Kilka dni temu między innymi na zaufanej trzeciej stronie:
https://zaufanatrzeciastrona.pl/post/masz-konto-w-mbanku-na-serwery-gemiusa-moglo-trafic-saldo-twojego-rachunku/ pojawił się artykuł o tym, jak #
mbank wysyła stan konta między innymi do firmy Gemius (
https://pl.wikipedia.org/wiki/Gemius) a jak się potem okazało (nie potrafię teraz znaleźć linku) dodatkowe dane również do co najmniej jednej firmy trackingowej.
Zapytałem dzisiaj
//www.wykop.pl/wpis/23367189/zespolmbanku-wczoraj-spamowaliscie-mailowo-ze-maci/ @
ZespolmBanku czy w nowej apce mobilnej (którą reklamują od wczoraj) również znalazły się tego typu szpiegowskie rozwiązania, ale odpowiedź którą otrzymałem mało miała wspólnego z zadanymi pytaniami.
Pytania:
1) W niej też macie taki chamski tracking i wysyłacie dane objęte tajemnicą bankową do zewnętrznych firm profilujących użytkowników (Gemius, + dodatkowa hurtowania której nazwy nie pamiętam)?
2) Korzystając z okazji zapytam jeszcze o jedną rzecz: która z tych waszych gównianych zgód marketingowych pozwala wam wysyłać wysokość salda do zewnętrznych firm?
3) Czy może dorzuciliście jeszcze kilka innych bajerów, które dopiero wyjdą po jakimś czasie?
Odpowiedź którą otrzymałem mało miała wspólnego z odpowiedzią na moje pytania:
dane, gromadzone na serwerach firmy Gemius, pozostają naszą własnością. Gromadzone były w celu mierzenia ruchu na stronie banku. Firma Gemius nie przekazywała ich żadnym innym podmiotom, ani nie wykorzystywała do jakichkolwiek analiz. Współpracę między firmami reguluje umowa. Informacje wysyłane były w formie anonimowej – nie pozwalającej na powiązanie z rzeczywistym klientem. Nie istniało więc żadne zagrożenie dotyczące bezpieczeństwa zdeponowanych w banku środków. Po otrzymaniu informacji w tej sprawie, natychmiast wstrzymaliśmy przekazywanie wszystkich danych do narzędzia analitycznego.
Pozdrawiamy
Zespół mBanku
I teraz pojawiają się kolejne pytania:
1) czy w apce jest dokładnie taki sam tracking jak na stronie dla desktopów
2) czy dodano coś nowego (przypominam, że jeden z mocno reklamowanych feature'ów w nowej wersji aplikacji to logowanie za pomocą odcisku palca). Odcisk palca też będą wysyłać na zewnątrz?
3) czemu za każdym razem wklejają dokładnie taką samą formułkę
4) wydaje mi się, że #
oszukujo, że wysyłane dane są anonimowe i nie pozwalają na powiązanie z rzeczywistym klientem. Za każdym razem do firmy Gemius idzie przeciez http request, gdzie bez problemu można wyciągnąć informację o ip, ciastku, unikalnym id, user-agent (używana przeglądarka, jej wersja, system operacyjny, czasami jakie zainstalowane pluginy, silnik przeglądarki itp) itp. Dochodzi jeszcze stan konta. Jeśli odwiedzasz też inne strony to prędzej czy później takie dane da się powiązać z konkretnym użytkownikiem
5) po co wysyłany jest stan konta, jeśli ten gówniany trackingowy skrypt dodany był tylko aby dane "Gromadzone były w celu mierzenia ruchu na stronie banku". Do mierzenia ruchu na stronie saldo nie jest potrzebne. Jest za to mocno przydatne, żeby lepiej profilować użytkownika i w przypadku większych osadów na koncie można mu wtedy wcisnąć reklamy z droższymi produktami
6) co ze zgodami na udostępnianie danych finansowych zewnętrznym podmiotom. Ktoś się orientuje, czy gdzieś faktycznie w jakimś zakopanym pod pięćdziesiątym linkiem regulaminie była ta informacja? Czy może była to wolna amerykanka w wykonaniu jednej lub drugiej firmy?
7) jak to się stało, że taki babol przeszedł przez qa testy, uat'y, pewnie preproda a następnie trafił na produkcję? Ile jeszcze innych rzeczy podobnego kalibru czeka na odkrycie w nowym mbank? To nie jest zwykły błąd. Takie rzeczy trzeba specjalnie oprogramować, i jakiś programista musi przy tym posiedzieć jakiś czas. Dodatkowo sam tego pewnie nie zrobił, tylko dostał polecenie aby to zrobić.
8) skąd hostowany był skrypt trackingowy? Jeśli ze strony gemiusa to chyba słabo, że w portalu pobierane są zewnętrzne skrypty. Tam przecież wtedy można wstawić wszystko i zrobić prawie wszystko. Jeśli hostowany był ze strony mBanku (oraz dostarczony w całości przez Gemiusa) to jak to się stało, że nikt nie raczył spojrzeć co ten skrypt dokładnie robi i co wysyła?
Dużo pytań, mało odpowiedzi, a jeśli już się jakieś pojawią, to są nie na temat oraz nie rozwiązują wątpliwości... Sami zadajcie sobie pytanie, czy w takiej instytucji warto trzymać swoje pieniądze.
Komentarze (73)
najlepsze
Odpowiedzi:
1) Pozdrawiamy,
Zespół mBanku
Zapraszamy
@damw
Tak naprawdę to mętne odpowiedzi zostały udzielone na 3 pierwsze pytania. I tak dla mnie to dużo jeśli chodzi o jakiś leszczy z marketingu próbujących ogarnąć profil na wypoku. Naprawdę liczyłeś na coś więcej niż na ogólną regułkę?
A resztę
Od afery z danymi kasuje tam konto, któe trzymałem wyłącznie dla rachunku maklerskiego
Brawo, stoczyliście się z najlepszego internetowego banku do największego syfu na rynku @mBank
@JajecznicaNaGrzankach: PKO BP też wprowadziło gównanny interfejs. Spoko bo do pewnego czasu działał stary. Ale teraz tylko nowy :(
Zespół mBanku
Z tym co miałem do czynienia to najwygodniejsze są:
- PKO BP (Inteligo też było ok)
-
Pozdrawiamy,
Zespół mBanku