37

Skrypty Gemiusa pobierały na ich serwery salda rachunków klientów mBanku

Pobierały, bo dzięki interwencji serwisu Zaufana Trzecia Strona, mBank wyłączył już skrypty Gemiusa na swoich stronach.

Co się stało? Jeden z czytelników ZTS podzielił się z jego twórcami problemem z serwisem transakcyjnym mBanku z włączonym adblockiem. Po przeanalizowaniu kodu zauważył wywołanie serwera Gemiusa w zakładce Historii operacji.

Po uruchomieniu narzędzi dewelopera zauważył, że skrypty Gemiusa pobierają na swoje serwery saldo konta.

Zaufana Trzecia Strona dokładanie przeanalizowała ten incydent, również na własnym koncie bankowym i nie mają wątpliwości, że saldo przekazywane jest rzeczywiście na serwery Gemiusa. Uspokajają przy tym, że odbywało się to w bezpiecznej komunikacji po HTTPS, nie mogły być więc przechwycone przez osoby trzecie. Jednak sam fakt, że firma, która zajmuje się analizą danych, pobiera wrażliwe dane finansowe klientów banku, budzi spory niepokój.

ZTS wysłała zapytanie do Gemiusa w tej sprawie, ale nie otrzymali jeszcze żadnej odpowiedzi. mBank natomiast przesłał swój komunikat, w którym poinformował, że wyłączyli aktualnie skrypty Gemiusa na swoich stronach:

Rzeczywiście w trakcie korzystania z serwisu bankowości elektronicznej, podczas wykonywania określonej operacji, przeglądarka przekazywała do wykorzystywanego przez bank narzędzia analitycznego Gemius nadmiarowe dane. Informacje te, wysyłane były w formie anonimowej – nie pozwalającej na powiązanie z rzeczywistym klientem – wyłącznie do firmy Gemius, z którą bank ma podpisaną stosowną umowę. Bezpośrednio po zgłoszeniu, skrypty analityczne zostały wyłączone. Obecnie żadne dane nie są przekazywane do Gemiusa. Trwają analizy mające potwierdzić przyczynę tej sytuacji. Był to błąd, za który bardzo przepraszamy.

Źródło: Zaufana Trzecia Strona.