fot. DI - mBank - screen pokazujący wywołanie kodu JavaScript

fot. DI - mBank - screen obrazujący atak phishingowy

Dziennik Internautów skontaktował się z przedstawicielką mBanku we wtorek rano, 3 listopada. Z jej reakcji można było wywnioskować, że jako pierwsi powiadomiliśmy ją o problemie. Odkrywca luki nie przekazał bankowi żadnych informacji o niej. Otrzymaliśmy zapewnienie, że sprawa zostanie dokładnie przeanalizowana, z tego względu na treściwy komentarz czekaliśmy półtorej doby. Działania zmierzające do poprawienia usterki zostały jednak podjęte od razu, co warto odnotować.

Najpierw mBank usunął wadliwie działającą aplikację. Skorzystanie z prowadzącego do niej odnośnika skutkowało przekierowaniem na całkiem inną podstronę. Świadczy to tylko o tym, że zamiast stawiać czoła problemom, [pracownicy działu bezpieczeństwa - przyp. red.] wolą je niwelować poprzez naciśnięcie klawisza F8 - usuń, a nie popraw - skomentował zaistniałą sytuację odkrywca luki, dodając, że wystarczyłaby poprawna walidacja czy też filtr, który wykluczałby wykonanie danego skryptu.

Na zarzuty te odpowiedział rzecznik prasowy Krzysztof Olszewski: mBank postępuje zgodnie ze sprawdzonymi procedurami reagowania w tego typu przypadkach. Z naszej perspektywy najważniejsze są działania, które w błyskawiczny sposób umożliwiają zapewnienie pełnej ochrony Klientom. Z uwagą odnosimy się do wszystkich głosów związanych z bezpieczeństwem. Podkreślam jednak, że opisywany problem okazał się "wirtualny" i nie dotyczył żadnego z naszych Klientów.

Ostatecznie rzecznik poinformował, że wskazany problem, który mógłby pojawić się jedynie w marginalnych przypadkach, został rozwiązany. Obecnie funkcjonuje nowy wniosek o izzyKONTO. Zarówno w rozmowie telefonicznej, jak też w komunikacie przesłanym do redakcji Dziennika Internautów, Olszewski podkreślił, że mBank wraz z rozwojem narzędzi sieciowych rozwija i aktualizuje wykorzystywane przez siebie rozwiązania, dbając w ten sposób o bezpieczeństwo użytkowników.