Najnowsza wpadka mBanku: ukryte pola w e-wnioskach
Najpopularniejszy bank internetowy w Polsce ma w ostatnich miesiącach sporo problemów. Do listy wpadek można dopisać kolejną pozycję. Co się stało tym razem?
Najpopularniejszy bank internetowy w Polsce ma w ostatnich miesiącach sporo problemów. Do listy wpadek można dopisać kolejną pozycję. Co się stało tym razem?
Problem dotyczy webowych formularzy wypełnianych przez klientów wnioskujących m.in. o kredyt. W formularzach zostały umieszczone ukryte pola, niewidoczne dzięki odpowiedniemu formatowaniu. Choć przy standardowych ustawieniach przeglądarek nie widać ich, bez trudu można je znaleźć w kodzie.
Po usunięciu formatowania ukryte do tej pory pola stają się widoczne. Aby wyłączyć formatowanie w przeglądarce Firefox, wystarczy z menu wybrać Widok/ Styl strony/ Ignoruj style. W przypadku Opery będzie to Widok/ Styl/ Tryb użytkownika.
Ujawnione pola dotyczą między innymi tzw. scoringu behawioralnego, czyli oceny wiarygodności klienta poprzez pryzmat jego dotychczasowych zachowań. Największe zdziwienie budzi jednak fakt możliwości modyfikowania tych pól, a zagadką pozostaje wpływ takich zmian na decyzję kredytową.
Warto zwrócić uwagę na komentarz umieszczony przez twórców formularza: "po prostu ukryte". Jak się okazuje, ukryte tylko pozornie ;).
mBank zapytany w tej sprawie przez redakcję serwisu Niebezpiecznik stwierdził:
cytat Elektroniczne wnioski kredytowe, dostępne w serwisie transakcyjnym mBanku, funkcjonują prawidłowo. Ewentualne dodatkowe pola we wnioskach, mogące się pojawiać w szczególnych przypadkach (…), nie mają wpływu na proces podejmowania decyzji kredytowych przez bank oraz bezpieczeństwo danych.[/cytat]
Choć komunikat brzmi uspokajająco, można jednak zastanawiać się, po co bank umieszcza we wniosku kredytowym pola, które nie mają znaczenia?
Ujawnienie danych z formularza trudno nazwać poważnym zagrożeniem dla użytkowników lub sekretów banku. Dla przeciętnego klienta nie ma znaczenia, czy dowie się, jaki ma scoring - wiedza ta w żaden sposób nie zmieni postępowania banku.
Nie zmienia to jednak faktu, że klient ma możliwość dostępu do danych, które bank chciałby przed nim ukryć.
Źródło: Niebezpiecznik
