Chyba v bankovnictví Komerční banky umožňovala přístup k datům o klientech

Jeden z klientů Komerční banky nedopatřením odhalil chybu v zabezpečení aplikace internetového bankovnictví. K účtům klientů se nikdo dostat nemohl, uklidňuje banka.

„Neuvěřitelné. Omylem jsem se naboural ze svého internetového bankovnictví do interních databází Komerční banky. Jména, rodná čísla, adresy bydliště, e-maily, jak se klienti chovali atd. Dokonce mám Záznam z jednání s jistým Miroslavem Kalouskem. Podle data narození bydliště a mailu do Poslanecké sněmovny jde o exministra financí,“ napsal na svůj facebookový profil Jiří Dlabaja. Svá slova doprovodil screenshotem inkriminované databáze:


Autor: Jiří Dlabaja

K seznamu zájemců o produkty penzijního fondu Komerční banky, který podle screenshotu obsahuje zřejmě skoro padesát tisíc položek, se podle svých slov dostal náhodou. 

„Potřeboval jsem si zkontrolovat smlouvu s KB o důchodovém připojištění, ale spletl jsem si postup, jak se tam mám dostat. A právě ono spletení se mi otevřelo databázi s klienty, které KB kontaktovala v souvislosti s důchodovým spořením. Chci podotknout, že jsem nedělal žádné experimenty. Přihlásil jsem se přes svůj certifikační klíč, přes své heslo,“ napsal Dlabaja Lupě.

Českému rozhlasu pak poskytl také video, na kterém popisuje, jak se do systému dostal:

Komerční banka problém potvrdila. Podle její mluvčí Moniky Klucové šlo o technickou chybu na straně externího dodavatele systému KB Penzijní společnosti. Bankovní účty klientů podle ní nebyly kompromitovány, přístup k internímu systému už není možný a banka na nápravě pracuje. Tady je celé vyjádření banky:

Komerční banka dnes ráno identifikovala technickou chybu informačního systému Penzijní společnosti Komerční banky. Touto situací se velmi vážně zabýváme a neprodleně jsme zahájili veškerá nezbytná opatření k jejímu vyřešení.

Ujišťujeme všechny naše klienty, že nedošlo k žádnému ohrožení bezpečnosti či k úniku informací o bankovních účtech klientů banky.

Za způsobené komplikace se všem našim klientům velmi omlouváme.

AKTUALIZOVÁNO 17:10 

Případem se začal zabývat také Úřad na ochranu osobních údajů. Jeho mluvčí Hana Štěpánková Lupě potvrdila, že o dalším postupu úřad rozhodne během zítřka. Pokud by únik dospěl až ke správnímu řízení, mohla by banka dostat pokutu až ve výši několika milionů korun – záleží na tom, podle jakých paragrafů zákona o ochraně osobních údajů by ÚOOÚ postupoval.

Odpoledne vydala Komerční banka k problému další, o něco delší vyjádření. Podle něj se chyba vyskytla v jednom modulu webové aplikace Penzijní společnosti. 

„Aplikace internetového bankovnictví Komerční banky a Penzijní společnosti nejsou datově provázány, internetové bankovnictví Komerční banky pouze zprostředkovává přístup do aplikace Penzijní společnosti KB,“ uvedla mluvčí Monika Klucová. Podle ní tak nebyla narušena bezpečnost internetového bankovnictví KB a nedošlo k žádnému ohrožení bezpečnosti či k úniku informací o bankovních účtech klientů banky.

CIF16

Informační systém pro Penzijní společnost KB vyvinul externí dodavatel – firma Softip. Podle předsedy představenstva Penzijní společnosti KB Pavla Jiráka právě chyba v tomto systému umožnila neoprávněný přístup do kontaktní databáze. „V žádném případě nedošlo k úniku informací o již uzavřených smlouvách o penzijním spoření nebo o stavu prostředků na účtech klientů,“ dodal Jirák.

Komentář: Rozumíme snaze Komerční banky uklidnit klienty, ale tady od začátku nejde o průnik k bankovním účtům. Jádro problému tkví v tom, že bylo možné dostat se k osobním údajům skoro 50 tisíc lidí – jménům, rodným číslům, adresám, telefonům, e-mailům nebo údajům o tom, kolik si spoří na penzi. A zatím není vůbec jasné, jak dlouho chyba v systému byla, kolik lidí se k osobním údajům klientů mohlo dostat, zda si je případně stáhli a zda je hodlají nějak použít.

107 názorů Vstoupit do diskuse
poslední názor přidán 26. 7. 2013 0:31

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »