W zeszłym miesiącu mBank rozsyłał testowe wiadomości push do użytkowników mobilnej aplikacji banku. Dzisiaj pojawiła się kolejna awaria związana z przekazywaniem istniejących już numerów kont nowym osobom.

Awaria przypisania konta w mBank

W ciągu ostatniej doby mBank otrzymał wiele wiadomości i komentarzy o awarii. Wiele z nich sugerowało naruszenie ochrony danych osobowych klientów banku. Niektórzy nowi klienci zostali przypisani do rachunków innych osób.

Wpadka mBanku: klienci mieli wgląd w cudze rachunki. Błąd powodował nadpisanie w bazie mBanku danych starego klienta danymi nowego klienta. Nowy klient miał dostęp do pieniędzy i historii konta starego klienta, a stary klient widział dane osobowe nowego klienta. @Eksperci_WSB

— Rafał Parvi (@ParviRafal) August 25, 2020

Wielu klientów zgłosiło otrzymanie SMS o zmianie numeru kontaktowego do konta. Ponadto, po zgłoszeniu tego w placówce, klienci dowiadywali się, że ich konto ma nowego właściciela. Kredyty i otwarte rachunki otrzymywały nowych właścicieli. Z kolei starzy (właściwi) właściciele otrzymują powiadomienia o zmianie danych osobowych przypisanych do konta. Sprawa jest o tyle poważna, że prawowity właściciel nie może nic zrobić, ponieważ jego danych nie ma już w systemie.

Przyczyny problemów z nadpisaniami do kont

Najbardziej prawdopodobną przyczyną tej sytuacji jest wczorajsza awaria w mBank, która wystąpiła w godzinach wieczornych. Nie działał wtedy system składania wniosków w mBanku. Informatycy Banku po pierwszych zgłoszeniach ograniczyli dostęp do serwisu, zapewniając, że finanse klientów są bezpieczne.

Z pewnego powodu osoby zakładające konto w mBanku otrzymały od razu dostęp do cudzego, istniejącego rachunku – tak, jakby systemy połączyły dwie tożsamości. Wygląda to na błąd systemu, który nadpisuje dane identyfikujące starego klienta nowymi.

Portal Zaufana Trzecia Strona sugeruje błąd algorytmu. Być może algorytm generowania ID nowych klientów rozpoczął nową pulę już istniejących ID. Drugą z opcji jest awaria bazodanowa – po prostu przesunięcie się wierszy w tabeli. Prawdą jest jednak to, że mBank ma naprawdę poważny problem. Takie dodanie osób do istniejących już kont narusza RODO.

Powiadomienia push

Niedawno mBank wysyłał do tysięcy klientów testowe powiadomienia. Co prawda, wtedy były to niegroźne testy przeprowadzane na produkcji, ale wielu klientów już straciło odrobinę zaufania do bankowych informatyków. Na skutek otrzymanych nietypowych powiadomień klienci logowali się do aplikacji, powodując przeciążenie serwerów.

Miejmy nadzieję, że dzisiejsza awaria mBanku nie skończy się dla nikogo źle. Jednak po takich dwóch poważnych wpadkach, mBank niestety musi się liczyć z większą ilością niepochlebnych opinii.