http://www.msn.com/pl-pl/finanse/najpopularniejsze-a
rtykuly/nie-tylko-bank-widzi-co-robimy-na-koncie/ar-
BBA6HHl

"Wstawianie skryptów zbierających dane statystyczne czy
pośredniczących w sprzedaży danych może prowadzić do wykradania
danych - ostrzega GIODO

Otóż klient ten zauważył, że dane dotyczące kwoty operacji
wykonywanych przez niego na rachunku bankowym przekazywane są z
systemu bankowego do firmy, z którą bank zawarł umowę na świadczenie
usług analitycznych i doradczych związanych z badaniem rynku
świadczonych usług. Firma miała analizować w tym celu oglądalność
strony internetowej banku, a tymczasem, jak zauważył klient,
uzyskiwała również dostęp do szczegółów wykonywanych przez nich
operacji finansowych"

A cos podobnego mi dalszy znajomy mowil ... nie bardzo dowierzalem
wtedy.

W dobie tych zaawansowanych stron bankowych troche dziwne mi sie
wydaje ... ale moze i skrypty sa jeszcze bardziej zaawansowane :-)

J.

do góry

W dniu piątek, 21 kwietnia 2017 17:05:37 UTC+2 użytkownik J.F. napisał:
> http://www.msn.com/pl-pl/finanse/najpopularniejsze-a
rtykuly/nie-tylko-bank-widzi-co-robimy-na-koncie/ar-
BBA6HHl
>
> "Wstawianie skryptów zbierających dane statystyczne czy
> pośredniczących w sprzedaży danych może prowadzić do wykradania
> danych - ostrzega GIODO
>
> Otóż klient ten zauważył, że dane dotyczące kwoty operacji
> wykonywanych przez niego na rachunku bankowym przekazywane są z
> systemu bankowego do firmy, z którą bank zawarł umowę na świadczenie
> usług analitycznych i doradczych związanych z badaniem rynku
> świadczonych usług. Firma miała analizować w tym celu oglądalność
> strony internetowej banku, a tymczasem, jak zauważył klient,
> uzyskiwała również dostęp do szczegółów wykonywanych przez nich
> operacji finansowych"
>
> A cos podobnego mi dalszy znajomy mowil ... nie bardzo dowierzalem
> wtedy.
>
> W dobie tych zaawansowanych stron bankowych troche dziwne mi sie
> wydaje ... ale moze i skrypty sa jeszcze bardziej zaawansowane :-)
>
> J.

Ogolnie takie przekazywanie danych aby powiązanie byly nie rozplatywalne jest niezbyt
proste.

Kiedys lolek wziął baze z nazwiskami, adresami i operacjami i dane w kazdym polu
"osobowym" przykryl jakims przypadkowym ciagiem znakow.
Ale nazw towarów kupowanych juz nie.
I niestety relacje osoba-adres-zakup, daty operacji i kwoty pozwalały w niektórych
przypadkach całkiem dobre wnioski wyciagać.

Zahaszowanie nazw operacji niweczyło by cały sens przekazania danych.

Szczegółów nie pamiętam ale w całej zabawie chodziło o relacje między danymi. mimo ze
randomizowane to jednak dało się wyciagać pewne trafne wnioski.

do góry

On Fri, 21 Apr 2017 17:05:20 +0200, "J.F."
<j...@p...onet.pl> wrote:
> http://www.msn.com/pl-pl/finanse/najpopularniejsze-a
rtykuly/nie-tylko-bank-widzi-co-robimy-na-koncie/ar-
BBA6HHl
> "Wstawianie skryptów zbierających dane statystyczne czy
> pośredniczących w sprzedaży danych może prowadzić do wykradania
> danych - ostrzega GIODO

A co owe GIODO na nowe rozporządzenia unijne dot. umożliwienia
dostępu firm 3 do rachunku w celu zdalnej płatności, analizy
statystycznej itp.?

--
Marek

do góry

Dnia Fri, 21 Apr 2017 23:32:26 -0700 (PDT), s...@g...com
> W dniu piątek, 21 kwietnia 2017 17:05:37 UTC+2 użytkownik J.F. napisał:
>> http://www.msn.com/pl-pl/finanse/najpopularniejsze-a
rtykuly/nie-tylko-bank-widzi-co-robimy-na-koncie/ar-
BBA6HHl
>> "Wstawianie skryptów zbierających dane statystyczne czy
>> pośredniczących w sprzedaży danych może prowadzić do wykradania
>> danych - ostrzega GIODO
>>
>> Otóż klient ten zauważył, że dane dotyczące kwoty operacji
>> wykonywanych przez niego na rachunku bankowym przekazywane są z
>> systemu bankowego do firmy, z którą bank zawarł umowę na świadczenie
>> usług analitycznych i doradczych związanych z badaniem rynku
>> świadczonych usług. Firma miała analizować w tym celu oglądalność
>> strony internetowej banku, a tymczasem, jak zauważył klient,
>> uzyskiwała również dostęp do szczegółów wykonywanych przez nich
>> operacji finansowych"
>>
> Ogolnie takie przekazywanie danych aby powiązanie byly nie rozplatywalne jest
niezbyt proste.
>
> Kiedys lolek wziął baze z nazwiskami, adresami i operacjami i dane w kazdym polu
"osobowym" przykryl jakims przypadkowym ciagiem znakow.
> Ale nazw towarów kupowanych juz nie.
> I niestety relacje osoba-adres-zakup, daty operacji i kwoty pozwalały w niektórych
przypadkach całkiem dobre wnioski wyciagać.

Moze o te wnioski chodzi.

Tylko jesli rozumiem - miano analizowac ogladalnosc strony banku.
To skad kwoty ?

Hm, zawarty na stronie skrypt chyba moze przejrzec zawartosc
pokazywanego dokumentu HTML i gdzies wyslac, ale zeby az tak
analizowac ?

J.

do góry

J.F. wrote:
> http://www.msn.com/pl-pl/finanse/najpopularniejsze-a
rtykuly/nie-tylko-bank-widzi-co-robimy-na-koncie/ar-
BBA6HHl
>

wystarczylo jakies rot13 i juz klient moglby tego nie zauwazyc :)

do góry

W dniu 2017-04-21 o 17:05, J.F. pisze:
> http://www.msn.com/pl-pl/finanse/najpopularniejsze-a
rtykuly/nie-tylko-bank-widzi-co-robimy-na-koncie/ar-
BBA6HHl
>
https://niebezpiecznik.pl/post/uwaga-klienci-mbanku-
wasze-saldo-bylo-udostepniane-zewnetrznej-firmie

--
Pete

do góry