Oj, nie będzie sierpień 2020 r. okresem mile wspominanym przez kadry mBanku. Po tym, jak testowano na produkcji system powiadomień PUSH, instytucja zalicza kolejną wpadkę. Tym razem naprawdę groźną. W wyniku błędu grupa klientów mogła uzyskać częściowy dostęp do cudzych kont i zapoznać się m.in. z historią transakcji.
"Dzisiaj założyłem swoje pierwsze konto w mBanku. Już podczas zakładania okazało się że w ich bazie widnieje już nr mojego dowodu jako właściciela subkonta mimo że nie miałem z nimi do tej pory do czynienia a właściciel konta jest mi obcy" – pisze świeżo upieczony klient mBanku, cytowany przez Niebezpiecznik. "Następnie założono mi konto mój nr tel został przypisany do innej osoby która dostała powiadomienie że jej numer został zmieniony na mój, ja w międzyczasie otrzymałem SMS z hasłami do realizacji transakcji jak się potem okazało były to hasła tej osoby" – wyjaśnia.
Jak czytamy, na szczęście sprawa rozeszła się po kościach, gdyż obaj zaangażowani okazali się uczciwi. Skontaktowali ze sobą nawzajem, po czym powiadomili bank o problemie. Ten zastosował klasyczną formatkę o błędach technicznych. Za kulisami jednak popełniono karygodną wręcz gafę, która naraziła nieznaną liczbę klientów na utratę poufnych danych.
(Nie) unikatowe identyfikatory
Przy zakładaniu nowych kont w oddziale, z nie do końca jasnego powodu, system nie tworzył nowych rekordów, lecz nadpisywał istniejące. Częściowo. Wskutek tego dotychczasowym klientom mBanku został zmieniony numer telefonu, a klienci nowi zaczęli otrzymywać cudze wiadomości autoryzacyjne. Jakby tego było mało, logując się do aplikacji mobilnej, ci drudzy mogli uzyskać wgląd w historię nieswojego rachunku, choć z własnymi danymi personalnymi.
Według wstępnej analizy Niebezpiecznika, najprawdopodobniej doszło do błędu związanego z porównywaniem numerów dowodu, które bank traktuje jako unikatowe identyfikatory. Przy czym równie dobrze mogły to być na przykład numery PESEL albo przypadkowe numery ID z generatora, co nawet bardziej odpowiadałoby teorii o błędzie przy ich tworzeniu.
Na skutek błędu niewielka grupa klientów mogła zobaczyć informacje dotyczące innych osób. Ze względów bezpieczeństwa natychmiast ograniczyliśmy dostęp do serwisu. Pieniądze klientów są bezpieczne. Z każdą z osób, której ten problem dotyczy kontaktujemy się indywidualnie. Podjęliśmy wszystkie kroki, jakich wymaga od nas prawo, interes i bezpieczeństwo klientów. Bardzo serdecznie przepraszamy wszystkich klientów, których ten problem dotknął – komentuje mBank w oświadczeniu.
Ale sprawa wygląda na poważniejszą niż bank twierdzi. Na oficjalnym profilu społecznościowym cały czas pojawiają się skargi kolejnych poszkodowanych. Summa summarum nie wiadomo ile jest takich osób. Zapewne ma to związek z liczbą świeżych kont, ale ile ich dokładnie założono i w jakim okresie występowała awaria, pozostaje kwestią otwartą. Słowem, totalny rozgardiasz.
