07.04.2017 10:16

Gemius sprawdzał sobie stan Twojego konta w banku

Gemius, firma analizująca ruch na największych polskich stronach internetowych, trochę zagalopowała się z zakresem gromadzonych danych – oprócz zapisywania faktu odwiedzin serwisu transakcyjnego mBanku sprawdzała także stan konta użytkownika.

Gemius sprawdzał sobie stan Twojego konta w banku
foto: Ken Teegardin, CC BY-SA 2.0

Nie wiadomo, jak długo trwało podglądanie salda na rachunkach internautów logujących się do banku – jeśli trwało to wystarczająco długo, Gemius posiada dane pozwalające na określenie wysokości zarobków i miesięcznych wydatków poszczególnych użytkowników.

Stworzenie historii danego rachunku było możliwe, jeśli użytkowników korzystał z banku z tej samej przeglądarki, która została oznaczona przez Gemiusa ciasteczkiem. Zebrane dane – analiza skryptu potwierdza, że informacja o stanie konta trafiały na serwery firmy analitycznej – przekazywane były połączeniem szyfrowanym, ryzyko przejęcia informacji przez osoby trzecie było minimalne.

Na wiadomość o zaglądaniu Gemiusa na konta użytkowników mBank wyłączył całkowicie skrypty śledzące ruch na swojej stronie. Wydano także oświadczenie, w którym instytucja jest wstrząśnięta i zmieszana:

"

Rzeczywiście w trakcie korzystania z serwisu bankowości elektronicznej, podczas wykonywania określonej operacji, przeglądarka przekazywała do wykorzystywanego przez bank narzędzia analitycznego Gemius nadmiarowe dane. Informacje te, wysyłane były w formie anonimowej – nie pozwalającej na powiązanie z rzeczywistym klientem – wyłącznie do firmy Gemius, z którą bank ma podpisaną stosowną umowę. Bezpośrednio po zgłoszeniu, skrypty analityczne zostały wyłączone. Obecnie żadne dane nie są przekazywane do Gemiusa. Trwają analizy mające potwierdzić przyczynę tej sytuacji. Był to błąd, za który bardzo przepraszamy. "

Nie wiadomo, czy działanie Gemiusa było celowe, czy też może dane dotyczące środków na koncie były pobierane przez przypadek lub wskutek pomyłki.

W sierpniu 2016 roku serwery Gemiusa zostały zaatakowane przez hakerów – wykryto łącznie 5 zakończonych sukcesem prób. Sprawą zajęła się prokuratura. Zakres ataku nie został oficjalnie podany, włamywacze mieli jednak dostęp do plików rozsyłanych użytkownikom w celu prowadzenia statystyk.

Brak informacji, czy stan konta był sprawdzany przez Gemiusa także podczas śledzenia ruchu w serwisach transakcyjnych innych banków.

Waszym zdaniem pobieranie przez Gemius stanu konta to:

Michał Tomaszkiewicz
Tagi: #Internet