Bank Cezarego Stypułkowskiego walczy z kryzysem po wypłynięciu bazy danych klientów mBanku.
Oferta sprzedaży bazy z danymi 100 tys. klientów mBanku wywołała kryzys w instytucji kierowanej przez Cezarego Stypułkowskiego. Jednak skandal z wyciekiem to tylko wierzchołek jego problemów. Czy „wieczny prezes” utrzyma się na stanowisku, jeżeli Commerzbank (główny akcjonariusz mBanku) połączy się z Deutsche Bankiem lub zostanie przejęty przez francuski BNP Paribas albo włoski UniCredit?
Dane na sprzedaż
Afera z ofertą bazy danych klientów mBanku wybuchła w ubiegły weekend, za sprawą publikacji portalu Niebezpiecznik.pl, zajmującego się bezpieczeństwem w sieci. Dziennikarze ujawnili, że wpłynęła do nich oferta sprzedaży danych 100 tys. klientów banku Stypułkowskiego. Jako dowód, że baza jest prawdziwa, oferent przesłał plik z danymi tysiąca klientów. Znalazły się w nim nazwiska właścicieli (lub nazwy frm), numery kont oraz adresy (ulica, kod pocztowy oraz miejscowość). W próbce nie było danych do logowania i numerów telefonów.
– Nasze źródło sprawdziło dwa konta i okazały się one prawidłowe. My sprawdziliśmy kilkadziesiąt zestawów danych i za każdym razem trafialiśmy na osoby prowadzące jakąś działalność gospodarczą. Dane właścicieli firm zwykle są łatwiejsze do ustalenia niż dane osób nieprowadzących działalności. Warto też zwrócić uwagę na to, że numery kont firm nie są tajemnicą, więc ta baza niekoniecznie musiała pochodzić z „wycieku z banku”. Ktoś mógł po prostu poskładać ją z różnych źródeł (po numerze rachunku można przecież ustalić, w jakim banku ktoś ma konto). Takie dane można zebrać nawet z informacji o przelewach wyciągniętych z jakiejś innej firmy lub poprzez przeszukanie różnych zasobów np. Allegro albo platform sklepów internetowych – wyjaśniła redakcja portalu, który ujawnił sprawę.
Redaktorzy Niebezpiecznik.pl wyjaśnili, że na podstawie danych w pliku nie można stwierdzić, że lista została stworzona w wyniku nieautoryzowanego dostępu do serwerów banku lub autorem jest jeden z pracowników mBanku. Po zaalarmowaniu banku przez dziennikarzy, podwładni Stypułkowskiego przeprowadzili z redakcją telekonferencję, a następnie przeprowadzili poszukiwania podobnych ofert, jak ta która trafi ła do dziennikarzy.
– Czas ujawnienia bazy danych (na krótko przed RODO) oraz całkowicie anonimowe źródło kazały postawić pytanie, czy głównym celem inicjatywy nie było zaszkodzenie marce mBanku? Oczywiście, nawet gdyby taki był cel działania sprawców, żadne dane z bazy nie powinny wyciekać. W czasie telekonferencji potwierdzono, że istotnie osoby wskazane w bazie były klientami mBanku. Zabezpieczono też pewne dowody i znalazły się pewne tropy, o których na razie nie chcemy pisać. Wiemy, że mBank porównał zgromadzone dane z historią ich zmian w swojej bazie. Takie porównania pozwalają ustalić okres, w jakim dane zostały wyciągnięte z bazy. W tym przypadku nie wszystkie dane, jakimi dysponował sprzedawca, się zgadzały z obecnym stanem w bazach mBanku i to nasuwa podejrzenie, że dane mogły pochodzić z innego źródła, z różnych okresów, albo nie pochodziły z baz banku w całości – poinformowali dziennikarze.
mBank gasi pożar i szuka winnych
Bank o zajściu poinformował Urząd Ochrony Danych Osobowych, zapowiedział kontakt z organami ścigania oraz skontaktował się z klientami, których dane znalazły się w pliku. Jednak – jak wyjaśniali podwładni Stypułkowskiego:
– Tego typu dane przekazywane są standardowo między klientami banków w trakcie realizacji przelewów – widać je w danych nadawcy. Część tych danych widnieje również w ogólnodostępnych spisach firm i instytucji. Czy więc rzeczywiście doszło do wycieku danych? A może ktoś stworzył plik z listą 1000 osób w ramach prowokacji, wymierzonej w bank? Część dziennikarzy skłaniała się ku wersji, że zajście było elementem czarnego PR.
– Jedynym dowodem na to, że ktoś włamał się do mBanku, miałaby być próbka zawierająca publicznie dostępne informacje. To słaby dowód. Sprawa może więc być oszustwem. Tym bardziej że ofertę kupna bazy danych otrzymała jedna z firm zajmujących się usługami finansowymi – wyjaśniał red. Robert Kędzierski z portalu Gazeta.pl.
Uwaga na usterki
Problemy mBanku w Internecie nie ograniczają się jednak do opisanej próby sprzedaży danych jego klientów. Tydzień temu, kilka dni przed publikacją dotyczącą wycieku danych, doszło do awarii serwisu internetowego banku. Źródłem problemu była awaria systemu transakcyjnego.
– Do najczęściej zgłaszanych problemów należą duplikujące się przelewy, brak możliwości wygenerowania potwierdzenia przelewu, a także inne błędy przy próbach przesyłania pieniędzy. Planowane przelewy lepiej więc przełożyć na późniejszą godzinę, kiedy sytuacja się wyjaśni. Część klientów i tak nie może na razie wykonać żadnego – zablokowano także możliwość wymiany walut w kantorze mBanku – informowało radio Zet. Co ciekawe – przed awarią mBank przeprowadzał prace modernizacyjne nad nowym systemem transakcyjnym. Bardziej poważny był skandal z końca 2017 roku. Jak również ujawnił portal Niebezpiecznik.pl, jeden z opiekunów klienta mBanku rozesłał maila do ponad 740 klientów, w którym umieścił ich zbiorczo w polu „do wiadomości”.
– W przypadku banku, ujawnienie adresów e-maili klientów może narazić ich na ukierunkowane ataki phishingowe. Teraz 750 osób wie, z usług jakiego banku korzysta 750 odbiorców e-maila… I że ma w nim status „zamożniejszego” klienta, bo tacy doradcy obsługują tylko konta Aquarius z segmentu premium. Innymi słowy, obiekty idealne na spear-phishing – wyjaśniała redakcja, zaznaczając, że mBankowi już wcześniej przytrafi ł się wyciek danych klientów (a dokładniej wyciek e-maili klientów, korzystających z internetowego forum mBanku – były dostępne w kodzie źródłowym HTML). Również w 2017 roku doszło do poważniejszej afery z udziałem banku Stypułkowskiego. Informacje o stanie kont klientów mBanku były przesyłane na serwery firmy zewnętrznej Gemius, zajmującej się zbieraniem informacji na temat internautów. Podwładni Stypułkowskiego bronili się wówczas, że wysyłane informacje były w formie anonimowej, niepozwalającej na powiązanie ich z konkretnymi klientami, a sytuacja była wynikiem błędnego działania skryptu osadzonego w serwisie.
Zmiany, zmiany
Większe i mniejsze zawirowania wokół mBanku nie stanowiły dotychczas zagrożenia dla stanowiska jego prezesa – Cezarego Stypułkowskiego, który szefował instytucji jeszcze za czasów BRE Banku (tj. od 2010 roku). Olbrzymie wydatki na reklamy (według danych cennikowych netto Kantar Media 91,2 mln złotych – drugie miejsce w Polsce w 2017 roku) skutecznie zniechęcały również dziennikarzy zainteresowanych przeszłością „wiecznego prezesa”. Jednak, jak informował „Bloomberg”, zmiany mogą niebawem dotknąć głównego akcjonariusza (69,4 proc. akcji) mBanku – Commerzbanku. Istnieje bowiem szansa, że wkrótce połączy się on innym niemieckim bankiem – drugim co do wielkości – Deutsche Bankiem. Według „Bloomberga” prezes Deutsche Banku Paul Achleitner odbył już rozmowy z głównymi akcjonariuszami i przedstawicielami niemieckiego rządu na temat połączenia jego banku z Commerzbankiem.
– Podobno nie ma obecnie formalnych rozmów między tym pierwszym i drugim co do wielkości bankiem w Niemczech, ale prezes rozmawia z inwestorami o możliwej transakcji. […] Kluczową przeszkodą wydaje się jednak spadający kurs banku […]. Oba banki, nadal borykające się z niską rentownością lub wręcz stratami jak w przypadku Deutsche Banku, prowadziły rozmowy w sprawie fuzji już w 2016 roku, ale odstąpiły od niej – komentował doniesienia red. Maciej Rudke z „Parkietu”. Zakupem Commerzbanku mają być zainteresowane również francuski BNP Paribas oraz włoski UniCredit.