Wyciek danych klientów mBanku

Dane 1000 klientów mBanku zostały opublikowane w Internecie.

Ktoś szuka firm chętnych na zakupienie bazy 100 000 klientów mBanku. Jako potwierdzenie posiadania takiej bazy, sprzedawca opublikował w internecie plik tekstowy z danymi tysiąca klientów. Uspokójmy klientów mBanku, że ujawniono tylko numery kont, nazwiska i adresy zamieszkania. Nie ujawniono ani danych logowania ani numerów telefonu.

Sprawdzonych zostało kilkadziesiąt zestawów danych i za każdym razem były to osoby prowadzące jakąś działalność gospodarczą. Dane właścicieli firm zwykle są łatwiejsze do ustalenia niż dane osób nieprowadzących działalności. Warto też zwrócić uwagę na to, że numery kont firm nie są tajemnicą, więc ta baza niekoniecznie musiała pochodzić z “wycieku z banku”. Ktoś mógł po prostu poskładać ją z różnych źródeł (po numerze rachunku można przecież ustalić, w jakim banku ktoś ma konto). Takie dane można zebrać nawet z informacji o przelewach wyciągniętych z jakiejś innej firmy lub poprzez przeszukanie różnych zasobów np. Allegro albo platform sklepów internetowych.

Podsumowując, nie można na podstawie opublikowanych danych stwierdzić, że lista klientów mBanku faktycznie została stworzona poprzez nieautoryzowany dostęp do serwerów mBanku lub że sporządził ją któryś z pracowników.

Jaka była reakcja ze strony banku?

mBank zareagował, sprawdził, powiadomił

Specjaliści mBanku zrobili wywiad w darkwebie i nie natknęli się nigdzie na podobne ogłoszenia. Czas ujawnienia bazy danych (na krótko przed RODO) oraz całkowicie anonimowe źródło kazały postawić pytanie, czy głównym celem inicjatywy nie było zaszkodzenie marce mBanku? Oczywiście nawet gdyby taki był cel działania sprawców, żadne dane z bazy nie powinny wyciekać. W czasie telekonferencji potwierdzono, że istotnie osoby wskazane w bazie były klientami mBanku.

Zabezpieczono też pewne dowody i znalazły się pewne tropy. Wiemy, że mBank porównał zgromadzone dane z historią ich zmian w swojej bazie. Takie porównania pozwalają ustalić okres, w jakim dane zostały wyciągnięte z bazy. W tym przypadku nie wszystkie dane jakimi dysponował sprzedawca zgadzały się z obecnym stanem w bazach mBanku i to nasuwa podejrzenie, że dane mogły pochodzić z innego źródła, z różnych okresów, albo nie pochodziły z baz banku w całości.

Co ma w tej sytuacji zrobić klient mBanku?

Jeśli korzystasz z usług mBanku i wyciek Cię dotyczył, prawdopodobnie dostałeś/dostałaś już z banku maila na ten temat. Bank zobowiązał się także do monitorowania Twoich transakcji w sposób ponadstandardowy. Zastanów się, czy Twoje imię, nazwisko i adres nie były już wcześniej udostępniane w sieci. Jeśli masz jakieś szczególne obawy i pytania, możesz się z nimi zwrócić do mBanku.

Prewencyjnie, zalecamy czujność — gdyby ktoś do Ciebie dzwonił i podawał się za konsultanta w banku, nie kontynuuj rozmowy (por. Uwaga na phishing telefoniczny na klientów banków). Jeśli w ostatnim czasie dostałeś spam dotyczący usług finansowych na dane teleadresowe, które podałeś mBankowi — daj nam znać. Firma, która się z Tobą kontaktowała mogła pozyskać Twoje dane (i dane 100 000 innych osób) właśnie z tego wycieku. Jest prawdopodobne, że sprzedawca z kimś już “dobił targu”.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *