Kilka dni temu na jednej z internetowych grup dyskusyjnych internauci wymieniali się linkami do stron z różnymi błędami mBanku. Oczywiście nie było to nic innego jak modyfikacja wysyłanych do serwera mBanku parametrów, z których jeden zawierał treść błędu. Można było zatem tworzyć dowolne błędy. Problem choć mógł wydawać się poważny był całkowicie niegroźny. Dyskusję tę zapewne zobaczył Paweł Blajer i rozpoczął dochodzenie.
Wynikiem tego dochodzenia był artykuł opatrzony nagłówkiem „Serwis internetowy mBanku. Hakerzy zamieszczają własne komunikaty”, w którym czytamy:
W zeszłym tygodniu na stronie internetowej mBanku, gdzie można zlecać operacje, hakerzy zainstalowali strony z własnymi komunikatami. Bank się tym zbytnio nie przejął.
Najpierw na stronie internetowej mBanku został umieszczony komunikat, że bank zbankrutował. (…)
Problem został więc całkowicie zbagatelizowany, choć jest poważny. Hakerzy wprowadzili do serwisu strony informacyjne z własnymi komunikatami. Żartowali, pisząc, że bank zbankrutował, ale równie dobrze mogli zainstalować stronę z komunikatem, że przed sfinalizowaniem operacji trzeba np. dokonać przelewu na podany numer konta (oczywiście byłby to numer hakera). W komunikacie mogli również poprosić o podanie numeru karty płatniczej oraz hasła dostępu do serwisu internetowego i telefonicznego. Mogli w ten sposób uzyskać pełny dostęp do rachunku.
Oczywiście bystry użytkownik serwisu pewnie nie podałby tych danych i skontaktowałby się z bankiem. Mniej zorientowani jednak zachowaliby się zgodnie z zaleceniami hakerów, zwłaszcza że fałszywe komunikaty są podawane w takiej samej formie graficznej jak inne w serwisie. I nie można byłoby mieć o to do nich pretensji.
Oprócz tych akapitów pojawiło się także wyjaśnienie rzecznika mBanku, który widocznie mało dosadnie wytłumaczył autorowi tekstu istotę problemu, a przez co nie zniechęcił go do pisania takich bzdur.
Autor wykazał się całkowitą nieznajomością tematu (do tej pory nie pisał wcale lub pisał bardzo mało o bankowości) i ignorancją. Chęć napisania super ciekawego i gorącego artykułu była chyba zbyt silna i nie pozwalała poznać dziennikarzowi istoty problemu. Równie dobrze mógł napisać o upadku banku XYZ S.A. na podstawie kartki z napisem: „Bank zdechł”, zawieszonej na drzwiach banku przez jakiegoś dowcipnisia.
W związku z tym mBank wydał oświadczenie, w którym czytamy:
Omawiana publikacja przedstawia sytuację bezprawnego wykorzystania strony transakcyjnej mBanku poprzez zmodyfikowanie informacji przesyłanej z przeglądarki internetowej. Wynik takiego działania był prezentowany tylko i wyłącznie danemu użytkownikowi.
Podkreślę, że nie miała miejsca ingerencja w serwery mBanku. Nie było żadnej możliwości wykonania jakichkolwiek nieautoryzowanych operacji finansowych.
Oczywiście w tym wypadku nie jest to mydlenie oczu przez pracowników, którzy chcą zachować dobrą reputację banku, jak to ma miejsce po atakach hackerów na różne strony. Tym razem jest to odpowiedź na „śmieszny” artykuł w Rzeczpospolitej.
I choć problem rzeczywiście istniał, to był on zupełnie niegroźny i odnosił się tylko do stron banku, a właściwie do strony z komunikatem o błędzie. Nie bez winy są tu także pracownicy mBanku i programiści przygotowujący oprogramowanie dla banku, którzy przez małe niedopatrzenie ułatwili życie żartownisiom.
Niestety dla mBanku, część ludzi uwierzy w rzekome ataki hacerów na mBank, a następnie będzie głosić wszem i wobec o słabych zabezpieczeniach banków internetowych, a to na pewno nie pomoże w dalszym rozwoju bankowości wirtualnej w Polsce.
