https://support.office.com/pl-pl/article/Odwo%C5%82ywanie-lub-zamienianie-wiadomo%C5%9Bci-po-jej-wys%C5%82aniu-35027f88-d655-4554-b4f8-6c0729a723a0

    • Gość pewnie spanikował i próbował “Odwołać” wiadomość z poziomu Outlooka. Gdyby to był mail w ramach jednego serwera Exchange, to zostałaby wycofana ze skrzynek adresatów. Niestety w tym wypadku bezsensowny ruch, tym bardziej, że Outlook użył z automatu tej samej (widocznej) listy adresów.

  2. Faktyczne bezsensowna. Ja rozumiem, gość się walnął – każdemu się może zdarzyć, dobrze kombinował z odwołaniem, ludzie mogli by odwidzieć wiadomość którą wcześniej przeczytali – to było by genialne!!! Tyle tylko, że w odwołaniu znowu się tak samo walnął, i co? Nie odwołał odwołania ;pppp

    • Walnął się jeszcze dwa razy, tylko kolejne pomyłki udało się odwołać

  3. Witam, ostatnio dostałem maila z danymi osobowymi innych osob (miejsce zamieszkania, pesel, numer dowodu etc.) i gdy zwróciłem uwagę osobie która mi to wysłała zostałem skrytykowany. Gdzie zgłosić fakt wycieku danych by osoba która wysłała mi te dane poniosła odpowiedzialność ?

    • Do GIODO :)

    • Zgłaszaj do GIODO albo możesz też spróbować uderzyć do “przełożonego” osoby, o której piszesz. Ja miałem też kilka podobnych sytuacji. Gdy dzwoniłem z informacją, że nei wolno czegoś takiego robić to baba prawie opluła mnie przez słuchawkę. Zadzwoniłem ponownie i poprosiłem o przełączenie na kierownika działu – ten był już dużo bardziej skruszony, przepraszał i obiecywał poprawę. Na koniec prosiłem o wyciągnięcie jakiś konsekwencji wobec babska i tyle…

  4. A mi wczoraj niemal skasowali auto. To też dałoby radę odwołać? ;-P

    mBankowi powinno tak GIODO przywalić, żeby się już nie podniósł. Bo są niereformowalni.

    • Bo oni skasowali Ci auto, ale zdążyli odwołać zanim zauważyłeś…

  5. 1. Wydaje mi się, że została złamana tajemnica bankowa …
    2. do kompletu pomyłek brakuje też, żeby mBank się odezwał z żądaniem usunięcia info, powołując sie na stopkę …

  6. Jak na moje, to w takiej instytucji konfiguracja serwera pocztowego, pozwalająca na taką wysyłkę, powinna być traktowana jako rażące zaniedbanie zasad bezpieczeństwa danych osobowych i za sam fakt takiej konfiguracji powinno się naliczać kary. Tyle.

    • Może gościu się nie za bardzo oreientuje w IT, ale przecież to pociotek siedzi za monitorem i nikt mu nic nie zrobi. Sprawę zamiotą pod dywan (jak wszędzie i nie 1 raz).

  7. Szczególnie że włączenie choćby moderowania takich wiadomości w exchange to kilka kliknięć albo linijka w powershelu

  8. Przykro mi, ale wyprowadzę Was z błędu. Odwołanie zgód marketingowych nic nie da. mBank ma ogromne problemy z wędrowaniem danych klientów. Do tego stopnia, że ciągle wydzwaniają do mnie z ofertami z Aspiro/mFinanse (jakaś spółka z ich grupy kapitałowej). Odwołanie zgód marketingowych nic nie dało. Prośby na infolinii nic nie dały. Składane reklamacje nie pomogły. Wreszcie rozstanie się z tą śmieszną instytucją też nie pomogło. Telefony jak były tak są

    • Z tymi zgodami marketingowymi to jakaś epidemia.
      Nie wiem, czy tylko ten bank tak ma.

      Mam to z jedną z grup energetycznych.
      Zadzwoniłem do nich z praktycznie nieużywanego numeru. Prawie tajnego. ;)
      Panienka z BOKu prosiła o telefon do kontaktu.
      Po co?
      Bo może przypomną o spóźnieniu z opłatą, albo złożą jakąś ofertę.
      Nie spóźniam się, a marketingowców nie lubię, więc nie ma potrzeby. Nie zgodziłem się. Koperta raz na kilka miesięcy wystarczy.
      Dwie godziny później dzwonek.
      Sprawdzam biling – dzwonił dzieł marketingowy tej grupy energetycznej, inny niż BOK.
      Dzwonie do BOKu. Panienka – nie ma zgody, nie wiedzą dlaczego, itp.
      Sprawa zamknięta?
      A figę!
      Po jakimś czasie telefon: “Pan Taki Itaki? Dzwonię z firmy …, bo chciał pan poznać naszą nową ofertę dotyczącą energii…”. Imię i nazwisko znała. Noszz…!
      A w BOKu panienka rżnie głupa, że to na pewno jakaś pomyłka itp.
      To było z dwa miesiące temu.
      Nie muszę dodawać, że także zaczęły się dziwne telefony.
      Na numer, z którym przez kilka lat miałem spokój. Przypadek?

      Albo robią to z premedytacją, albo ktoś pokątnie handluje danymi.

    • Niestety jedyny skuteczny sposób by telefon nie wpadał do takiego obrotu – dzwonić na infolinię z zastrzeżoną prezentacją numeru – inaczej nasz numer tak czy inaczej jest w bazie danych systemu call center.

    • Handel numerami kwitnie. Handluja tez kurierzy firm kurierskich. Jakos zawsze po dostarczeniu do mnie jakiejs przesylki na numer kontaktowy ktory mieli przychodzi od razu masa roznych smsow wyludzen smsow premium i telefony z ofertami spotkan kulinarno-sprzedazowych. Z smseami sie ostatnio poprawilo jak zlapali kilka osob trudniacych sie tym procederem. Czyli dalo sie. Moze da sie tez jakos ukrocic handel numerami?

  9. Dzień bez wzmianki o mBanku dniem straconym…

  10. To odwołanie to pewnie mechanizm outlooka. Niestety działa tylko w momencie kiedy mail jest wysłany do ludzi w organizacji (domeny). Wystarczy że jedna osoba otworzy wiadomość i wówczas mechanizm “odwołania wysłanego maila” nie działa. Próba odwołania takiej korespondencji wysłana do różnych odbiorców skutkuje wysłaniem takiej wiadomości. Niestety to przykre.

  11. I kolejny raz ludzie przekonują się, że ‘im więcej wiesz, tym lepiej śpisz’ :)

  12. Nie da sie odznaczyc. Z reszta po co skoro bank ma poziom bezpieczenstwa na poziomie na jaki go stac.
    Co ciekawsze – w bankach zagranicznych dzialajacych w Polsce tez wieje zgroza. Przykladow nie podaje z przyczyn oczywistych.
    Ale najciekawsza wiadomosc dnia to ‘uplynnienie’ danych z jednej z wiekszych instytucji parabankowych (dokladniej wywiadowni gospodarczej) w USA – 150mln osob potencjalnie wystawionych na odstrzal – nazwiska, historie kredytowe, numery kont, wszystko. I nie ma tego na czarnym rynku (albo nie widzialem) a to – wedle mnie – oznacza ze to robota na zamowienie…

    • “Co ciekawsze – w bankach zagranicznych dzialajacych w Polsce ”

      mBank też jest bankiem zagranicznym, jego właścicielem jest niemiecki Commerzbank.

  13. Niestety Mbank to porażka – jeśli chodzi o zgody marketingowe nic nie działa – mam co najmniej kilka maili potwierdzających że nie zgadzam się na kontakt w celach sprzedażowych. Nic nie działa – oprócz blokowania numerów z MBANKu.

    A jeśli chodzi o tą głupotę – może ktoś kto prowadzi szkolenia powinien napisać do MBANKU z propozycją i ofertą szkoleń dla pracowników z Outlooka? :)

  14. Chyba czas na zmianę banku ;) Który polecacie ?

  15. Trzy ustawy złamał, o ochronie danych osobowych, bankową i o funduszach inwestycyjnych.

  16. Jestem klientem mBanku i jestem niezamożny. Co zrobić, jak żyć?

    • Zrobić klona AmberGold.

  17. Droga redakcja mnie po prostu rozwala jak i jeden z Czytelnikow, ktory pisze “Ja rozumiem, gość się walnął”.

    Ja NIE rozumiem — to jest bank. Pracownicy banku nie wysylaja maili ze swoich prywatnych smartfonow siedzac na korytarzu, tylko wysylaja to z dedykowanym koncowek z dedykowanym softem, ktory umozliwia tylko bezpieczne operacje. A to dlatego, ze bank dba o bezpieczenstwo i wydaje odpowiednio na to kase. Dokladnie analogicznie jak ja jako klient, klikam w odpowiednie pole, aby wykonac przelew, a nie wpisuje w jakims manadzerze “INSERT …”.

    Chyba, ze.. chyba, ze bank nie dba o bezpieczenstwo, a tylko robi dobra mine do zlej gry, bo to jest tansze. Wiec prosze przestancie tak z marszu wybielac bank, ze “zdarza sie”, ze “zycie”. mBank odwala amatorszcyzne i tyle.

  18. Instrukcja odwołania zgód marketingowych z mBanku:

    0. korzystamy oczywiście ze słuchawki bluetooth czy zestawu głośnomówiącego, aby się zbytnio nie męczyć,
    1. odklikujemy w systemie transakcyjnym wszystkie zgody,
    2. czekamy na kolejny telefon z super ofertą (tak, oni te braki zgody mają gdzieś),
    3. grzecznie prosimy pana/panią o przeczytanie regulaminu oferowanej przez nich usługi, wraz ze wszystkimi załącznikami,
    4. informujemy, iż nie wyrażaliśmy zgody na kontakt, ale obiecujemy za każdym razem równie dokładnie wysłuchać, co mają nam do zaoferowania.

    Efekt: po 5 latach bezkutecznego żądania zaprzestania nękania, mam już spokój ze 3 lata. Po dobroci się nie dało.

    • Słabo kombinujesz. Wystarczy po odebraniu telefonu przerwać słowotok po drugiej stronie i grzecznie zapytać czy konsultant wyraża zgodę na nagrywanie przez nas rozmowy. Po kilku sekundach konsternacji konsultant sam się rozłącza ;o)

  19. To jednak pewne, niebezpiecznik.pl z takim super neewsem na pierwszej stronie stal sie portalem ktory goni za sensacja. Blad czlowieka i tyle, nie powinno sie zdazyc. Dane email to nie dana osobowa. Blokowanie w cale nie jest takie banalne bo trzeba miec gdzies na boku pelna baze email klientów i ja porownywac przy wysyłce. Jak znacie, ktorys bank co to robi to napiszcie.

    • Niestety większość instytucji (i sam mBank) traktuje e-mail jako dane osobowe. Przykładem jest sprawa sekretarki hotelu opisywana wcześniej.

    • Masz rację i jej nie masz. Wszystko zależy od konstrukcji samego adresu:

      1. imię.nazwisko@nazwa.domeny.pl – taka konstrukcja w przypadku adresu firmowego pozwala jednoznacznie określić tożsamość osoby fizycznej.

      2. biuro@nazwa.domeny.pl – taka konstrukcja adresu e-mail nie umożliwia jednoznacznej identyfikacji osoby fizycznej, bo nie wiemy kto jest odbiorcą – biurem. Identyfikacja będzie możliwa jeżeli np do tego adresu dodamy nr kom lub inne dane, które pozwolą dokonać owej identyfikacji.

    • Blokuje się ilość odbiorców w polu To: lub CC: Zdarza Ci się abyś wysyłał normalny mail do więcej niż jednej osoby i robił kopię do max 3? Przypominam że pole To: służy do zaadresowania maila, czyli tylko osoba w polu To: powinna się ustosunkować do treści, reszta jest tylko powiadamiana o sprawie i nie uczestniczy w dyskusji. Wszystko polega na tym że dorwał się jeden z drugim do klienta poczty i myśli że wszystko wie. A nie zna podstawowych zasad korespondencji. A takie wysyłki wykonuje się przy pomocy specjalnych programów lub chociaż głupiej wtyczki do Thunderbirda która pozwala pobrać adresy email z pliku arkusza danych i odpowiednio spersonalizować treść zwracając się po imieniu do osoby do której email został wysłany. Druga zaleta to taka że każdy widnieje w polu To: osobiście i maile wychodzą osobno co jest korzystniejsze z punktu widzenia punktacji spamowej. Ale takie triki to chyba tylko super wtajemniczonych geeków a zwykły akwizytor nie musi sobie tym głowy zaprzątać.
      I proszę mi tu nikogo nie usprawiedliwiać. Należy mu dokopać bo tylko wtedy zapamięta na całe życie. Osobiście baranowi który to wysłał jak i bankowi który na to pozwolił.

  20. Ludzie są tylko ludźmi, bywa. Ale co może zrobić firma, by zminimalizować ryzyko takich pomyłek? W Thunderbirdzie jest np. dodatek „Use Bcc Instead”. A jak w innych klientach? Co można zrobić po stronie różnych MTA? Fajnie byłoby zobaczyć artykuł na ten temat.

    • Po co klienta konfigurować?
      Na serwerze zablokować i tyle.

    • Czepiacz: Np. dlatego, że większość firm nie ma własnego serwera, na którym mogłyby cokolwiek blokować. Np. dlatego, że CC ma jak najbardziej prawidłowe i użyteczne zastosowania, a problem wynika z implementacji klientów, które domyślnie używają CC zamiast BCC.

      Niemniej pytanie było także o rozwiązania serwerowe.

  21. mBank i bezpieczeństwo?
    Zgłosiłem uszkodzony (zhakowany?) bankomat, który kilka razy prosił o PIN (oczywiście prawidłowo podawany) przed wypłatą pieniędzy i olali zgłoszenie podobnie jak Euronet do którego od razu dzwoniłem zgłaszając problem mając nagrane komórką błędne działanie bankomatu.

  22. Mój serwer reaguje pytaniem “czy jesteś pewien że chcesz wysłać maila”, gdy user wysyła do większej ilości odbiorców. Na czym oparta jest usługa poczty mBanku? Sendmail?

  23. Czyli znowu będą książki :)

  24. Ze zgodami mBanku jest jeden myk – oprócz tych, które są widoczne w interfejsie użytkownika, są jeszcze dwie lub trzy, których użytkownik sam nie zmieni. Należy zadzwonić na infolinię I po prebrnięciu przez muzyczkę etc. zażyczyć sobie od konsultanta wyłączenie WSZYSTKICH zgód. Ja to zrobiłem i nie mam już telefonów z ofertą karty czy konta…

  25. Dzisiaj mBank wykonał przelew 250 PLN bez mojej autoryzacji. Po zgłoszeniu tego na infolinii dostałem prośbę o skontaktowanie się z firmą Cyberproductivity. Cyberproductivity to firma księgowa która podspisała umowę z mbank. Jak widzę ma prawo do tego aby wykonywać przelewy z rachunków Klientów mbank. Dodam że opłata za ich usługi regulowane są na bierząco i nie chodzi tu o żadne zaległości. Kpina.

  26. Nie rozumiem, jak można się tak ścierać z mBankiem po odwołaniu zgód marketingowych.
    Ale najpierw ważna uwaga – firma nie musi mieć żadnej zgody na oferowanie własnych produktów jeśli wiąże nas z nią umowa.
    Przy czym musi mieć zgodę na używanie telekomunikacyjnych urządzeń końcowych i/lub automatycznych systemów wywołujących.

    Kiedy znowu zadzwonią – powołać się na art. 172 prawa telekomunikacyjnego, art 23 ustawy o ochronie danych osobowych i zagrozić sankcjami.
    A kara to do 3% przychodu za rok poprzedni.

    Przetestowane na jednym z banków – po kilku pismach, propozycja ugody za pewną kwotę.

  27. tyle się o tym piszę że mbank powinien być ukarany przez ike wysoką karą za brak szkoleń dla pracowników i brak motywacji pracowników do szoklen

  28. ja mam bardzo dobrą metodę na namolnych telemarketerów – jeśli dzwoni pani, to pytam w co jest ubrana. Jeszcze bardziej dziwnie jest, gdy to jednak dzwoni pan i dostaje podobne pytanie…

  29. Taka sama sytuacja była z Luxmedem. Adresów też było niemało, bo ponad 700. Napisałem w tej sprawie do osoby wysyłającej tego maila, ale zostałem olany… Wtedy przyszło też 6 odwołań. ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: