Masz konto w mBanku? Na serwery Gemiusa mogło trafić saldo Twojego rachunku

dodał 6 kwietnia 2017 o 12:05 w kategorii Prywatność, Wpadki  z tagami:
Masz konto w mBanku? Na serwery Gemiusa mogło trafić saldo Twojego rachunku

Poziom śledzenia naszej aktywności w sieci staje się coraz bardziej niepokojący. Jeden z naszych Czytelników odkrył, że w trakcie korzystania z rachunku w mBanku jego przeglądarka przesyła saldo rachunku na serwer Gemiusa.

Dostawcy internetowych usług zbierają o nas mnóstwo informacji. Chcą wiedzieć, co oglądamy, gdzie klikamy, ile czasu spędzamy na danej stronie, gdzie jeździmy na urlop lub czego szukamy w sieci. Zbierają o nas tysiące informacji, by lepiej nas „profilować”, czyli sprzedawać nam bardziej dopasowane do nas towary i usługi. Nawet na poziomie zanonimizowanym, gdzie usługodawca nie wie, jak się naprawdę nazywamy, może wiedzieć o nas więcej, niż nasi rodzice lub my sami. Po co jednak firmie śledzącej naszą aktywność w sieci wysokość salda naszego rachunku?

Tajemnicze wywołanie do serwera

Jeden z naszych Czytelników, pragnący zachować anonimowość, walczył z przeglądarką swojej drugiej połowy, która miała problemy z korzystaniem ze strony mBanku przy włączonej wtyczce blokującej reklamy. W trakcie analizy problemu odkrył bardzo dziwne wywołanie serwera Gemiusa, wysyłane przez jego przeglądarkę. Aby je spowodować trzeba było przejść następującą ścieżkę:

  • zalogować się na konto,
  • w zakładce „Płatności” wybrać zakładkę „Lista rachunków”,
  • po najechaniu myszką na opis rachunku wybrać „Historia operacji”.

Za pomocą narzędzia do podsłuchiwania ruchu przeglądarki (np. narzędzia dewelopera w Chrome) można było zobaczyć, jakie żądania biegną w świat. Widać to na poniższym zrzucie ekranu:

Na załączonym obrazku możecie zobaczyć, że przeglądarka wysyła ruch do serwera ghmpl.hit.gemius.pl. Nie jest to nic dziwnego – większość kliknięć w panelu klienta mBanku powoduje taka komunikację. Jednak pozostałe kliknięcia z reguły przesyłają nazwę klikniętej zakładki lub otwartego okna, podczas gdy ten scenariusz dodaje coś jeszcze – i jest to wysokość salda rachunku.

Kluczowy fragment żądania wygląda tak:

Co w „czytelnym formacie” wygląda następująco:

(zarówno na zrzutach ekranu jak i w opisie żądań niektóre fragmenty zostały zanonimizowane)

Przetestowaliśmy to na naszym koncie, zatem nie mamy zatem wątpliwości, że jeszcze dzisiaj w nocy saldo rachunku w mBanku mogło trafiać na serwery Gemiusa. Obecnie mBank wyłączył w ogóle skrypty Gemiusa wewnątrz serwisu transakcyjnego.

Krótka analiza

Nie mamy także wątpliwości, że dane trafiały do całkowicie zewnętrznego serwera. Host ghmpl.hit.gemius.pl znajduje się pod adresami IP z klasy 213.189.48.* należącej do Gemiusa i jest obsługiwany przez jego serwery DNS. Certyfikat SSL również wskazuje na *.hit.gemius.pl.

Możliwe skutki i pewne ich ograniczenia

Przesyłanie salda rachunku do firmy zajmującej się analizą statystyczną zachowań internautów nie jest dobrą wiadomością. Nawet w najprostszym ujęciu, regularna analiza wysokości salda pozwala ustalić chociażby miesięczne przychody posiadacza rachunku. Jeśli firma analizująca dane nie zna imienia i nazwiska tej osoby, to może oznaczyć jej przeglądarkę swoim ciasteczkiem i w ten sposób identyfikować w przyszłości. To naszym zdaniem zdecydowanie zbyt daleko idąca ingerencja w prywatność użytkownika. Nie analizowaliśmy jeszcze regulaminów, na które klienci mBanku wyrażali zgodę zakładając konto lub aktywują dostąp internetowy.

Z dobrych wiadomości – połączenie do serwera Gemiusa odbywało się za pomocą protokołu HTTPS, zatem ryzyko jego podsłuchania przez strony trzecie było praktycznie zerowe (konfiguracja serwera nie jest najgorsza). Nie natrafiliśmy także w krótkich testach na inne wrażliwe dane przesyłane do Gemiusa w trakcie korzystania z panelu mBanku (nasze testy były jednak dość krótkie). Gemius nie jest także pierwszą lepszą, przypadkową firmą – to profesjonalna organizacja, potrafiąca dbać o bezpieczeństwo danych (mieli jakiś czas temu wpadkę, ale dobrze sobie z nią poradzili). Mamy też dobrą wiadomość dla użytkowników wtyczek blokujących reklamy – serwery Gemiusa są zapewne na wszystkich listach blokad, zatem Wasze dane raczej do tej firmy nie trafiły.

Reakcje mBanku i Gemiusa

Obie firmy powiadomiliśmy dzisiaj koło północy, jak tylko potwierdziliśmy istnienie problemu. mBank już rano wyłączył serwowanie skryptów Gemiusa w serwisie transakcyjnym. Przed chwilą otrzymaliśmy także stanowisku mBanku w tej sprawie:

Rzeczywiście w trakcie korzystania z serwisu bankowości elektronicznej, podczas wykonywania określonej operacji, przeglądarka przekazywała do wykorzystywanego przez bank narzędzia analitycznego Gemius nadmiarowe dane. Informacje te, wysyłane były w formie anonimowej – nie pozwalającej na powiązanie z rzeczywistym klientem – wyłącznie do firmy Gemius, z którą bank ma podpisaną stosowną umowę.

Bezpośrednio po zgłoszeniu, skrypty analityczne zostały wyłączone. Obecnie żadne dane nie są przekazywane do Gemiusa. Trwają analizy mające potwierdzić przyczynę tej sytuacji.

Był to błąd, za który bardzo przepraszamy.

Niestety do momentu publikacji artykułu nie dotarła do nas odpowiedź Gemiusa.