[ archief ] Ontwerpfout ING Internetbankieren: privegegevens op straat

[Wim2007]

"Door een ontwerpfout in het internetbankieren zijn naam, rekeningnummer en woonplaats van alle 8,9 miljoen Nederlandse ING-rekeninghouders te achterhalen. ING neemt geen maatregelen tegen dit privacy-issue."

zie voor het hele artikel: http://tweakers.net/nieuws/71115/priveg ... halen.html

Is ING internetbankieren hierdoor onnodig riskant?

[Pindakaaspotje]

** Verwijderd ivm censuur

[Chanmaster]

Ik vindt dat er niets mis mee is.

[crazyme]

Ik vindt dat er niets mis mee is.

Tweakers geeft ook aan wat de risico's zijn. Niet gelezen ?

Dit lijkt mij een onnodig veiligheidsrisico.

[GJvdZ]

Dit is geen ontwerpfout want het is bewust zo gebouwd. Het grote voordeel hiervan is dat je nooit per ongeluk een bedrag kan overmaken naar een verkeerde rekening.

[crazyme]

Dit is geen ontwerpfout want het is bewust zo gebouwd. Het grote voordeel hiervan is dat je nooit per ongeluk een bedrag kan overmaken naar een verkeerde rekening.

Geen ontwerpfout in de software, maar een ontwerpfout in het systeem van postbank-rekeningnummers en de controle daarop. Het wordt tijd dat die nummers worden omgezet naar een "volwaardig" nummer met elfproef.

Het feit dat ze zo'n veiligheidsrisico "incalculeren" geeft toch wel te kennen dat het vaak misgaat.

[GJvdZ]

Dit is geen ontwerpfout want het is bewust zo gebouwd. Het grote voordeel hiervan is dat je nooit per ongeluk een bedrag kan overmaken naar een verkeerde rekening.

Geen ontwerpfout in de software, maar een ontwerpfout in het systeem van postbank-rekeningnummers en de controle daarop. Het wordt tijd dat die nummers worden omgezet naar een "volwaardig" nummer met elfproef.

Het feit dat ze zo'n veiligheidsrisico "incalculeren" geeft toch wel te kennen dat het vaak misgaat.

Ook dat is geen ontwerpfout. Hoogstens verschil van inzicht dan wel mening. En wat jij zegt over de elfproef: ik denk als de ING dat doorgaat voeren, de servers van dit forum ontploffen door alle "gedupeerden" die een nieuw rekeningnummers krijgen opgedrongen.

[comeyer]

iedereen zijn rekeningnummer is wel te achterhalen dus het maakt niks uit dat gegevens op straat komen te liggen, het zullen wel geen Wikileakjs achtige gegevens zijn toch?

[GJvdZ]

iedereen zijn rekeningnummer is wel te achterhalen dus het maakt niks uit dat gegevens op straat komen te liggen, het zullen wel geen Wikileakjs achtige gegevens zijn toch?

Ik kwam vandaag een site tegen die echt gevaarlijk is: hier staan alle pin-codes van alle Nederlanders op: http://www.positiveatheism.org/crt/pin.htm

Als dit uitlekt....

[Marc W]

Ik vindt dat er niets mis mee is.

Mee eens. Als je iets overboekt naar een verkeerd nummer, dan kan je iig zien wie het is. Bijvoorbeeld.

[GJvdZ]

Ik vindt dat er niets mis mee is.

Mee eens. Als je iets overboekt naar een verkeerd nummer, dan kan je iig zien wie het is. Bijvoorbeeld.

Precies. De manier waarop ING werkt voorkomt situaties zoals die van een paar weken geleden waar iemand ten onrechte iets van 40.000 euro kreeg, een auto kocht, schulden afloste en het nu op last van de rechter moet terugbetalen (volgens mij ook nog van een bijstanduitkering).

[Marc W]

Precies. De manier waarop ING werkt voorkomt situaties zoals die van een paar weken geleden waar iemand ten onrechte iets van 40.000 euro kreeg.

Moet je wel het vinkje 'opslaan in adresboek' aanzetten! Volgens mij stond dat trouwens standaard aan, voordat bepaalde mensen misschien over privacy gingen mekkeren? Is het daarom uitgezet? Ja krijg dan helemaal de cholera met je privacy hoor!

[Bob Schurkjens]

Ik ben hoogst verbaasd dat dit als primeur door Tweakers wordt gepresenteerd. Ik ben hier al jaaaren van op de hoogte en gebruik het elke keer als ik met ING overboek. Ik ben altijd te lui geweest om de naam van de begunstigde in te vullen.

Bij “naam begunstigde” vul je een x in of een willekeurig andere letter. Je vult het bedrag in. Vervolgens klik je op “verder”. Doe je dit bijvoorbeeld met gironummer 1, dan krijg je de melding: “Bij de ING is onder deze Betaalrekening de naam -S RIJKS SCHATKIST S GRAVENHAGE bekend.” Je hebt nu dus naam + woonplaats die bij het rekeningnummer hoort. Je klikt op akkoord en de overboeking is een feit. Scheelt een hoop tiepwerk. Ik hoop niet dat dit verandert.

Sterker nog: veel supermarkten lieten tot voor kort het hele gironummer zien op de bon van je pinbetaling. Van wildvreemden kon je zo het gironummer + adres achterhalen (dit laatste wanneer persoon in kwestie ook in de online telefoongids staat vermeld).

Een paar mensen hebben zo een girorekeningnummer dat uit 1 cijfer bestaat! Ze zullen dat wel via vererving hebben bemachtigd. Leuk om te hebben, ook al is het immaterieel!

http://www.ing.com/xpedio/internet/hist ... heque.html

[Marc W]

Sterker nog: veel supermarkten lieten tot voor kort het hele gironummer zien op de bon van je pinbetaling. Van wildvreemden kon je zo het gironummer + adres achterhalen (dit laatste wanneer persoon in kwestie ook in de online telefoongids staat vermeld).

Kan iemand daar wat mee? Ik denk aan 'postbus hengelaars'? In de Bijlmer hadden we van die criminelen die je bankafschrift uit je brievenbus visten om er fraude mee te plegen. Op zich mag van mij iedereen alles weten, privacy zal me een worst wezen, maar niet als ze dan geld van mijn rekening kunnen halen. Geen idee hoe ze dat deden, die fraude.

[Wim2007]

iedereen zijn rekeningnummer is wel te achterhalen dus het maakt niks uit dat gegevens op straat komen te liggen

Het is een publiek geheim dat het banken bij de verwerking van betalingen niet of nauwelijks controleren op de combinatie naam-nummer. Bij (andere) banken is vaak de enige controle het controlecijfer in het bankrekeningnummer. De rekeningnummers van de vroegere giro/Postbank kennen een dergelijk controlecijfer niet. Dat betekent dat het, in het geval van ING, het vrij eenvoudig is om fraude te plegen met bijvoorbeeld eenmalige machtigingen of automatische incasso. Het enige dat in de praktijk dan nog vereist zal zijn voor frauduleus handelen is naam en rekeningnummer.

[Wim2007]

In de Bijlmer hadden we van die criminelen die je bankafschrift uit je brievenbus visten om er fraude mee te plegen.

Waarschijnlijk gaan die er gewoon mee door. Op de ophef met betrekking tot deze kwestie (waarover ook vragen in de Tweede Kamer lijken te zijn gesteld) reageert ING. De reactie is hier te lezen: http://www.ing.nl/particulier/nieuws-en ... ragen.aspx

Interessant is dit deel van de reactie;" ING heeft bij de keuze voor deze dienst een afweging gemaakt tussen enerzijds het gemak voor onze klanten en anderzijds de privacy van de begunstigde. Het frauderisico dat in de media geschetst wordt, als gevolg van het afgeven van machtigingen met deze gegevens, is niet reëel. Het systeem van Naam Nummer Controle is gebruiksvriendelijk en veilig. Machtigingen zonder handtekening worden direct ongeldig verklaard indien de betaler deze betwist en klanten worden bij mogelijke schade altijd schadeloos gesteld."

Betekent dit dat gebruiksgemak voor veiligheid gaat bij ING? In ieder geval worden machtigingen met vervalste handtekening blijkbaar gewoon uitgevoerd door ING, zo kan worden afgeleid uit de reactie van de bank. Op het moment dat ze zijn uitgevoerd zal het vaak een aantal dagen duren voordat de ING klant verneemt dat er ten onrechte geld van zijn rekening is gehaald.

[crazyme]

Klanten van de ING kunnen door een storing sinds maandagmiddag geen geld overmaken en hun tegoed niet opvragen op de website ing.nl. Ook transacties via iDEAL zijn niet mogelijk.

De oorzaak van de storing, die rond 13.00 uur ontstond, is nog onduidelijk, meldt een woordvoerder. Wanneer de storing is opgelost is onbekend.

ING heeft in Nederland ongeveer zeven miljoen klanten. De bank had in september en oktober ook al te kampen met storingen.

http://frontpage.fok.nl/nieuws/421004/1 ... j-ing.html

Alles op slot gegooid ?