"Osoby posiadające konto w mBanku mogą bez problemu poprzez odpowiednią
manipulację zmiennych poszerzyć swoje prawa użytkownika, co daje dostęp do
niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla kart
kredytowych, transakcji bezgotówkowych itp. Problem polega w głównej mierze
w samej metodzie przesyłania informacji poprzez formularze gdzie wysyłana
jest duża ilość informacji m.in.: każdorazowo imię, nazwisko, numer karty.
Kolejny problem dotyczy błędu SQL injection, który występuje na forum
mBanku. Zmienne (np. w "Szukaj") przekazywane były bezpośrednio do zapytań
bez dodania "slashy""

Wiecej:

http://hacking.pl/news.php?id=3423
http://www.codehack.pl/mbank.html