Masz konto w mBanku? Gemius mógł pobrać informacje na temat twojego salda
Bardzo niepokojące niedopatrzenie na stronie internetowej mBanku. Firma śledząca aktywność w sieci mogła zobaczyć, ile pieniędzy mają na koncie klienci banku.
O sprawie napisał portal zaufanatrzeciastrona.pl, zajmujący się tematyką bezpieczeństwa w sieci. Czytelnik zauważył, że "przeglądarka wysyła ruch do serwera ghmpl.hit.gemius.pl". O ile zwykle są to informacje na temat otwartej karty czy zakładek, tak w tym przypadku przesyłane było także saldo rachunku.
Serwis zaufanatrzeciastrona.pl prześwietlił też stronę mBanku, dzięki czemu można było potwierdzić, że jeszcze dzisiaj w nocy saldo rachunku w mBanku mogło trafiać na serwery Gemiusa, czyli firmy, która zajmuje się analizowaniem aktywności w internecie.
“Dane z badania Gemiusa służą reklamodawcom, agencjom reklamowym i domom mediowym do szacowania potencjału reklamowego stron www i planowania kampanii online” - czytamy na stronie firmy.
Nie da się jednak ukryć, że informacje na temat posiadanych pieniędzy to bardzo prywatna sprawa. I żadna firma nie powinna mieć do takich danych dostępu.
Dobra wiadomość jest taka, że wysokość salda nie była powiązana z właścicielem konta. Owszem, suma, jaka jest na koncie, poszła w świat i trafiła na serwery, ale nie ujawniono przy tym, kto dokładnie tyle pieniędzy posiada.
Jest też zła wiadomość. O tym pisze portal zaufanatrzeciastrona.pl:
"Przesyłanie salda rachunku do firmy zajmującej się analizą statystyczną zachowań internautów nie jest dobrą wiadomością. Nawet w najprostszym ujęciu, regularna analiza wysokości salda pozwala ustalić chociażby miesięczne przychody posiadacza rachunku. Jeśli firma analizująca dane nie zna imienia i nazwiska tej osoby, to może oznaczyć jej przeglądarkę swoim ciasteczkiem i w ten sposób identyfikować w przyszłości. To naszym zdaniem zdecydowanie zbyt daleko idąca ingerencja w prywatność użytkownika".
Dzięki interwencji portalu zaufanatrzeciastrona.pl mBank wyłączył skrypty analityczne. W komunikacie banku czytamy:
"Rzeczywiście w trakcie korzystania z serwisu bankowości elektronicznej, podczas wykonywania określonej operacji przeglądarka przekazywała do wykorzystywanego przez bank narzędzia analitycznego Gemius nadmiarowe dane. Informacje te wysyłane były w formie anonimowej – niepozwalającej na powiązanie z rzeczywistym klientem – wyłącznie do firmy Gemius, z którą bank ma podpisaną stosowną umowę. Bezpośrednio po zgłoszeniu skrypty analityczne zostały wyłączone. Obecnie żadne dane nie są przekazywane do Gemiusa. Trwają analizy mające potwierdzić przyczynę tej sytuacji.
Był to błąd, za który bardzo przepraszamy".
Gemius jeszcze nie skomentowal sprawy.
