Wycieki danych są szczególnie nośnym tematem, jeśli dotyczą instytucji finansowych. Dobitnie przekonał się o tym mBank, którego luka w zabezpieczeniach nie pozwalała na wyrządzenie szkody klientom i wydawała się mało poważnym problemem. Jednak przydarzyło się to instytucji finansowej, a te zawsze są pod lupą, jeśli chodzi o bezpieczeństwo.

Sprawa nie dotyczy systemu transakcyjnego, a oficjalnego forum mBanku, które należy do jednego z najprężniej działających forów instytucji sektora finansowego. Okazało się, że klienci banku otrzymali korespondencję stylizowaną na tę autorstwa mBanku, polecającą podanie danych osobowych na załączonej stronie, gdyż w przeciwnym razie konto zostanie zablokowane. Szybko okazało się, że phishing trafił tylko do użytkowników zarejestrowanych na forum banku. Jeśli klient podał bankowi inny adres i np nie był uczestnikiem forum, wówczas nie otrzymywał wiadomości.

Okazało się, że ani system bankowy, ani bazy danych mBanku nie zostały naruszone, a wyciek adresów email był konsekwencją braku dostatecznych zabezpieczeń w kodzie forum instytucji. Zasoby transakcyjne, przechowujące dane, etc., czyli najpopularniejsza waluta dla podobnych oszustów, pozostały nietknięte. Problem sam w sobie nie powodował strat finansowych klientów – o ile oczywiście nie odpowiedzieli na phishing i nie wypełnili formularza na stronie, do której przekierowywał odnośnik w wiadomości. Mimo wszystko adres email to rodzaj osobistych danych, a na forum banku został powierzony w wierze, że nie zostanie upubliczniony.