Oburzające naruszenie prywatności. Gemius kopiował na swoje serwery stan konta klientów mBanku. Twój też

Gorące tematy Finanse dołącz do dyskusji (167) 06.04.2017
Oburzające naruszenie prywatności. Gemius kopiował na swoje serwery stan konta klientów mBanku. Twój też

Maja Werner

Wygrałeś w Totolotka, ale masz nieokrzesaną rodzinę i starałeś się zataić ten stan rzeczy przed innymi? No niestety, stan Twojego konta nie jest już tak tajny, jak myślałeś. 

Zaufana Trzecia Strona zainspirowana informacją od jednego ze swoich czytelników donosi, że prawdopodobnie statystyki Gemiusa zapisywały na swoich serwerach stan naszego konta.

Gemius to agencja badawcza, która monitoruje sposób w jaki korzystamy z internetu. Jego skrypty są zainstalowane na większości polskich stron internetowych, ponieważ jest bardzo ważna w opinii reklamodawców. O ile twórcy stron bardziej cenią sobie Google Analytics, to jednak w obrocie profesjonalnym wciąż istnieje takie piastowskie przywiązanie do Gemiusa. Bada on nasze preferencje, odwiedzane strony, rodzaj przeglądarki internetowej, rozdzielczość itp.

Gemius kopiował stan konta

Generalnie – statystyki. Nie byłoby w tym nic dziwnego, ani zdrożnego (wszak na podstawie tych badań twórcy są w stanie lepiej określać co interesuje ich czytelników/użytkowników), gdyby nie fakt, że z takiego skryptu korzysta też mBank. Co gorsza, zgodnie z odkryciem czytelnika Zaufanej Trzeciej Strony, na serwery statystyk Gemiusa przesyłane były też informacje nie tylko o tym, że z przeglądarki Safari mieszkaniec Elbląga zalogował się w mBanku, ale też, że ma 30 000 złotych na koncie.

Działanie mechanizmów takich jak Gemius są w stanie neutralizować wtyczki blokujące reklamy, ale też nie wszystkie i nie zawsze. Czytelnik zauważył, że na komputerze jego partnerki jest problem z działanie mBanku przy włączonym programie do blokowania reklam i to wzbudziło jego zaniepokojenie.

Wtedy zorientował się, że na serwery firmy analitycznej nie trafiają tylko informacje typowe dla tego typu badań internetowych, ale też dostrzegł, że przesyłany jest tam stan naszego konta.

sarg=btn-gray-gradien navigationButton Historia operacji eKonto xx xxx,31 PLN

mBank wyłączył skrypty Gemiusa w ramach mBanku po publikacji Zaufanej Trzeciej Strony, przesyłając redakcji komunikat o treści.

Rzeczywiście w trakcie korzystania z serwisu bankowości elektronicznej, podczas wykonywania określonej operacji, przeglądarka przekazywała do wykorzystywanego przez bank narzędzia analitycznego Gemius nadmiarowe dane. Informacje te, wysyłane były w formie anonimowej – nie pozwalającej na powiązanie z rzeczywistym klientem – wyłącznie do firmy Gemius, z którą bank ma podpisaną stosowną umowę.

Bezpośrednio po zgłoszeniu, skrypty analityczne zostały wyłączone. Obecnie żadne dane nie są przekazywane do Gemiusa. Trwają analizy mające potwierdzić przyczynę tej sytuacji.

Był to błąd, za który bardzo przepraszamy.

Gemius natomiast nie zajął w sprawie stanowiska. Sytuacja opisana przez Zaufaną Trzecią Stronę nie została dziś zbyt tłumnie „podchwycona” przez duże media, co jest według mnie niezrozumiałe. To mimo wszystko dość daleko idące naruszenie prywatności w stopniu zdecydowanie wykraczającym poza standardowe metody monitorowania aktywności użytkowników w internecie.

mBankowi klienci chyba nie są mili – 1,30 złotego prowizji za wypłatę z bankomatu, podwyżki!

Pojawiają się w tym miejscu liczne pytania. Czy Gemius w ogóle wiedział, że taka praktyka ma w ramach jego usługi miejsce (czy może na przykład była to inwencja grupy pracowników, którzy chcieli jakoś wykorzystać te informacje)? Jeśli Gemius wiedział – jaki cel miało uzyskiwanie informacji na taki temat? Jak długo utrzymywał się taki stan rzeczy? Saldo konta ilu osób zabezpieczył w ten sposób Gemius?

Nie widzę innego rozwiązania tej oburzającej sytuacji, jak nagłośnienie sprawy medialnej, a następnie natychmiastowa – jeśli będzie potrzeba, to jeszcze w nocy – kontrola GIODO zarówno w Gemius, jak i w mBanku.

Tagi:: , , ,

167 odpowiedzi na “Oburzające naruszenie prywatności. Gemius kopiował na swoje serwery stan konta klientów mBanku. Twój też”

  1. powinna być wielka kara dla Gemiusa i Mbanku za takie rzeczy. U nas zawsze to nie wielki problem, w USA czy Niemczech dostali by łanie po łapach.

  2. No i niech teraz tu przyjdzie Przemysław Pająk i tłumaczy jak to reklamy są nieszkodliwe, a używanie uBlocka to „bycie złodziejem”.

    • Ot, kolejny podmiot który o Tobie wszystko wie. Jeden więcej nic tu nie zmieni a żona i tak tego nie sprawdzi tego na stronach Gemius.

      • A jak nie spojrzę na reklamę to także jestem złodziejem?
        Jakub czy ty rozumiesz słowo złodziej?

        Ps. Twoim rozumowaniem bloger to intelektualna prostytutka :/

        • Zabawne, że nikt nie ma problemu z nazywaniem za wysokich podatków, ZUS-u czy cen nowego iPhone’a złodziejstwem, ale zawsze pojawia się ten argument w dyskusji o adblocku.

          To jest wyświechtany frazes odbijający się od gimnazjum do gimnazjum, jeszcze czekam na to, że „Jezus też był piratem, bo rozmnożył chleb na pustyni”.

          Twórca stron internetowych wyświetla reklamy, bo te reklamy są w 99% przypadków powodem, dla których w ogóle strona internetowa powstaje. Wchodzenie na czyjąś stronę z okrzykiem „a ja mam AdBlocka” jest w mojej ocenie przynajmniej nietaktem. Jeszcze parę lat temu adblockowicze przynajmniej mieli namiastkę dobrej kultury i się tym nie obnosili.

          • To czemu nie blokujecie ludzi wchodzących tutaj z włączonym adblockiem?

            Jak podczas przerwy reklamowej w TV wychodzę do toalety to też kradnę content od twórców programu?

          • I kolejny argument z podręcznika „Gimnazjalna logika”. W internecie nie ma przerwy na reklamy, Reklamy są integralną częścią serwisów internetowych, tak jak bandy reklamowe na stadionie przy transmisji meczu piłkarskiego.

          • A coś poza obrażaniem i „bólem dupy” o adblockerów padnie z twojej strony?
            Jak się nie patrzę na stadionowe banery to też jestem złodziejem? W końcu są „integralna częścią widowiska”.

          • To nie jest obrażanie, to co mówisz ma sens, tylko to jest podsumowanie pewnego ciągu argumentacyjnego, który opiera się na zasłyszanych i chwytliwych, ale populistycznych – bo wygłaszanych ku uciesze gawiedzi, a w oderwaniu od rzeczywistości gospodarczej – hasłach.

            Ja akurat nie mam żadnego problemu „prywatnego” z AdBlockami, bo prawda jest taka, że to jest problem YouTuberów czy ludzi wyświetlających AdSense, które nigdy się na Bezprawniku nie pojawią. A reklamodawcy liczą się z tym, że część internautów po prostu blokuje reklamy. Nie uważam jednak blokowania reklam za zjawisko moralnie zasługujące na pochwałę, a już na pewno nie podoba mi się obnoszenie z tym faktem.

            Ja też nie patrzę na stadionowe bannery, a jednak z pamięci potrafię wymienić marki, takie jak Coca Cola, MasterCard, Sony, Konami, Oknoplast i kilka innych, które się tam pojawiają. Tak działa reklama, świadomie lub nie.

          • Oderwana od rzeczywistości gospodarczej to jest wiara, że w 2017 można utrzymać serwis z flashowych banerów.

          • Na studiach miałem wykład z Algebry Liniowej na krórym przez 90 minut dr Jan Aksamit podawał rodzaje błedów logiczych. Przed chwilą przeanalizowałem notatki z tego wykładu i nie znalazłem błedu typu Gimnazjalna logika. Proszę więc o wyjaśnienie na czym polega ów błąd a także dołączam się do pytania o paragraf który łamią używający adblocka.

          • Reklamy są integralną częścią serwisów internetowych

            Nie są. Sami na Bezprawniku wspominaliście o paru precedensach, np. w Niemczech gdzie reklamiarze przegrali przed sądem już trzy razy.

            tak jak bandy reklamowe na stadionie przy transmisji meczu piłkarskiego

            Bzdura. Analogia byłaby trafna, gdyby te reklamy były serwowane przez Bezprawnika. Ba, uBlock w ogóle nie blokuje nic z domeny Bezprawnik.pl. Blokuje m.in. AdAdvisor.net, EmailTargeting.com oraz Gemius.pl (o szpiegostwie którego jest powyższy artykuł).

          • Panie Kralka, jest Pan w błędzie. W specyfikacji HTTP nie ma nic o żadnych reklamach. Nie ma też obligatoryjnych obostrzeń prawnych, że nie można na to wpływać w jakikolwiek sposób. To oczywiste, bo inaczej CSS byłby nielegalny. A zatem, według logiki takiego tu pana „prawnika”, Pana Jakuba Kralki, Ci którzy używają przeglądarek typu links, lynx, są złodziejami. Bo przecież to przeglądarki nie obsługują wyświetlania obrazów ani JS. Mało tego, złodziejem jest ten, co ustawi sobie opcję „nie wyświetlaj obrazów” i/lub „nie pobieraj zawartości z innych serwerów” w normalnej przeglądarce. Złodziejem jest też pewnie robot Google (pismo przedsądowe do Google już wysłane?), bo też pewnie tego nie „ogląda” tylko ignoruje w swoich parserze. Nawet zlodziejem jest ktos, to w safari uzyje „tryb Reader”, bo przecież to parsuje tylko tekst. Ktos używa RSS i czyta nagłówki?! Złodziej!

            Złodziei więc cała masa jak widać. Tak to jest, jak ma się nikłą wiedzę w tematach, na które się wypowiada, czyli prawo i technologie (Jakub Kralka). I nie, nie ma to nic wspólnego z moralnością, używacie po prostu takich technologii, które działają jak „adblock” już od samych początków ich powstania: parsery, validatory, przeglądarki www (wspomniane tekstówki) i masą innego oprogramowaina.

            Oczywiście możecie zapronować własny protokół na wzór HTTP, którego (przynajmniej prawnie) nie będzie można zmieniać i serwować nim treść z reklamami. Taki website ala PDF, nieedytowalny, wszedzie wyglądający identycznie (powodzenia). Jak programiści przeglądarek Wam go zaimplementują, to proszę bardzo, wtedy ów adblock do tego, byłby conajmniej wątpliwy moralnie. Oczywiście, do tego czasu, możecie przecież blokować tych adblockami… wycinając jednoczesnie mnostwo automatów, ludzi z tekstowymi.

            Pozdrawiam i polecam się doszkolić.

          • Ty i Przemysław Pająk bronicie tego modelu zarabiania, zupełnie nie rozumiejąc, że jesteście tak jak wytwórnie płytowe w latach 90-tych, które usiłowały przekonać wszystkich, że MP3, albo wręcz cały Internet to tylko i wyłącznie piractwo. Oni postępu nie zatrzymali, mimo miliardów jakie w to władowali. Wy miliardów nie macie. Macie za to publikę, ¾ której używa adBlocków. Wielokrotnie sugerowałem, żebyście zrobili premium, za kasę, bez reklam. Ale nie, wolicie nazwać mnie złodziejem, niż wziąć ode mnie kasę. Nie mając (marnej zresztą) kasy z banerów, Bezprawnik i SW będą dalej jechać w kierunku coraz bardziej nachalnych „artykułów sponsorowanych”. A jak już dojdzie do 90% treści jawnie lub nie sponsorowanych, to kto to będzie czytał?

      • Jakubie, poczułem się jak złodziej. Możesz mi wytłumaczyć dlaczego? To twoja prywatna opinia, czy też jesteś w stanie podać konkretny paragraf KK, bo jakoś nie przypominam sobie, żebym ci coś ukradł, ale może o czymś zapomniałem? Dla ułatwienia podam, że piszę spod legalnej Opery 43.0 i to bez dodatkowych wtyczek (które notabene też są legalne).

      • Przy okazji – pisaliście tutaj o dobrych praktykach reklamowych i google, który to wspiera. Fajny pomysł i fajna droga, ale coś mam dziwne wrażanie, że jak dojdzie co do czego to pójdziecie drogą np. Onetu, który blokuje użytkownikom Opery i wtyczek typu Adblock dostęp do serwisu i domaga się dodania wyjątku, co skończy się lataniem reklam pod całej stronie, bo uwierz mi, ale takich stron już nie da się czytać bez blokowania reklam.

      • Tak to sobie tłumacz.

        Przy okazji jako prawnik powinieneś wiedzieć, że publiczne nazywanie kogoś złodziejem nie mając ku temu żadnych podstaw jest przestępstwem.

        • Kogoś personalnie tak. Ale określanie w ten sposób pewnych postaw nie jest zakazane przez prawo, co najwyżej (bardzo prawdopodobne) przez pewien lewicowy kanon poprawności politycznej i to tylko wtedy, kim im to odpowiada ;)

          • Ja nie bardzo rozumiem czemu „prawica” robi z ochrona prywatności wartość „lewicową”.
            Od kiedy libertarianizm to lewicowość?

  3. Autorze, a jakie znaczenie ma czy „Gemius” wiedział czy nie? Od kiedy to pracodawca mógłby zrobić się z odpowiedzialności za czyny swoich pracowników? – Byłoby to świetne wyjście: „wysoki sadzie, ja nie miałem pojęcia że pracownik stworzył skrypt i uruchomił go w systemach bankowych. Przykro mi.”

    • Jest to o tyle ciekawe SoGood, że autor chciałby wiedzieć, czy to specjalne działanie firmy czy może nielegalne wykorzystanie przez pracowników możliwości nielegalnego pozyskania danych. To może być całkiem ciekawy temat na film :). Nie o odpowiedzialność tutaj chodzi, bo ponosi ją pracodawca oczywiście, no chyba, że to wyższa forma prawna… to wtedy odpowiedzialny jest magiczny duch spółki :D

        • Włącz myślenie. W tym przypadku prywatny sygnał został przekazany świadomie, mBabk skorzystał z skryptu Geniusa, Gemius nie odpowiada za to w jaki sposób, mBank zrobił to blednie i tyle.

  4. Poczekajcie, poczekajcie… Są adblocki, ublocki i inne cudowne narzędzia, które blokują takie syfy jak gemius, czyż nie?
    Gdzie jest Przemysław P., chcę mu zaśmiać się w twarz, wysłuchując jak nazywa mnie złodziejem :)

  5. Ja wczoraj złożyłem wypowiedzenie kont w mBanku.

    Na ZaufanejTrzeciejStronie ludzie zbierają się pod pozew zbiorowy do mBanku za złamanie tajemnicy bankowej.

  6. Gemius nie zajął stanowiska bo „decyzją Gemiusa i mBanku to mBank będzie komentował ten temat.”. Takiego maila dostałam od działu PR

  7. To nie „Gemius kopiował” tylko mBank wysyłał, to raz.
    Dwa – kolejny dowód, że przed złodziejami informacji trzeba się ratować Adblockiem.

    • Przecież to skrypt Gemiusa jest na stronie mBanku. Ci nawet pewnie nie wiedzieli o czymś takim. Tak jak na portalu MyApple wyświetlane sa reklamy Samsunga i wyświetlane sa przez Googla z którym MA ma podpisana umowę. I ani nikt nie wie, że jutro będzie tam reklama S8 ani tez nikt nie ma na to wpływu.

    • potwierdzam, gemius otrzymywał od mbanku nazwę przycisku, a w niej było podane saldo. To nie wina gemiusa że takie dane otrzymał tylko banku.

  8. Wszyscy wieszają psy na Gemiusue a to mBank zle wpiął skrypt. Gemius dostarcza tylko technologie i narzędzia, mBank decyduje jak ją wykorzysta. Gemius nie odpowiada za implementacje techniczna która jest po stronie klienta. Prosta piłka,

  9. tego kto zezwolil na uzycie wewn. systemu transakcyjnego kodu z obcego serwera powinni wywalic dyscyplinarnie i potracic mu 3x pensje (wiecej nie mozna), a jego przelozony powinien dostac co najmniej nagane. to jest po prostu niewiarygodne.

  10. 1. A saldo konta stanowi daną osobową w rozumieniu UoODO?
    2. Mojego salda nie skopiowali. Mam konto w ING.

  11. Jakie kurwa „przepraszamy”! W mediach nagłośnić, zniszczyć sk…nów! A nie „przepraszamy”! SKANDAL!!!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *