Jak donosi Niebezpiecznik w internecie pojawiła się oferta sprzedaży 100 tys. rekordów zawierających dane klientów mBanku. Osoba, która proponuje zakup "na zachętę" umieściła w sieci informacje dotyczące tysiąca osób.
Dziwny wyciek
Próbka opublikowana przez przestępców nie jest kompletna. Zawiera tylko imię, nazwisko, numer rachunku oraz adres pocztowy. W większości przypadków dane dotyczą osób prowadzących działalność gospodarczą.
Próbka danych opublikowana przez przestępców Fot. Niebezpiecznik (publikacja za pisemną zgodą serwisu)
Budzi to wątpliwości ekspertów. Tego typu informacje można bowiem zdobyć z innych źródeł - włamanie do banku nie jest tu konieczne. Przeprowadziliśmy próbę: zebranie informacji takich, jak znajdują się w próbce jest możliwe nawet za pomocą wyszukiwarki Google. Wiele firm publikuje bowiem na swoich stronach czy aukcjach numery kont, adresy i nazwiska właścicieli. Zebranie kilkudziesięciu rekordów zajęło nam mniej więcej kwadrans - bez żadnych skryptów. Przy użyciu odpowiednich narzędzi zgromadzenie bazy 100 tys. takich rekordów zajęłoby zapewne kilka dni.
Wyciek? A może umiejętnie zebrane dane Fot. Redakcja
Włamanie czy oszustwo
Według naszych ustaleń do tej pory rzekoma baza danych nie pojawiła się w żadnym zakątku sieci - ani w jego części dostępnej dla każdego, ani w tzw. darkwebie.
Jedynym dowodem na to, że ktoś włamał się do mBanku miałaby być próbka zawierająca publicznie dostępne informacje. To słaby dowód. Sprawa może więc być oszustwem. Tym bardziej, że ofertę kupna bazy danych otrzymała jedna z firm zajmujących się usługami finansowymi.
mBank: badamy sprawę, nie ma dowodów, że ktoś się włamał
W przesłanym nam oświadczeniu mBank zapewnia, że podjął wszelkie możliwe kroki, by sprawdzić, czy doszło do jakiegokolwiek przełamania zabezpieczeń. Na chwilę obecną nie ma dowodów na to, że przestępcy faktycznie pozyskali dane dostając się do banku. A to byłoby groźne, wtedy bowiem wyciec mogłyby też numery klientów, ich adresy e-mail powiązane z kontem, a nawet hasła.
Czytaj też: Przestępcy wykradli dane klientów Ubera. To najnudniejsza część tej opowieści.
Poza tym mBank skontaktował się już z administratorem strony, na której zamieszczona była próbka danych. Dostęp do niej jest już zablokowany.
Informację, że ktoś opublikował wybrane dane osobowe powiązane z bazą naszych klientów, otrzymaliśmy 4 czerwca. Natychmiast zaczęliśmy je weryfikować. Okazało się, że dostępne w sieci dane dotyczyły 1000 osób lub podmiotów. Obejmowały one: imię i nazwisko lub nazwę firmy, adres pocztowy oraz numer rachunku bankowego.
- pisze w swoim oświadczeniu mBank.
W jego dalszej części zapewnia, że wszystkich obecnych klientów objęto dodatkową ochroną. Oznacza to, że ich operacje są monitorowane i weryfikowane w sposób ponadstandardowy. Klienci, których dane pojawiły się w próbce zostali o tym fakcie poinformowani. Tego typu procedurę wymusza RODO.
Zdarzenie zostało też zgłoszone Urzędowi Ochrony Danych Osobowych, a wkrótce poinformowane zostaną też organy ścigania, ponieważ istnieje podejrzenie popełnienia przestępstwa.
Kto odważy się kupić lewe dane?
Incydent zbiega się w czasie z wejście w życie przepisów RODO. Nowe regulacje akurat w tym wypadku zdają się zdawać egzamin. Gdyby ktoś bowiem faktycznie zdobył w nielegalny sposób bazę danych zawierającą informację o klientach, może mieć kłopot z jej sprzedażą legalnie działającym firmom. Te muszą bowiem być gotowe na ispekckje. Są też zobligowane prowadzić rejestr czynności związanych z danymi osobowymi, w których to odnotowany zostaje sposób, miejsce i czas pozyskania jakichś informacji. Do tej pory dane osobowe mogły krążyć między firmami znacznie łatwiej. Dziś ich pojawienie się w jakimś miejscu musi pozostawić ślad.
Mam konto w mBank - co robić?
Klienci mBanku powinni być spokojni. Służby odpowiedzialne za bezpieczeństwo z pewnością pracują teraz na najwyższych obrotach, by zweryfikować fakt ewentualnego wycieku. Incydent jest jednak dobrą okazją do zmiany hasła. Ostrożności nigdy za wiele.
***
