GIODO sprawdzi mBank




Generalny inspektor ochrony danych osobowych sprawdzi, czy internetowy mBank
nie naruszył przepisów o ochronie danych osobowych, dotyczących
zabezpieczeń. Powodem zajęcia się tą sprawą są doniesienia mediów o
nieprawidłowościach w zabezpieczeniach baz danych banku.

pap, dzisiejsza Rzeczpospolita

o co tu chodzi?

do góry

Andrum napisał(a):
> o co tu chodzi?

groups.google.pl
polecam archiwum, lub chocby przejzenie postow z ostatniego tygodnia

Sierp

do góry

oto całość artykułu:

Główny inspektor ochrony danych osobowych wszczął postępowanie, które ma
wyjaśnić, czy łódzki mBank narusza ustawę o ochronie danych osobowych. Decyzja
w tej sprawie zapadła po informacjach, że system komputerowy banku nie jest
szczelny, przez co osoby postronne mogą zdobyć dane klientów. Do zastrzeżonych
danych, m.in. adresu klienta i stanu jego konta, można było dotrzeć, klikając w
specjalnie utworzony link.

REKLAMA
- Chcemy sprawdzić, czy bank ma odpowiednie zabezpieczenia chroniące dane
osobowe i czy w systemie rzeczywiście istnieje luka. Jeśli tak jest, będziemy
musieli zawiadomić prokuraturę - mówi Małgorzata Kałużyńska-Jasak, rzecznik
głównego inspektora ochrony danych osobowych.

Sprawa bezpieczeństwa kont w mBanku wypłynęła już we wrześniu 2005 roku.
Okazało się wtedy, że z konta warszawskiego biznesmena Andrzeja K. "wyparowało"
220 tys. zł. Dyspozycje przelania pieniędzy na inne konto zostały wydane przez
mężczyznę o nieustalonych personaliach z telefonu komórkowego na kartę.

Osiem miesięcy później z konta innego klienta łódzkiego mBanku zniknęło około
400 tys. zł. Bank utrzymywał to w tajemnicy. - Zawinił człowiek, a nie system
bankowy. Poszkodowanemu klientowi zrekompensowaliśmy stratę - tłumaczyła
wówczas Magda Ossowska, rzeczniczka mBanku. Sprawą zajęła się łódzka
prokuratura. Postępowanie nadal się toczy.

- Usunęliśmy już nieprawidłowości, które umożliwiały dostęp do zastrzeżonych
danych. Nasi klienci mogą być spokojni - zapewnia Ossowska.


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Dnia 13 Jan 2007 22:15:11 +0100, p...@o...eu napisał(a):

> Okazało się wtedy, że z konta warszawskiego biznesmena Andrzeja K. "wyparowało"
> 220 tys. zł. Dyspozycje przelania pieniędzy na inne konto zostały wydane przez
> mężczyznę o nieustalonych personaliach z telefonu komórkowego na kartę.
>
> Osiem miesięcy później z konta innego klienta łódzkiego mBanku zniknęło około
> 400 tys. zł.

Powyższy fragment dedykuję tym, którzy w wątku na temat haseł
jednorazowych do rachunku eMax-Plus, posądzali mnie o paranoję.

--
Pozdrowienia,
Krzysztof

do góry

Użytkownik "Chris" <chris94@WYTNIJ_TO.poczta.fm> napisał w wiadomości
news:eobqmo$n9g$1@nemesis.news.tpi.pl...
>> Osiem miesięcy później z konta innego klienta łódzkiego mBanku zniknęło
>> około
>> 400 tys. zł.
>
> Powyższy fragment dedykuję tym, którzy w wątku na temat haseł
> jednorazowych do rachunku eMax-Plus, posądzali mnie o paranoję.

ZTCP chodziło o nieuczciwego pracownika, który pomógł "wyprowadzić" kasę, a
nie o lukę w zabezpieczeniach.
pozdrawiam

do góry

Dnia Sun, 14 Jan 2007 00:47:56 +0100, Huckleberry napisał(a):

> ZTCP chodziło o nieuczciwego pracownika, który pomógł "wyprowadzić" kasę, a
> nie o lukę w zabezpieczeniach.

Jeśli pracownikowi udało sie pieniądze wyprowadzić, to znaczy że luka w
zabezpieczeniach istniała.

--
Pozdrowienia,
Krzysztof

do góry

Użytkownik "Chris" <chris94@WYTNIJ_TO.poczta.fm> napisał w wiadomości
news:eobsla$ppt$1@nemesis.news.tpi.pl...
> Jeśli pracownikowi udało sie pieniądze wyprowadzić, to znaczy że luka w
> zabezpieczeniach istniała.

Ok, ale w zabezpieczeniach wewnątrzbankowych, a nie w hasłach jednorazowych.
pozdrawiam

do góry

Dnia Sun, 14 Jan 2007 01:15:41 +0100, Huckleberry napisał(a):

>> Jeśli pracownikowi udało sie pieniądze wyprowadzić, to znaczy że luka w
>> zabezpieczeniach istniała.
>
> Ok, ale w zabezpieczeniach wewnątrzbankowych, a nie w hasłach jednorazowych.
> pozdrawiam

A czy hasła jednorazowe nie należą do systemu zabezpieczeń mBanku?
System zabezpieczeń powinien tworzyć spójna całość i jeśli w jakiejś
części systemu jest dziura, to nie można twierdzić, że system jest
dobry, bo "dziura dotyczy tylko jakiejś jego części, a nie całości".
Czy masz pewność, że do tych kradzieży doszłoby także wtedy, gdyby na
koncie eMax-Plus obowiązywały hasła jednorazowe?
Poza tym, zadziwiający jest brak konsekwencji ze strony mBanku:
Do likwidacji zwykłej lokaty jest potrzebne hasło jednorazowe, a do
likwidacji "lokaty a-vista" (bo tak mBank kwalifikuje konto eMax-Plus)
już tego hasła nie potrzeba!
Dla mnie brak tych haseł kojarzy się jednoznacznie z chęcią do
inkasowania po 5 zł od każdego dodatkowego przelewu z konta, znacznie
mocniejszą od deklarowanej dbałości o bezpieczeństwo środków klienta na
koncie.

--
Pozdrowienia,
Krzysztof

do góry

Użytkownik "Chris" <chris94@WYTNIJ_TO.poczta.fm> napisał w wiadomości
news:eodol6$irr$1@atlantis.news.tpi.pl...
> A czy hasła jednorazowe nie należą do systemu zabezpieczeń mBanku?
> System zabezpieczeń powinien tworzyć spójna całość i jeśli w jakiejś
> części systemu jest dziura, to nie można twierdzić, że system jest
> dobry, bo "dziura dotyczy tylko jakiejś jego części, a nie całości".

Wszędzie się można włamać. Dla mnie istotne jest to że bank bierze na siebie
odpowiedzialność za takie przypadki.
pozdrawiam

do góry

Dnia Sun, 14 Jan 2007 18:52:21 +0100, Huckleberry napisał(a):

> Wszędzie się można włamać. Dla mnie istotne jest to że bank bierze na siebie
> odpowiedzialność za takie przypadki.
> pozdrawiam

To dla mnie wcale nie jest takie oczywiste, że bierze.
Najpierw Ty będziesz musiał udowodnić, że to nie Ty wykonałeś ten
przelew. A w przypadku przelewów wykonywanych bez użycia hasła
jednorazowego, to może wcale nie być tak trywialnym zadaniem.
BTW:
Poszukaj sobie w Googlach, co to jest delimiter ;)

--
Pozdrowienia,
Krzysztof

do góry