Wygrałeś w Totolotka, ale masz nieokrzesaną rodzinę i starałeś się zataić ten stan rzeczy przed innymi? No niestety, stan Twojego konta nie jest już tak tajny, jak myślałeś.
Zaufana Trzecia Strona zainspirowana informacją od jednego ze swoich czytelników donosi, że prawdopodobnie statystyki Gemiusa zapisywały na swoich serwerach stan naszego konta.
Gemius to agencja badawcza, która monitoruje sposób w jaki korzystamy z internetu. Jego skrypty są zainstalowane na większości polskich stron internetowych, ponieważ jest bardzo ważna w opinii reklamodawców. O ile twórcy stron bardziej cenią sobie Google Analytics, to jednak w obrocie profesjonalnym wciąż istnieje takie piastowskie przywiązanie do Gemiusa. Bada on nasze preferencje, odwiedzane strony, rodzaj przeglądarki internetowej, rozdzielczość itp.
Gemius kopiował stan konta
Generalnie – statystyki. Nie byłoby w tym nic dziwnego, ani zdrożnego (wszak na podstawie tych badań twórcy są w stanie lepiej określać co interesuje ich czytelników/użytkowników), gdyby nie fakt, że z takiego skryptu korzysta też mBank. Co gorsza, zgodnie z odkryciem czytelnika Zaufanej Trzeciej Strony, na serwery statystyk Gemiusa przesyłane były też informacje nie tylko o tym, że z przeglądarki Safari mieszkaniec Elbląga zalogował się w mBanku, ale też, że ma 30 000 złotych na koncie.
Działanie mechanizmów takich jak Gemius są w stanie neutralizować wtyczki blokujące reklamy, ale też nie wszystkie i nie zawsze. Czytelnik zauważył, że na komputerze jego partnerki jest problem z działanie mBanku przy włączonym programie do blokowania reklam i to wzbudziło jego zaniepokojenie.
Wtedy zorientował się, że na serwery firmy analitycznej nie trafiają tylko informacje typowe dla tego typu badań internetowych, ale też dostrzegł, że przesyłany jest tam stan naszego konta.
sarg=btn-gray-gradien navigationButton Historia operacji eKonto xx xxx,31 PLN
mBank wyłączył skrypty Gemiusa w ramach mBanku po publikacji Zaufanej Trzeciej Strony, przesyłając redakcji komunikat o treści.
Rzeczywiście w trakcie korzystania z serwisu bankowości elektronicznej, podczas wykonywania określonej operacji, przeglądarka przekazywała do wykorzystywanego przez bank narzędzia analitycznego Gemius nadmiarowe dane. Informacje te, wysyłane były w formie anonimowej – nie pozwalającej na powiązanie z rzeczywistym klientem – wyłącznie do firmy Gemius, z którą bank ma podpisaną stosowną umowę.
Bezpośrednio po zgłoszeniu, skrypty analityczne zostały wyłączone. Obecnie żadne dane nie są przekazywane do Gemiusa. Trwają analizy mające potwierdzić przyczynę tej sytuacji.
Był to błąd, za który bardzo przepraszamy.
Gemius natomiast nie zajął w sprawie stanowiska. Sytuacja opisana przez Zaufaną Trzecią Stronę nie została dziś zbyt tłumnie „podchwycona” przez duże media, co jest według mnie niezrozumiałe. To mimo wszystko dość daleko idące naruszenie prywatności w stopniu zdecydowanie wykraczającym poza standardowe metody monitorowania aktywności użytkowników w internecie.
Pojawiają się w tym miejscu liczne pytania. Czy Gemius w ogóle wiedział, że taka praktyka ma w ramach jego usługi miejsce (czy może na przykład była to inwencja grupy pracowników, którzy chcieli jakoś wykorzystać te informacje)? Jeśli Gemius wiedział – jaki cel miało uzyskiwanie informacji na taki temat? Jak długo utrzymywał się taki stan rzeczy? Saldo konta ilu osób zabezpieczył w ten sposób Gemius?
Nie widzę innego rozwiązania tej oburzającej sytuacji, jak nagłośnienie sprawy medialnej, a następnie natychmiastowa – jeśli będzie potrzeba, to jeszcze w nocy – kontrola GIODO zarówno w Gemius, jak i w mBanku.