[ archief ] Klanten kwetsbaar door nieuwe beveiliging Mijn ING

[Janoz]

Nou, ik heb eindelijk weer een reactie van de ING. Helaas (maar waarschijnlijk zoals verwacht) zijn ze weer helemaal niet op mijn twijfels ingegaan. Ook de specifieke vragen die ik had (waarbij ik aangegeven heb dat ik graag die specifieke vragen beantwoord wilde zien worden) is helemaal niks mee gedaan.

Het enige wat ze gedaan hebben is weer een lang knip en plak mailtje verstuurd waarin alleen maar wordt gezegd 'wij zijn slim, we hebben experts en vertrouw ons nu maar gewoon'.

Hoe ik weet dat het een knip en plak reactie was? Ik heb twee vragen gesteld. Ten eerste heb ik enkele exploits uitgelegd en ten tweede heb ik gevraagd wie die toezichthouder nu eigenlijk is waar ze het over hebben en hoe ik met hen in contact kon komen. De reacties die ik terug kreeg waren identiek op de eerste alinea na. Het kwam er op neer dat we niet mogen weten wie de toezichthouder eigenlijk is. Ook de mail die .oisyn ontvangen heeft was identiek.

[Janoz]

Eindelijk een antwoord op mijn laatst gestuurde mail, maar echt blij wordt ik er niet van......

Laatste mail van mij:

Sent: 12 Feb 10 13:05:46
Subject: Re: Wachtwoord Mijn ING

Goed, hernieuwde poging. Ik wil even duidelijk aangeven dat ik graag
een reactie op mijn vraag wil en niet een standaard gekopieerde
reactie (zeker niet wanneer deze twee keer naar mij gestuurd wordt)

Graag zou ik willen dat jullie de volgende drie situaties aan jullie
veiligheidsexperts voorleggen en dat zij op elke 3 de mogelijkheden
een reactie geven. Kanttekening is hierbij dat er uitgegaan wordt van
het feit dat het wachtwoord nutteloos is wanneer de malafide gebruiker
de telefoon, de gebruikersnaam en de portemonee (of andere bron van
geboortedatum en pasgegevens) bemachtigd heeft. Dat dit een feit is
heb ik in eerdere correspondentie al aangetoond:

Situatie 1:

Een gebruikersnaam moet uniek zijn. Een gebruiker kan zelf zijn
gebruikersnaam aanpassen. Het is dus redelijk simpel te controleren of
een gebruikersnaam in gebruik is door te proberen je eigen naam te
veranderen in de naam van het slachtoffer. Wanneer er een melding komt
dat de naam al in gebruik is is de kans groot dat dit degene van het
slachtoffer is. Nu is enkel het stelen van de tas voldoende om
complete toegang tot de bankzaken te krijgen.

Situatie 2:

Een onbetrouwbare huisgenoot (student, pleegkind of insluiper) kan
redelijk makkelijk de gebruikersnaam afkijken (over de rug meekijken
of wanneer er aangevinkt is deze te onthouden). Ook ie het niet
moeilijk om een keer de portemonnee te bemachtigen en enkele gegevens
over te schrijven. De onbetrouwbare huisgenoot hoeft nu enkel een keer
stiekem de telefoon achterover te drukken. Deze op stil zetten,
wachtwoord op te vragen, sms-je weer wissen en het account is over
genomen. De telefoon kan weer terug gelegd worden en de gebruiker
merkt pas wat wanneer blijkt dat zijn eigen wachtwoord niet meer
werkt.

Situatie 3:

Zoals jullie zelf aangeven is het van belang dat er een gebruikersnaam
gekozen moet worden welk geheim en niet voor de hand liggend is. Dit
is van belang omdat de veiligheid van het internetbankieren hiervan af
hangt. Een lastige gebruikersnaam verhoogt natuurlijk de kans dat deze
vergeten wordt. Bij een vergeten gebruikersnaam moet weer het
'klantonvriendelijke' traject doorlopen worden. Over het algemeen
zullen dit de mensen zijn die nu ook moeite hebben met het onthouden
van het wachtwoord. Uiteindelijk zullen deze mensen geen voordeel
hebben bij deze aanpassing en heeft het verlagen van de veiligheid dus
helemaal geen zin gehad.


Graag een serieuze reactie.

mvg

echte naam van Janoz

En wat krijg ik 12 dagen later?

Geachte heer echte naam van Janoz,

Onze excuses voor de vertraagde beantwoording van uw e-mail.

Wij gaan niet op de door u geschetste scenario's in. In onze beantwoording van onze vorige e-mails hebben wij u zo duidelijk mogelijk geinformeerd over de gang van zaken omtrent het wijzigen van de procedure. Wij vragen hiervoor uw begrip.

Met vriendelijke groet,
ING Klantenservice

Dhr. A.L. Westerhoff
Manager Verkoop en Service

[s.stok]

Dit kan je toch niet meer serieus nemen het beantwoord je vraag totaal niet en 'duidelijk'? Ja voor een computer leek maar niet voor iemand die zich bezighoud met security.

OT: Is Radar overigens wel uitgezonden afgelopen week?
Ik kon hem niet terug vinden bij de Aflevering gemist

[Janoz]

Ik heb ze ook geantwoord dat de nieuwe procedure mij inderdaad compleet duidelijk is. Sterker nog, waarschijnlijk heb ik de consequenties van de nieuwe procedure juist iets beter op mijn netvlies staan.

[Deurwaarder Mark]

Belachelijk... dan neem je de consument dus écht niet serieus...

@ s.stok: op de homepage van deze site staat de melding dat er ivm de olymische spelen een paar uitzendingen uitgevallen zijn.

[s.stok]

@Mark: Bedankt, dan weet ik dat het niet bij mijn TV provider ligt