Dane 1000 klientów mBanku opublikowano w internecie

[Grandalf]

Dane 1000 klientów mBanku opublikowano w internecie, ale ktoś twierdzi, że pozyskał ich 100 razy tyle. Bank powiadomił klientów i obejmie ich dodatkową ochroną

Ktoś w internecie szuka firm chętnych na zakupienie bazy 100 000 klientów mBanku. Jako potwierdzenie posiadania takiej bazy, sprzedawca opublikował w internecie plik tekstowy z danymi tysiąca klientów. Uspokójmy klientów mBanku, że ujawniono tylko numery kont, nazwiska i adresy zamieszkania. Nie ujawniono ani danych logowania ani numerów telefonu. O sprawie poinformowaliśmy mBank i jesteśmy zadowoleni z jego podejścia do obsługi tego incydentu — zrobił to, co należało.

“Dostaliśmy propozycję”

Pod koniec maja do redakcji Niebezpiecznika napisała osoba, która podała się za pracownika “firmy finansowej” zajmującej się doradztwem i kredytami.

Dostalismy propozycje kupna danych 100 tysiecy klientów mBanku. Do maila byl dolaczony link do przykladowej listy. Udalo nam sie potwierdzic dwa z tych kont wiec wyglada na to ze w mbanku maja wyciek.

W mailu był jeszcze link do pliku tekstowego na Pastebin. Plik zawierał 1000 rekordów, każdy z następującymi danymi:

• numer konta,
• imię i nazwisko (lub nazwa firmy),
• ulicę, kod pocztowy i miejscowość.

Nasz źródło sprawdziło dwa konta i okazały się one prawidłowe. My sprawdziliśmy kilkadziesiąt zestawów danych i za każdym razem trafialiśmy na osoby prowadzące jakąś działalność gospodarczą. Dane właścicieli firm zwykle są łatwiejsze do ustalenia niż dane osób nieprowadzących działalności. Warto też zwrócić uwagę na to, że numery kont firm nie są tajemnicą, więc ta baza niekoniecznie musiała pochodzić z “wycieku z banku”. Ktoś mógł po prostu poskładać ją z różnych źródeł (po numerze rachunku można przecież ustalić, w jakim banku ktoś ma konto). Takie dane można zebrać nawet z informacji o przelewach wyciągniętych z jakiejś innej firmy lub poprzez przeszukanie różnych zasobów np. Allegro albo platform sklepów internetowych.

Podsumowując, nie można na podstawie opublikowanych danych stwierdzić, że lista klientów mBanku faktycznie została stworzona poprzez nieautoryzowany dostęp do serwerów mBanku lub że sporządził ją któryś z pracowników. Po prostu samo istnienie tego zestawu danych nie stanowi całkowicie pewnego dowodu. Tak czy inaczej, zgłosiliśmy sprawę bankowi, a ten potraktował ją poważnie.

mBank zareagował, sprawdził, powiadomił

Bank najpierw poprosił nas o udział w telekonferencji, w której wziął udział jego rzecznik wraz z osobami odpowiedzialnymi w mBanku za bezpieczeństwo. Przekazaliśmy bankowi pewne swoje spostrzeżenia i wysłuchaliśmy uwag z jego strony. Nasze ustalenia były w dużej mierze zbieżne.

Specjaliści mBanku zrobili wywiad w darkwebie i nie natknęli się nigdzie na podobne ogłoszenia. Czas ujawnienia bazy danych (na krótko przed RODO) oraz całkowicie anonimowe źródło kazały postawić pytanie, czy głównym celem inicjatywy nie było zaszkodzenie marce mBanku? Oczywiście nawet gdyby taki był cel działania sprawców, żadne dane z bazy nie powinny wyciekać. W czasie telekonferencji potwierdzono, że istotnie osoby wskazane w bazie były klientami mBanku.

Zabezpieczono też pewne dowody i znalazły się pewne tropy, o których na razie nie chcemy pisać. Wiemy, że mBank porównał zgromadzone dane z historią ich zmian w swojej bazie. Takie porównania pozwalają ustalić okres, w jakim dane zostały wyciągnięte z bazy. W tym przypadku nie wszystkie dane jakimi dysponował sprzedawca się zgadzały z obecnym stanem w bazach mBanku i to nasuwa podejrzenie, że dane mogły pochodzić z innego źródła, z różnych okresów, albo nie pochodziły z baz banku w całości.

Co wyciekło?

Wyciekły tylko numery kont, nazwiska i adresy 1000 osób z różnych części Polski. Sprzedawca twierdzi, że ma tego 100 razy więcej, ale pozostałych danych nie opublikował.

W pliku jaki widzieliśmy nie było numerów PESEL, numerów dowodów czy np. loginów do bankowości internetowej, a to stanowiłoby o wiele większy problem. Oczywiście wyciek najbardziej podstawowych danych, jeśli zostały one wyprowadzone z systemów bankowych, również jest niedopuszczalny. mBank ma na szczęście tego pełną świadomość. Dlatego nawet pomimo tak niekrytycznych danych, jakie wyciekły, sprawą zajęto się bardzo poważnie (widzieliśmy wiele reakcji różnych firm, także banków — i marzy nam się, aby każda była taka jak to, co zaprezentowali pracownicy banku w przypadku tego incydentu).

Dziś rano otrzymaliśmy od banku oświadczenie poniższej treści:

Otrzymaliśmy informację, że w sieci zostały opublikowane dane 1000 osób i podmiotów powiązanych z bazą klientów mBanku. Były to podstawowe dane osobowe, które nie pozwalają na realizowanie transakcji bankowych w żadnym kanale dostępu. Część tego typu informacji widnieje w ogólnodostępnych spisach firm i instytucji. Podjęliśmy działania prewencyjne, które pozwolą zabezpieczyć naszych klientów przed potencjalnymi zagrożeniami.

Informację, że ktoś opublikował wybrane dane osobowe powiązane z bazą naszych klientów, otrzymaliśmy 4 czerwca. Natychmiast zaczęliśmy je weryfikować. Okazało się, że dostępne w sieci dane dotyczyły 1000 osób lub podmiotów. Obejmowały one: imię i nazwisko lub nazwę firmy, adres pocztowy oraz numer rachunku bankowego.

Tego typu dane przekazywane są standardowo między klientami banków w trakcie realizacji przelewów – widać je w danych nadawcy. Część tych danych widnieje również w ogólnodostępnych spisach firm i instytucji.

W mBanku wszelkie sygnały dotyczące naruszenia danych traktujemy niezwykle poważnie, dlatego:

1. Po weryfikacji listy dostępnej w sieci podjęliśmy skuteczne działania, by ją zablokować.
2. Wszystkich obecnych klientów z tej listy objęliśmy dodatkową ochroną. Oznacza to, że ich operacje są monitorowane i weryfikowane w sposób ponadstandardowy.
3. Klienci z tej grupy otrzymali od nas maila z informacją na temat tego zdarzenia. W wiadomości przekazaliśmy również najważniejsze zasady bezpieczeństwa.
4. Zdarzenie zgłosiliśmy Urzędowi Ochrony Danych Osobowych.
5. Sprawę przekażemy również organom ścigania, ponieważ istnieje podejrzenie popełnienia przestępstwa.

Naszych klientów bardzo przepraszamy i zapewniamy, że sprawę traktujemy jako priorytetową pod każdym względem. Aktualnie badamy ją pod kątem potencjalnych źródeł ujawnienia. Bezpieczeństwo naszych klientów i ich danych jest dla mBanku sprawą najwyższej wagi.

Informacje na temat zasad bezpieczeństwa on-line, w tym tych związanych z danymi osobowymi, publikujemy na naszych stronach w internecie. Do dyspozycji klientów są też Eksperci online, konsultanci mLinii i doradcy w placówkach w całej Polsce.

Jestem klientem mBanku. Co robić? Jak żyć?

Jeśli korzystasz z usług mBanku i wyciek Cię dotyczył, prawdopodobnie dostałeś/dostałaś już z banku maila na ten temat. Bank zobowiązał się także do monitorowania Twoich transakcji w sposób ponadstandardowy. Zastanów się, czy Twoje imię, nazwisko i adres nie były już wcześniej udostępniane w sieci. Jeśli masz jakieś szczególne obawy i pytania, możesz się z nimi zwrócić zarówno do mBanku jak i do nas.

Prewencyjnie, zalecamy czujność — gdyby ktoś do Ciebie dzwonił i podawał się za konsultanta w banku, nie kontynuuj rozmowy (por.

Zaloguj lub Zarejestruj się aby zobaczyć!

). Jeśli w ostatnim czasie dostałeś spam dotyczący usług finansowych na dane teleadresowe, które podałeś mBankowi — daj nam znać. Firma, która się z Tobą kontaktowała mogła pozyskać Twoje dane (i dane 100 000 innych osób) właśnie z tego wycieku. Jest prawdopodobne, że sprzedawca z kimś już “dobił targu”.

A można jeszcze kupić tę bazę?

Jeśli ktoś ostatnio oferował Ci sprzedaż tysięcy danych klientów mBanku to

Zaloguj lub Zarejestruj się aby zobaczyć!

. Stanowczo odradzamy skorzystanie z tej oferty. Jakość danych jest niepewna (niektóre są już inne), a świadomość ludzi co ochrony ich danych ciągle rośnie. Korzystanie z baz niepewnego pochodzenia może się skończyć nie tylko podważeniem zaufania do Twojego marketingu, ale i konsekwencjami prawnymi. W epoce RODO zwiększa się ilość obowiązków informacyjnych, a Urząd Ochrony Danych Osobowych zapowiadał rzetelne badanie, czy administratorzy danych starannie podchodzą do przetwarzania danych zgodnie z prawem. Lepiej zainwestować środki w budowanie własnej bazy.

Gdyby czytał nas sprzedawca — także zapraszamy do kontaktu. Brakuje nam bowiem jeszcze jednej informacji, której nie udało się pozyskać. Ile ta baza miała kosztować?

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[OXYGEN THIEF]

Ktoś udostępnił w serwisie Docer.pl mnóstwo dokumentów m.in. z wykazami operacji, adresami i nazwiskami klientów polskich banków. Zakres tego wycieku zdecydowanie nie pozwala go potraktować jako drobnego incydentu.

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Kamelka]

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[al]

Zaloguj lub Zarejestruj się aby zobaczyć!