Privégegevens alle ING-klanten zijn door ontwerpfout te achterhalen

Door een ontwerpfout in het internetbankieren zijn naam, rekeningnummer en woonplaats van alle 8,9 miljoen Nederlandse ING-rekeninghouders te achterhalen. ING neemt geen maatregelen tegen dit privacy-issue.

Het achterhalen van privégegevens gaat via de overmaakfunctie van het internetbankieren van ING. Als iemand geld probeert over te maken naar een andere ING-klant controleert de bank of naam en rekeningnummer overeenkomen. Zo niet, dan verschijnt boven in beeld een melding met de vraag of het inderdaad de bedoeling is dat naar die persoon geld wordt overgemaakt. Daarbij staan veelal voorletters, achternaam en woonplaats vermeld.

Dit is bedoeld als service, maar kan gemakkelijk worden misbruikt. Kwaadwillenden kunnen een rekening openen en door een scriptje te maken de namen, woonplaatsen en rekeningnummers van alle ING-klanten achterhalen. Degene die Tweakers.net hierover tipte, heeft de proef op de som genomen en een lijst achterhaald met de 250 'eerste' rekeningnummers, van 0000001 tot 0000250. Om privacyredenen publiceren wij die lijst niet. Van de methode kan onder meer misbruik gemaakt worden door een database aan te leggen van ING-klanten. Een dergelijke database zou in het illegale circuit veel geld kunnen opleveren.

ING is niet van plan het opvragen van privégegevens onmogelijk te maken. "We maken een afweging tussen het risico op misbruik en de service aan klanten", aldus ING-woordvoerder Daan Heijbroek. "Tijdens een enquête bleek dat 94 procent van onze klanten blij is met deze service, die voorkomt dat mensen geld overmaken naar de verkeerde." Een mogelijke oplossing zou zijn een maximum, van bijvoorbeeld duizend, te stellen aan het aantal dagelijks op te vragen privégegevens. "Dat gaan wij niet doorvoeren, want wij achten het risico dat dit wordt misbruikt niet groot." Wel voert ING een wijziging door waardoor de woonplaats niet meer zichtbaar is.

De check op rekeningnummers bestond overigens al jaren, maar het was tot op heden onbekend dat deze misbruikt kon worden op deze manier. Kwaadwillenden zouden dit kunnen misbruiken om bijvoorbeeld bij grote groepen mensen via de automatische incasso of een eenmalige afschrijving een bedrag af te schrijven. Eerder al trok de Consumentenbond aan de bel over het incassosysteem omdat dit fraudegevoelig zou zijn.

IT-banen

Reacties (476)

Cobalt 2 december 2010 17:03

Dit is al jaren zo, ook voorheen bij de Postbank. Misschien moet de redactie ook maar even in de telefoongids kijken. Daar staat vrijwel iedereen in met naam, voorletters en adres. Het functioneert als beveiliging tegen overboekingen naar verkeerde rekeningen. Het is dus een keuze namelijk hoe ga je met mogelijke transacties om naar verkeerde rekeningen. ING heeft deze verificatie waardoor een groot deel van deze mogelijke transacties voor verzending wordt gecorrigeerd door de klant. In plaats van dat bank naderhand het geld moet zien terug te storten, wat niet altijd lukt als de eigenaar van de andere rekening het ondertussen al verbruikt/opgenomen heeft.

Overigens is een rekeningnummer niet echt prive. Aangezien alle bedrijven waar jij betaald met je PIN-pas je nummer bekent is. Bij de ING kan je niet inloggen met je rekeningnummer dus voor de veiligheid maakt het niet uit.

[Reactie gewijzigd door Cobalt op 23 juli 2024 16:32]

Verwijderd 2 december 2010 18:47

Vergeet niet dat oude postbank rekeningnummers niet aan de elfproef hoeven te voldoen zoals 'gewone' bankrekeningnummers.
Dit betekent dat bij een kleine typefout de kans erg groot is dat je een echt bestaand rekeningnummer te pakken hebt. Dit is bij een gewone rekening niet zo.

Door nu af te dwingen dat je de juiste naam-nummer combinatie hebt zorgt ING ervoor dat er op deze manier geen fouten worden gemaakt. Maar dan moet je dus precies weten hoe de rekeninghouder bij ING is geregistreerd.

Deze 'feature' geeft dus bij afwijkende naam aan wat er bij ING geregistreerd is (en vult die ook nog voor je in, in het naam veld' ) En geeft je de kans om nog eens goed te kijken of het wel klopt.

Ik denk dat de hoeveelheid fouten dat dit voorkomt sterk opweegt tegen eventuele mogelijke misbruik.

Verwijderd 3 december 2010 23:55

Volgens mij vind je met google makkelijker deze gegevens.
Bovendien zit deze optie al 5 jaar in deze applicatie. De eerste versie was gebaseerd op Siebel en die is binnen 1 jaar na introductie vervangen door een versie gebaseerd op Websphere i.v.m. performance problemen en te beperkte schaalbaarheid van de Siebel versie.
Voor de mensen die vergeetachtig zijn onder ons, de Mijn Postbank.nl is van naam veranderd toen de Postbank naam door ING werd opgeheven. Mijn Postbank.nl werd toen mijn ING.
Paniek is 5 jaar te laat, maar ze zijn nogal gevoelig voor publicaties bij ING dus het zal mij niets verbazen als het binnenkort weg is.

Faab de nde 3 december 2010 10:16

Ach, bestaat al jaren. Handig als je eens een nieuwe persoon geld overmakt voor iets. Jammer dat het alleen ING klanten bevat.
Ook leuk dat je kan achterhalen dat persoon X met rekening nummer Y in stadje Z woont als je die intentie hebt. En dan?

Telefoon boek? sta ik niet in (kan jij ook doen).
Google search? Niks te vinden over mij dat te koppelen is.
Automatische incasso? terug te vorderen door rekening houder.
Gegevens bij de gemeente opvragen? Succes, gaat je niet lukken (iets met privacy en achterdocht van de gemeente ambtenaren. Ja, heb ik positieve ervaring mee).

Leuk dat Tweaker.net schrijft dat "Een dergelijke database zou in het illegale circuit veel geld kunnen opleveren.". Makkelijke zin, weinig inhoud en vooral oproer creerend. Beetje angst inboezemen bij mensen.
Nee, ik zie hier geen probleem mee. Helaas zien sommige mensen overal een probleem mee.

Verwijderd 2 december 2010 23:03

Tijdens de bouw van het Girotel proefsysteem midden jaren tachtig is dit uitgebreid besproken. Deze wijze van controle op naam-nummer is by design!
Nostalgie: ik heb de routines daarvoor toen zelf geschreven in assembler. Zullen inmiddels wel zijn vervangen.

Verwijderd @Verwijderd • 3 december 2010 01:06

Het is in ieder geval interessant om te horen dat een designbeslissing van 25 jaar geleden nog steeds wordt gehandhaafd.

Ik kan begrijpen dat midden jaren 80 een dergelijk systeem wenselijk en afdoende was, maar tijden veranderen en de snelheid waarmee je nu deze gegevens kan opvragen is even wat anders dan in de 80's.

Daarbij is het belang van gegevens ook groter. Doordat er dankzij het internet inmiddels vele bronnen voor persoonsgegevens zijn, wordt het 'crosslinken' van deze verschillende bronnen telkens eenvoudiger.

Om maar een voorbeeld te noemen:
- Je haalt bij de ING een naam, voorletters woonplaats, rekeningnummer van hun rekeninghouders op.
- Je haalt bij de KPN naam, voorletters, adres en woonplaats, telefoonnummer van hun abonnees op.

Men combineert de gegevens, en hebt een lijst met (een bepaald percentage) kloppende persoongegevens: naam, voorletters, adres, woonplaats, telefoon -en rekeningnummer.

De koppeling van deze 2 gegevensbronnen betekend al dat:
- Dat je achterstevoren een rekeningnummer bij een naam kan vinden.
- Dat je gerichte mailings (per brief) kan doen naar ING klanten
- Dat je gericht kan phishen
- Dat je gerichte telefoonscams kan uitvoeren. ("Hallo meneer X, wij zijn van PT Telecom, wij informeren u dat wij een bedrag van Y euro van uw rekeningnummer Z af gaan halen, gaat u daarmee akkoord?")

Hoe ingewikkeld is het vervolgens om aan emailadressen te komen bij dergelijke gegevens? Of aan een hyves/facebook/myspace usernames behorende bij de persoonsgegevens.

Door al dat crosslinken wordt je initieele database wel wat uitgedund, maar met een (theoretisch) startaantal van 8.9 miljoen rekeninghouders, houdt je ongetwijfeld een bruikbaar gedeelte over.

Krijg je straks sites, waar je adv. een hyvesnaam een rekeningnummer kan opvragen

Het gevaar zit dus ook niet niet zozeer in de individu die op zijn internetbankieren 1 rekeninghouder bij 1 rekeningnummer kan vinden. Het gevaar zit het in de automatisering! Persoonsgegevens van 1 persoon zijn niet interessant, van 100 ook niet, maar van 1.000.000 wel. Het is opmerkelijk te zien in de reacties, dat dit niet wordt ingezien door de veel tweakers.

Oh, en over het probleem: "Ja maar als je dan als ING gebruiker zo'n lijst van hun site loopt te trekken, dan ben je toch niet anoniem?"

Dat klopt. Echter dankzij ING's inlogsysteem (username+pass) is de ING met name gevoelig voor Phishing. Dankzij TAN codes e.d. valt er op het eerste gezicht niets te halen bij een 'gestolen account'. Wie verder kijkt ziet dat er wel degelijk iets te halen valt: Anonimiteit! Dankzij oma's gephishede account kan InbrekerX nu anoniem de data bij de ING weg lopen trekken. (voor het klaarzetten van een overschrijving ben je namelijk geen TAN code nodig) Handig voor InbrekerX. Lang leve de ING.

Tijd voor de ING om het een en ander in heroverweging te nemen. De 80's zijn voorbij, en het internet is niet enkel voor braverikken.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 16:32]

wankel @Verwijderd • 3 december 2010 09:24

Ik kan begrijpen dat midden jaren 80 een dergelijk systeem wenselijk en afdoende was, maar tijden veranderen en de snelheid waarmee je nu deze gegevens kan opvragen is even wat anders dan in de 80's.

Ohja? Je kan tegenwoordig sneller een DVD downloaden, maar de halve kilobyte die voor zo'n aanvraag heen en weer gaat, maakt over ISDN óók niet echt uit.

Om maar een voorbeeld te noemen:
(knip lange open deur)
- Dat je gerichte telefoonscams kan uitvoeren. ("Hallo meneer X, wij zijn van PT Telecom, wij informeren u dat wij een bedrag van Y euro van uw rekeningnummer Z af gaan halen, gaat u daarmee akkoord?")

En dat kan niet zonder het rekeningnummer te weten? Mensen die daar intrappen, doen ook de volgende stap:
- Van welk rekeningnummer mogen we het bedrag afschrijven?
-- doe maar van ....

Hoe ingewikkeld is het vervolgens om aan emailadressen te komen bij dergelijke gegevens? Of aan een hyves/facebook/myspace usernames behorende bij de persoonsgegevens.

Het rekeningnummer voegt niets toe aan de al bekende gegevens uit bijvoorbeeld het telefoonboek, omdat het (inderdaad) relatief weinig op iemand's homepage te vinden is.

Krijg je straks sites, waar je adv. een hyvesnaam een rekeningnummer kan opvragen

Ohjé, krijg je zometeen dat íedereen geld kan overmaken naar pipo23, omdat nu iederéén haar rekeningnummer kent!?

niet, maar van 1.000.000 wel. Het is opmerkelijk te zien in de reacties, dat dit niet wordt ingezien door de veel tweakers.

Het verschil met een database aan mailadressen of telefoonnummers is, dat je met mijn rekeningnummer (326584) (jaja, de kenners kunnen nu mijn échte woonplaats, offline, vinden!) mij niet echt kunt "spammen". Ja, je kan m'n rekeningnummer "pingen", maar dat is het wel zo ongeveer. Als je m'n adres hebt, kun je op bezoek komen, verveldende foldertjes sturen of een kerstkaart. Als je m'n telefoonnummer hebt, kun je me 's nachts bellen, zodat ik de volgende ochtend een vervelend SMS'je krijg als ik m'n telefoon weer aanzet. Met m'n rekeningnummer kun geen dingen doen die meteen m'n aandacht nodig hebben.

Dat klopt. Echter dankzij ING's inlogsysteem (username+pass) is de ING met name gevoelig voor Phishing.

Je bent voorál gevoelig voor kwaadwillenden die expres vier keer een verkeerd wachtwoord invullen voor álle klanten van ING.

Kingh @Verwijderd • 3 december 2010 06:10

De meeste inlognamen zijn gebaseerd op de echte naam.(daar waarschuwde men laatst nog over)
Als men een lijst met echte namen heeft achterhaald…

wankel @Verwijderd • 3 december 2010 09:27

Nostalgie: ik heb de routines daarvoor toen zelf geschreven in assembler. Zullen inmiddels wel zijn vervangen.

Als dat op 't proefsysteem was hoop ik het wel ;-)

Ik had verwacht dat het systeem op 'n mainframe draait, en dus meestal COBOL en geen assebler. Dat is niet het geval? Als het aan de andere kant op 'n mainframe draait, lijkt me de kans groot dat je code nog steeds de kern van de functionaliteit vormt :-)

Herko_ter_Horst

@Verwijderd • 3 december 2010 11:47

Dus het design specificeerde dat al die informatie getoond moest worden en dat het volstrekt ongelimiteerd opgevraagd moest kunnen worden. Lijkt me stug.

De controle op foute invoer is vast wel by design, maar deze misbruikmogelijkheden vast niet. Daar is zeer waarschijnlijk indertijd helemaal geen rekening mee gehouden. Dát is de ontwerpfout, niet het bestaan van de feature.

Bron 2 december 2010 16:54

Gemengde gevoelens.

Ikzelf vind het wel prettig dat het automatisch controleerd of de gegevens wel overeen komen, zo maak je niet een typefout.

Maar in hoe verre kan dit echt misbruikt worden?
Hoe ver kun je komen met een naam, rekeningnummer en woonplaats?

mjtdevries @Bron • 2 december 2010 19:05

Het kan misbruikt worden op de manier zoals T.net aangeeft.

Aan de andere kant kan het alleen misbruikt worden door klanten van de ING.
En mensen die dit soort dingen willen misbruiken willen dat juist anoniem doen, en dat kan in dit geval dus niet.

Wat dat betreft is het gevaar dus niet erg groot, omdat de schuldige makkelijk te achterhalen is.

Desondanks is er ook wel een prima methode om dit af te vangen. Namelijk tarpitting.
Bij Mailservers wordt dat veel gebruikt.

Het is namelijk heel handig als een mailserver bij een inkomende connectie aangeeft dat een bepaald adres niet bestaat. Als jij dan een typefout hebt gemaakt dan krijg je tenminste een bericht terug daarover.
Maar spammers kunnen op die manier heel makkelijk een directory "harvesten". Je probeert gewoon alle name die maar mogelijk zijn.
Microsoft heeft daar ooit een test mee gedaan en in 10 minuten zou je op die manier bij een bedrijf met 100.000 werknemers alle addressen kunnen verzamelen.

De oplossing is vreselijk simpel: Je voegt een vertraging van een paar seconden in zodra er een niet bestaand adres geprobeerd word. (of in het geval van de ING bij elke verificatie). Ipv 10 minuten ben je ineens miljoenen jaren bezig met het verzamelen.
Voor dat mailtje met een verkeerd adres is het totaal niet erg dat het een paar seconden langer onderweg is. Voor zo'n verificatie ook niet. En het levert de server ook geen hogere load op.

Freeaqingme @mjtdevries • 2 december 2010 20:48

Het kan misbruikt worden op de manier zoals T.net aangeeft.

Aan de andere kant kan het alleen misbruikt worden door klanten van de ING.
En mensen die dit soort dingen willen misbruiken willen dat juist anoniem doen, en dat kan in dit geval dus niet.

Jawel. Je hebt toegang nodig tot de rekening van 1 "oud vrouwtje" en je kan zo anoniem als je wil je gang gaan.

En nog altijd geldt, voorkomen is beter dan genezen.

mjtdevries @Freeaqingme • 2 december 2010 21:24

Want ik kan voorkomen dat mijn rekening nummer, naam en woonplaats bekent worden?

Dat rekening nummer moet ik continu gebruiken om transacties te doen. Daar staat mijn naam dan ook automatisch al bij. En het is ook een kleine moeite om achter mijn woonplaats te komen.

Die drie zaken zijn simpelweg geen geheime persoonlijke gegevens.

De enige vorm van voorkomen die hier van toepassing is, is voorkomen dat die drie publieke gegevens voldoende zijn om een rekening te plunderen!

wankel @mjtdevries • 3 december 2010 08:42

De enige vorm van voorkomen die hier van toepassing is, is voorkomen dat die drie publieke gegevens voldoende zijn om een rekening te plunderen!

Ik kan niet aflezen waar je de ó hebt staan, in de eerste of de tweede lettergreep ;-)

Ik zie een veel groter risico, dat hier nog onbelicht is gebleven: als onbekenden mijn rekeningnummer kunnen vinden zonder dat ik het weet, zouden ze wel eens een bedrag op mijn rekening kunnen zetten, zonder mijn toestemming (!)

Verwijderd @Bron • 2 december 2010 16:59

dat is genoeg om éénmalige machtigingen voor elkaar te krijgen bij veel winkels (zowel on- als offline).

Robtimus @Verwijderd • 2 december 2010 17:11

Die je (voor zover ik weet) daarna kan laten storneren omdat jij geen authorisatie hebt gegeven voor de machtiging. Het is dan aan de webwinkel + ING om aan te tonen dat jij dat wel hebt gedaan, en dat kunnen ze dan niet. De nadelige gevolgen zijn dus maar tijdelijk.

Niemand_Anders

Beveiliging

@Robtimus • 2 december 2010 17:28

Eenmalige machtigingen kun je niet storneren. Alleen automatische incasso's kun je storneren. Je zult zelf contact moeten opnemen met degene waar het geld naar toe is gegaan. Als deze weigert het geld terug te boeken, zul je daadwerkelijk aangifte bij de politie moeten doen. Met die aangifte kan de politie samen met een referentie nummer de bestel gegevens (naam, adres, pc, woonplaats, telefoon, email, etc) achterhalen waarna een strafrechtelijk onderzoek kan worden begonnen. Gelukkig gaan de meeste webwinkels hier redelijk goed mee om zodat het meestal niet zover hoeft te komen.

Daarbij hoeft een bank in deze gevallen helemaal niet aan te tonen. Het is de incasso opdrachtgever welke moet aantonen dat de eenmalige machtiging legitiem is. Daarbij ligt de bewijslast in eerste instantie bij jouw.

Juist omdat eenmalige machtigingen zo eenvoudig zijn te misbruiken wil de consumentenbond een verbod op eenmalige machtigingen.

cire @Niemand_Anders • 2 december 2010 21:54

het probleem is niet zo groot als je nu doet voorkomen... als een bedrijf hier namelijk mee rotzooit, mogen ze binnen de kortste tijd geen machtigingen meer aanleveren.

[Reactie gewijzigd door cire op 23 juli 2024 16:32]

Lenny77 @cire • 3 december 2010 08:59

Dat zal het, ongetwijfeld overal geregistreerde, bedrijf Illegale Jathenk BV inderdaad erg pijn doen...

Fireshade @Lenny77 • 3 december 2010 10:26

Jathenk BV moet eerst een licentie van de bank hebben om eenmalige incasso's uberhaupt te kunnen innen. Dus ja, het kan Jathenk BV veel pijn doen als het dat kwijtraakt.

[Reactie gewijzigd door Fireshade op 23 juli 2024 16:32]

frankivo @Robtimus • 2 december 2010 17:19

voor eenmalige machtiging heb je een licentie nodig
bij (te veel) foute machtigingen raak je deze licentie kwijt

Bron @Verwijderd • 2 december 2010 17:19

Dit kan je simpelweg ook doen door op marktplaats tegen iemand te zeggen dat je interesse hebt en je hem zijn bankgegevens laat doorgeven.

En zoals hierboven al is vermeld, dit is inderdaad al zoveel jaar aan de gang, de postbank werkte met prcies hetzelfde systeem voordat ING ze overnamen.

OddesE @Bron • 2 december 2010 21:47

Verschil is wel dat je dan zelf rechtstreeks contact op moet nemen met je potentiele slachtoffer. En dat diegene daadwerkelijk zelf kan kiezen of ze jou hun rekeningnummer geven.

In dit geval bepaalt de ING voor jou, zonder je medeweten, dat ze je naam en adres afgeven aan iemand die jouw rekeningnummer opvraagt.

offtopic: Dit is mijn 2500e post hier op Tweakers! Woot woot! Echt een mijlpaal! $_/-\o_$

* OddesE pinkt een traantje weg.

tweaktubbie @Verwijderd • 2 december 2010 17:41

nee hoor. rekeningnummer is afdoende. pietje puk uit 1000AA pakt elk systeem. dus op dat vlak niets aan de hand. zou alleen achternaam tonen en niet woonplaats+voorletters persoonlijk.

Verwijderd 2 december 2010 16:54

Misschien is het inderdaad niet veilig. Ik vond het wel een zekerheid, dat je zeker wist wie de persoon is naar wie je het geld overmaakt. Dit is toch al heel lang zo, weet niet anders meer dan dat dit zo is..

Bosmonster @Verwijderd • 2 december 2010 17:00

Precies. En elke keer als ik het gebruikte dacht ik "dat is ook makkelijk te misbruiken". En ging gewoon weer verder met mijn bezigheden.

Lekker boeiend

Danny @Bosmonster • 2 december 2010 17:25

Dat dus. ik vind 't retehandig ^O^
Snap ook niet waarom het hier een ontwerpfout wordt genoemd. Lijkt me dat dit gewoon by design is, en ik hoop dat ze het zo laten.

[Reactie gewijzigd door Danny op 23 juli 2024 16:32]

Garma @Danny • 2 december 2010 18:08

inderdaad. Tweakers wtf, beetje stemmingmakerij en is echt al jaren zo, lekker boeiend. En dat het pas nu bekend is dat dit te misbruiken is lijkt me ook onzin want dat kan elke harry bedenken.

Fraudegevoeligheid lijkt me ook onzin want je krijgt geen rekening zonder dat je bekend bent bij ING en zomaar geld naar jezelf overmaken via auto-incasso oid lijkt mij behoorlijk gedoemd te mislukken.

dat jullie het designfout noemen lijkt me ook onjuist, temeer daar de ing woordvoerder aangeeft dat het bewust is. Dan is het geen fout maar zijn jullie het er niet mee eens.

[Reactie gewijzigd door Garma op 23 juli 2024 16:32]

Zarc.oh @Garma • 2 december 2010 22:37

Ja dit is al jaren goed fout.
Ik heb dit in 2008 aangekaart bij de toenmalig Postbank, omdat ik het echt niet vind kunnen.
Een mogelijk scenario hoe criminelen dit kunnen misbruiken:

Criminelen weten een lijst te genereren van girorekeningnummers, rekeninghouders en woonplaatsen.
De criminelen matchen deze personen met het telefoonboek, dit levert een lijst met mogelijke adressen op, waarvan er een aantal mogelijk correct zijn.
De criminelen sturen een brief naar de adressen in naam van de Postbank, waarin de naam, woonplaats en het rekeningnummer wordt vermeld.
Rekeninghouders die een brief ontvangen waarin alle gegevens correct worden weergegeven, zullen deze brief mogelijk als legitiem zien, juist door de correcte persoonsgegevens in de brief.

Helaas zagen ze dit bij de Postbank / ING ook niet in.
Overigens verontrustend dat veel reacties geen verontrustende reacties zijn, maar vrij naieve reacties... Dit probleem is nl. zeer gevaarlijk...

Ook een reactie dat je een rekeningnummer nodig hebt om deze gegevens te achterhalen, doet mij niet vermoeden dat er aan trojans is gedacht...

Ik wilde het ooit ook eens bij Kassa / Radar / Consumentenbond / AFM melden.
Wellicht dat ze het nu oppikken.
En anders lever ik de tip wel

[Reactie gewijzigd door Zarc.oh op 23 juli 2024 16:32]

Xirt @Zarc.oh • 3 december 2010 00:39

Je reactie klopt in mijn ogen niet, omdat je niet aangeeft hoe de gegevens uiteindelijk gebruikt gaan worden. Een brief kan er helemaal legitiem uitzien, maar als ik dan een antwoord stuur naar de ING denk ik dat ik dat naar het adres van de ING doe (zowel via e-mail als via normale briefpost) dus dan krijg je nog geen nieuwe gegevens van me (als ik ze natuurlijk al stuur

). Een groter probleem is dat de gegevens gebruikt kunnen worden voor eenmalige incasso's. Dat is echter een ander probleem dat op zichzelf staat en in mijn ogen eerder opgelost moet worden: klik

TheSiemNL @Xirt • 3 december 2010 08:56

Als er op de brief staat als retouradres

ING bank
Antwoordnummer 859
5050 EA Eindhoven

dan ga ik niet controleren of dat antwoordnummer wel van de ING is.

sampoo @TheSiemNL • 3 december 2010 09:25

Ik stuur niets naar de bank waarvan ik weet dat de bank dat al moet kennen en elk mens met een gezond verstand doet hetzelfde. Als de boefjes al die gegevens hebben weten te verkrijgen wat zullen ze dan naar vragen in die brief waar ze iets mee kunnen zonder dat alle alarmbellen bij de geadresseerde gaan rinkelen?

Ce tan @sampoo • 3 december 2010 10:45

Er zijn genoeg mensen die vrijwel alles opsturen als ze denken dat het echt van de bank komt... en de 'boefjes' zijn vaak heel goed in staat om overtuigend te zijn! Het is fijn voor jou dat jij dat ten alle tijden door hebt maar helaas geldt dat niet voor iedereen...

Vaak betreft het ook ouderen die nog uit een andere tijd stammen; een tijd dat je nog naar een bank toe kon en persoonlijk contact had.
Deze mensen zijn vaak ook makkelijk bang te maken. Bijvoorbeeld door te melden dat ze kans lopen hun geld te verliezen als ze niet snel alle gegevens opsturen!

Ce tan @Xirt • 3 december 2010 08:55

Vaak wordt er door bedrijven een voorgedrukte envelop meegestuurd ... als de 'boefjes' dat doen zullen veel mensen dus wel degelijk hun antwoord naar hun terugsturen.

Roland684 @Zarc.oh • 3 december 2010 09:52

En hoe is dat gevaarlijker dan een brief waar hetzelfde op staat behalve je rekeningnummer?

En dan nog: Wat wil je ze vragen? Om hun gebruikersnaam, wachtwoord en 25 eerstvolgende TAN-codes te retourneren? Niemand die daar in trapt.

Ce tan @Roland684 • 3 december 2010 10:47

Zoals al regelmatig is bewezen met fishing-aanvallen in het verleden: jawel hoor! Heel veel mensen trappen daar in... (vaak ouderen voor wie alles nieuw is en die daardoor makkelijker voor de gek te houden zijn. Helaas wordt daar toch veel misbruik van gemaakt)

jw_moonshine @Garma • 2 december 2010 18:22

ja idd je hebt gelijk. Dit is bewust gedaan en is ook voor mij(en 94% van de andere INGklanten) een hele handige functie. Ik hoop dat deze functie blijft...

Royale de Luxe @jw_moonshine • 2 december 2010 19:12

en wat gaan de dieven nu doen met mijn rekeningnummer? Er geld op storten?

Tot zolang ik geen opdracht geef gebeurt er helemaal niets. Ik snap dit niet zo... wat is er nou verkeerd aan??

siepeltjuh @Royale de Luxe • 2 december 2010 20:01

@ Royale de luxe
Heb je het artikel dan wel begrepen? Er zijn meerdere manieren mogelijk om geld van jouw rekening te halen zonder dat jij daar opdracht toe geeft.

Als ik bij een webshop iets aanschaf en dat betaal met eenmalige incasso en ik vul jouw gegevens in ben jij blut en heb ik spullen. Jij hebt geen opdracht gegeven....

Met deze website is het dus heel eenvoudig geworden om valide bank gegevens (rekening, naam en plaats) te achterhalen, meer is niet nodig voor zo`n eenmalige incasso.

Natuurlijk zijn hier dan nog twee problemen om als oplichter op te lossen en dat is het niet traceerbaar maken van je online bestel actie. (eenvoudig via een open wifi netwerk) en de laatste is het niet traceerbaar maken van de uitgeleverde bestelling, deze laatste is wat lastiger, maar ook daar zijn wel mogelijkheden voor.

Naast deze misbruik procedure zijn er nog wel meerdere oplicht praktijken mogelijk door deze gegevens. Niet voor niets zijn dergelijke gegevens flink geld waard in het illegale circuit, die geven echt geen geld voor iets waar ze niets zinvols mee kunnen.

Andere banken hebben deze functionaliteit toch ook niet, daar klaagt toch ook zelden of nooit over het ontbreken van die functie.

Verwijderd @siepeltjuh • 2 december 2010 20:08

"Er zijn meerdere manieren mogelijk om geld van jouw rekening te halen zonder dat jij daar opdracht toe geeft."

En dat is een veel groter veiliigheids probleem dan een adreslijstje.

Als je uit privacy redenen niet in die lijst wil opgenomen worden is een zwitserse bank een oplossing.

TD-er

@Verwijderd • 2 december 2010 20:38

Als je uit privacy redenen niet in die lijst wil opgenomen worden is een zwitserse bank een oplossing.

En dan kom je ineens op een CDtje te staan wat de belastingdienst weer koopt.

Verwijderd @TD-er • 3 december 2010 09:20

In oostenrijk kun je ook een Sparbuch aanvragen, ik geloof dat die alleen met contant geld werken en niet centraal geregistreerd worden. Je dient dan het wachtwoord te kennen en het spaarboekje te overleggen om geld te kunnen opnemen. Overigens zijn deze boekjes alleen voor oostenrijkers aan te vragen, maar ze zijn eenvoudig over te dragen aan iemand anders. Dus je hoeft alleen een oostenrijkse student om te kopen voor een paar tientjes en je bent klaar voor de start.

stresstak @TD-er • 3 december 2010 16:17

Of op WikiLeaks.

mjtdevries @siepeltjuh • 2 december 2010 21:20

Daarmee geef je alleen maar aan dat de beveiliging van eenmalige incasso waardeloos is. Niet dat de beveiliging van ING slecht is.

Je rekening, naam en plaats geheim houden is immers alleen maar "security through obscurity"

Hoe kun je nu je rekening geheim houden als ie bij elke transactie die je doet zichtbaar is?

Ikke_Niels @siepeltjuh • 2 december 2010 21:37

Misschien pleit de consumentenbond niet voor niets voor het afschaffen van de eenmalige incasso?

Linky: nieuws: Consumentenbond wil af van eenmalige incasso bij webwinkels

mddd @siepeltjuh • 3 december 2010 08:47

Gelukkig kun je als benadeelde in zo'n geval wél eenvoudig je geld terugkrijgen. Een incasso is wettelijk gezien namelijk alleen geldig met een handtekening. Die is er niet, en dus is de bank altijd verplicht je het geld terug te geven.

florus @siepeltjuh • 6 december 2010 12:10

"Als ik bij een webshop iets aanschaf en dat betaal met eenmalige incasso en ik vul jouw gegevens in ben jij blut en heb ik spullen. Jij hebt geen opdracht gegeven...."

Dus niet; als de webwinkel geen handtekening kan reproduceren (en dat kan niet want in jouw voorbeeld vul je alleen gegevens in) is de transactie ongeldig. 1 telefoontje naar je bank en ze kijken of ze een handtekening van de webwinkel hebben gekregen en zoniet: de overboeking naar de webwinkel wordt teruggedraaid en de winkel heeft geen spullen en geen geld! Hadden ze maar een door de bank voor webtransacties goedgekeurde methode moeten gebruiken (accept giro, credit card bijvoorbeeld).

brucejje @siepeltjuh • 3 december 2010 09:16

Probleem 1:

stap 1:

Eerst verander je je mac adres hiervoor kan je SMAC gebruiken,

Stap 2:

Koop een VPN(eentje die niks opslaat) Deze raad ik aan te kopen in het ilegale wereldje.

stap 3:

Gebruik proxy's(de hele mikmak

Probleem2:

Verstuur die zooi naar een huis waar wel mensen wonen maar die op vakantie zijn; hierna bel je bij de buren aan en zeg je dat je een pakketje hebt verstuurd. Met prongeluk de verkeerde gegevens.

Neem hierbij een aantal officëele documenten mee van de aankoop van het product.

zorg dat je er netjes uit ziet. Duidelijk praat, en alles zou gesmeerd moeten lopen.

Zo zou ik het doen.

mesm90 @Royale de Luxe • 2 december 2010 19:20

inderdaad, ik snap ook niet waar nu die ontwerpfout inzit,

@I-chat, je hebt zeker nog nooit gehad dat iemand naar jou verkeerd heeft overgeboekt?
Bij alle banken krijg je dan een brief thuis (iig wel bij de ing) alsof je een groot misdaad hebt begaan en dat ze met sanctie's zullen volgen als je het X-bedrag niet binnen een maand terug stort,

Dat vind ik te zot voor woorden, daar heb ik heel wat privacy voor over om van dat "gemekker" van die banken af te zijn aangezien toch echt iemand anders zijn geld op mijn rekening stort.

steennnn @Royale de Luxe • 2 december 2010 19:33

Waarschijnlijk iets in de richting van phishing. Met gegevens kunnen ze phishing mailtjes natuurlijk nog echter laten lijken..

tofus @Royale de Luxe • 2 december 2010 22:20

@Royale de Luxe

en wat gaan de dieven nu doen met mijn rekeningnummer? Er geld op storten?

Dat is precies wat prins Mugawe uit Nigeria zei dat 'ie ging doen als ik 'm mijn bankrekeningnummer en naam/adres/etc. zou sturen. In dat ene mailtje, je kent ze wel. $20,000,000 dollar om precies te zijn. Dus idd, ik zou me nergens druk over maken...privacy is immers voor mensen die iets te verbergen hebben, niet? Misschien moet ik prins Mugawe eens adviseren een rekening bij de ING te openen.

[Reactie gewijzigd door tofus op 23 juli 2024 16:32]

i-chat @jw_moonshine • 2 december 2010 19:12

blijkbaar hoor ik dan bij de 6% die dit een belachelijke situatie vind,
je internetbankier code via sms, nu weer naam en woonplaats gewoon online
dt betekend voor mij dat er een hogere prio wordt gegeven aan het opheffen van deze rekening... een maximum van 10 controles per dag voor particulieren en 1000 voor bedrijven kan dus blijkbaar al niet eens meer ... lekkere bank ben je dan...

er worden wel eens meer dingen niet gepatched (ov chipkaar anyone) en idereen valt erover, maar identiteitsfraude - ach who cares, toch??

timwijn @i-chat • 2 december 2010 19:33

Volgens mij hoor ik bij de weinigen hier die dit belachelijk vind.
Mensen die zeggen dat ze dit retehandig vinden, moeten even bedenken hoe vaak je al geld naar de verkeerde persoon hebt overgemaakt? Daarnaast kan je vrij snel dit soort betalingen ongedaan maken. In het rechtssysteem zijn er daarom ook artikelen aan gewijd, namelijk die van onverschuldigde betalingen.
Daarbij zou ik uitermate angstig zijn dat mijn gegevens dus misbruikt zouden worden, dat iedere harry dit kan bedenken, maakt het juist nog erger.
Ben blij als ik dit soort dingen lees dat ik geen klant van de ING bank ben.

RoBBS @timwijn • 3 december 2010 08:40

Daarnaast kan je vrij snel dit soort betalingen ongedaan maken

Dit soort betalingen kun je niet ongedaan maken, alleen een automatische incasso kun je terugboeken. Als je handmatig geld overmaakt naar de verkeerde persoon kan de bank hooguit verzoeken dit terug te boeken.

sampoo @RoBBS • 3 december 2010 09:17

Precies, dat betekent dus dat de fout die wordt voorkomen moeilijker is te corrigeren dan de fraude die mogelijk is door een onterechte incasso. Je kan er hooguit overheen kijken of het te laat opmerken. Gewoon een risicoanalyse die de ING heeft uitgevoerd.

Bonez0r @sampoo • 3 december 2010 14:01

Maar dan kan de ING alsnog de beveiliging verbeteren door een maximum aantal keer iemand een fout rekeningnummer in te laten voeren, zoals ook aan ze voorgesteld is maar wat ze geweigerd hebben. Blijkbaar geeft de ING geen moer om beveiliging, anders zouden ze zoiets wel invoeren, de klant merkt immers niks van zo'n beperking van bijvoorbeeld maximaal 100 keer fout invoeren per dag.

stresstak @Bonez0r • 3 december 2010 16:15

Dan duurt het bijeen sprokkeln wat langer, maar blijft mogelijk.

.oisyn Moderator Devschuur®

Beveiliging
Betalingsverkeer

@timwijn • 2 december 2010 20:36

Mensen die zeggen dat ze dit retehandig vinden, moeten even bedenken hoe vaak je al geld naar de verkeerde persoon hebt overgemaakt

Ik ben al een keer of 3 verhinderd van die fout door de enorm handige feature van de ING, die idd al jaren bestaat.

Wat ik trouwens wel irritant vind is dat dat invoerveld geen punten accepteert. Bank-rekeningnummers worden meestal genoteerd met punten ertussen. Nu kun je dus niet makkelijk copy/pasten, want de kans op fouten vergroot.

Daarnaast kan je vrij snel dit soort betalingen ongedaan maken. In het rechtssysteem zijn er daarom ook artikelen aan gewijd, namelijk die van onverschuldigde betalingen.

Recht hebben en recht krijgen zijn twee hele verschillende dingen. Je bent afhankelijk van de andere persoon, waarvan je niet weet wie er achter het rekeningnummer zit, dus de communicatie loopt weer via de bank van de rekeninghouder. Jij kan die persoon niet voor het gerecht laten slepen, aangezien je compleet geen informatie ervan hebt. Nee, je bagatelliseert hier de zaak enorm.

? ? @.oisyn • 3 december 2010 09:30

Hoe schrijf je in godsnaam geld over naar de verkeerde?
Of het nummer komt van internet en is een simpele copy & paste of het staat op een papiertje dat je moet overtypen. Als je geen 15(ish) cijfers kunt overtypen, wat lukt dan wel?

stresstak @? ? • 3 december 2010 16:12

Door alleen maar het gekregen nummer in te typen en niet te kijken of de naam ook klopt kun je naar een andermans rekening geld overmaken. Als je nergens kunt zien wie er bij dat rekeningnummer hoort hoeft de eigenaar helemaal niet degene te zijn die jij geld wil sturen.

"Ja maar ikheb echt geld overgemaakt naar 5333543"
- Nou dat is anders niet het nummer van J Jansen DELFT" Dat had u kunnen zien"

Ik heb mn TAN codes overigens op papier, en vind de check handig

babananana @.oisyn • 2 december 2010 22:04

Je bent afhankelijk van de andere persoon, waarvan je niet weet wie er achter het rekeningnummer zit, dus de communicatie loopt weer via de bank van de rekeninghouder.

Maar met de functie waar dit artikel over gaat kan je er wel makkelijk achterkomen

TD-er

@timwijn • 2 december 2010 20:36

Ben blij als ik dit soort dingen lees dat ik geen klant van de ING bank ben.

Heb je bijvoorbeeld een ABN-Amro rekening? Zo eentje waarbij je exact dezelfde handeling moet uitvoeren om in te loggen als om een betaling te bevestigen.

Zo kun je van elke bank wel iets verzinnen waar net even te kort over nagedacht is.

PBX_g33k @TD-er • 3 december 2010 07:02

met de e.dentifier 2 is het simpel.

Eenmalig:
Software, Drivers & addon installeren.

e.dentifier2 koppelen, pas instoppen en pin intoetsen en klaar.
Bij betalingen hoeft er alleen pin + bevestiging gedrukt te worden.

Exorcist @timwijn • 2 december 2010 19:41

Je kunt alleen automatische incasso's ongedaan maken, geen reguliere stortingen naar andere particulieren en/of bedrijven.

SirDarkAngel @timwijn • 2 december 2010 19:43

Ooit meegemaakt dat je het geld hebt moeten terughalen? Dat is niet vrij snel en al helemaal niet makkelijk als de andere partij niet meewerkt.

Ik controleer het rekening nr altijd meerdere keren, maar vind het handig als er wordt bevestigd dat het inderdaad om de juiste persoon gaat.

Gezeur over privacy gaat soms erg ver, maar dat is mijn mening. Gelukkig voor jouw zijn er andere banken die het anders doen. Ieder zijn smaak.

yzf1kr @timwijn • 3 december 2010 07:56

Jij bent een beetje wereldvreemd.

Betalingen naar de verkeerde persoon zijn voor een particulier bijna niet ongedaan te maken. Je moet zelf het geld terugvragen, de bank doet niets voor je.

Lukt dit niet moet je het via een rechtzaak doen, en heb je het per ongluk op een rekening gestort van iemand die geen rooie cent heeft, dan ben je je geld echt kwijt. Of je moet genoegen nemen met een 10tje per maand terugbetaling.

ViperXL @yzf1kr • 3 december 2010 11:51

Klopt inderdaad helaas

Kun jij wel raden wat mij overkomen is.

Was vroeger inderdaad ook in de veronderstelling dat .....

Verwijderd @i-chat • 2 december 2010 19:22

Is dat SMS'je zo onveilig dan? Ik vond het juist een groot voordeel t.o.v. andere banken waar je altijd zo'n kastje nodig hebt... Als ik nu van iemand geld leen kan ik het ter plekke terugstorten.

robvanwijk

Beveiliging
Privacy

@Verwijderd • 3 december 2010 01:31

Het probleem van dat smsje ligt vooral bij smartphones. Stel dat je je smartphone kwijtraakt (hetzij ergens laten liggen, hetzij omdat je gerold wordt), dan kan de oneerlijke vinder / dief makkelijk in de browser de sites van alle Nederlandse banken openen en kijken of bij een daarvan op het inlogformulier de gebruikersnaam automatisch ingevuld wordt. Als dat bij de ING zo is dan heb je de gebruikersnaam al en kun je via sms (die zeer waarschijnlijk op diezelfde smartphone wordt ontvangen!) een password opvragen.
Natuurlijk kun je dat cachen van je gebruikersnaam uitzetten, maar we weten allemaal dat een groot deel van de mensheid dat veel te makkelijk vindt (en niet op de hoogte is van dit probleem), dus de stelling dat de ING hiermee misbruik te makkelijk maakt is wel min of meer te verdedigen.

Eerlijkheidshalve, op dit moment vraagt de ING minstens (eerste scherm, maar er zijn er nog meer) om de volgende gegevens: rekeningnummer, pasnummer, geldigheidsdatum pas en geboortedatum. De eerste drie staan op je pas, de derde slingert overal rond. Een handtasje (met zowel smartphone en bankpas erin) vinden / jatten geeft tenzij er op de tweede, derde of vierde pagina nog iets wordt gevraagd wat niet eenvoudig te achterhalen is dus nog steeds een goede kans om iemands rekening te kunnen plunderen.

telenut @robvanwijk • 3 december 2010 08:32

een banksite die logingegevens opslaat? zelfs de browser zou dit niet mogen toestaan, en dat is ook zo bij mij voor zover ik weet.

Ypho @robvanwijk • 3 december 2010 09:31

Als ik me niet vergis krijg je een nieuw wachtwoord per brief, of moet je deze zelfs ophalen bij het postkantoor. Dus zo onveilig is het niet. Daar komt bij dat als je hele tas wordt gerold, je (lijkt mij) de rekening zsm blokkeert, in ieder geval voordat je een nieuw wachtwoord kunt ophalen of opgestuurd kunt krijgen.

Nibulez @robvanwijk • 3 december 2010 09:23

Je faalt keihard, wachtwoord moet je persoonlijk ophalen met je ID bij het postkantoor.
Als iemand die gestolen heeft komt de foto ook niet meer overeen hè!

En als je spullen gestolen zijn met je pinpas dan laat je gelijk je rekening blokkeren.

garagaholic @Nibulez • 3 december 2010 09:29

@Nibulez
lol, zelfs bij de douane @ JFK airport probeerden ze me het land in te krijgen op het paspoort van mijn vriendin toen ik ze per ongeluk het verkeerde paspoort gaf. Meestal kijken mensen alleen maar naar de cijfertjes die ze in moeten voeren, als dat overeenkomt zijn ze al lang blij.

TheFes @Nibulez • 3 december 2010 09:32

Ik denk dat jij eerder incorrect bent hier (samen met mddd). Onlangs heeft ING de procedure veranderd en kun je via sms je wachtwoord opvragen.

Zie ook dit bericht:
nieuws: Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update

mddd @robvanwijk • 3 december 2010 08:45

Als dat bij de ING zo is dan heb je de gebruikersnaam al en kun je via sms (die zeer waarschijnlijk op diezelfde smartphone wordt ontvangen!) een password opvragen.

Nee, want dat wachtwoord moet je persoonlijk op een postkantoor ophalen.

ViperXL @mddd • 3 december 2010 11:46

Bij ING kun je hem gewoon naar je telefoonnummer laten sturen. Wanneer je niet meer in kan loggen om welke reden ook is de laatste optie nog een brief.
Email mogen dan weer geen gegevens over gecommuniceerd worden dus vandaar brief.

Maar sowieso, als je mobiel gejat word dan blokkeer je je spul direct toch?
En als tweaker mag ik aannemen dat je PIN niet 0000,1111,1234 of dergelijk is.

[Reactie gewijzigd door ViperXL op 23 juli 2024 16:32]

roy-t @Garma • 2 december 2010 20:17

Het is een ontwerpfout en gewoon een tellertje ala "max 100x opvragen per dag" had dit makkelijk kunnen fixen, maar zoals te zien is wil ING dit niet. En niet omdat dit het voor de klant lastiger maakt (immers vraagt geen enkele klant 100x iemand op per dag).

Xirt @roy-t • 3 december 2010 00:36

Iemand die in zijn vrije tijd wat handelt e.d. en eens per week de betalingen doen zou dan wel te maken kunnen hebben met dit probleem. Maargoed, ophogen naar 1000 aanvragen per dag lost dat natuurlijk weer op. Echter is het probleem niet dat de gegevens bekend zijn (die zijn makkelijk te achterhalen), maar is het probleem dat eenmalige incasso te makkelijk is (en misbruik van de gegevens dus te makkelijk).

Bonez0r @Xirt • 3 december 2010 14:11

Echter is het probleem niet dat de gegevens bekend zijn (die zijn makkelijk te achterhalen)

Daar heb je gelijk in. Zelfs als je gewoon iets bestelt op een webshop, dan moet je al bij het afrekenen (of bij het registreren op de site) een naam en adres opgeven. Rekeningnummer geef je ze ook bij het betalen (of dit nu incasso, iDeal, overschrijven of een andere methode is maakt niet uit), dus zodra je iets op het web koopt verspreid je deze gegevens al. De combinatie naam en rekeningnummer die ING blootgeeft is dus nogal onschuldig.

Dus het probleem is inderdaad dat automatische incasso makkelijk te misbruiken is, niet dat ING gegevens laat zien die je zelf al overal rondstrooit.

Roland684 @roy-t • 3 december 2010 09:48

En als iemand het dan toch doet, weten ze wie het is, want die persoon heeft een girorekening bij ze en dat kun je niet anoniem doen.

Een je rekeningnummer is nou niet bepaald een geheim.

gevoelig @Garma • 3 december 2010 09:14

Ik denk ook dat het een fout is. Prima om die controle te doen maar doe die controle dan maximaal 5 keer oid.

Het feit dat men hier 250 naam/bankrekeningnummer combinaties heeft weten te bemachtigen vind ik redelijk verontrustend.

En de reactie van de woordvoerder helemaal!

Roland684 @gevoelig • 3 december 2010 09:54

Ongeveer elk bedrijf heeft zijn rekeningnummer op zijn briefpapier staan. En vaak ook nog op de website. Een rekeningnummer is geen geheim, je kunt er niets mee.
Een telefoonboek is dan minstens zo gevaarlijk.

ErwinPeters @Garma • 3 december 2010 00:00

nvm, saldo is hiermee niet bekend

[Reactie gewijzigd door ErwinPeters op 23 juli 2024 16:32]

TD-er

@Danny • 2 december 2010 17:38

Je kunt ook best wel een paar tekens weglaten en dan heb je niet alle gegevens, maar behoud je wel de functionaliteit.

? ? @TD-er • 3 december 2010 09:27

Neen, gewoon de logische oplossing:

Bij een overschrijving vul je zelf het rekeningnummer en de (familie)naam in.
ING checkt dan op de serverkant of deze ongeveer overeenstemt en indien zo, toont hij de (gecorrigeerde) naam.

Iedereen blij.

BeosBeing @? ? • 3 december 2010 11:42

Tja, de andere banken checken het helemaal niet.

Jasper Janssen @TD-er • 2 december 2010 20:09

Dan heb je er weer helemaal niets aan.

TD-er

@Jasper Janssen • 2 december 2010 20:33

Waarom heb je er dan helemaal niets aan, Ja*p*r Ja**sen?

Het is toch voldoende om te zien of je het juiste nummer hebt ingetoetst?

Danny @TD-er • 2 december 2010 21:14

En ook voldoende voor kwaadwillenden om te zien dat het om Jasper Janssen gaat

iLevi @Danny • 2 december 2010 21:29

Maar voor massamisbruik is dit genoeg beveiliging aangezien een script dat niet doorheeft.

babananana @iLevi • 2 december 2010 21:58

Zeker wel, waarom zouden diverse websites capcha tests en vragen als "hoeveel is een plus vijf?" implementeren op webformulieren? Omdat simpelere tests gewoon gekraakt worden en alsnog in scripts verwerkt worden.

Chris_NL @babananana • 2 december 2010 22:48

Wat is simpeler dan dat? Dat er gewoon scriptjes bestaan die van afbeeldingen de tekst kunnen lezen, dat wisten we als dus dat is inderdaad niet mogelijk (daar bedoel ik mee de manier waarbij je van tekst een plaatje maakt, en dus niet de manier dat het zelfs voor mensen moeilijk is te lezen

)

Bij massa misbruik wil dit inderdaad niet. Het probleem is echter dat als het verkocht word de informatie dat het van af dat moment gewoon met de hand (lees oog) gaat. De "dieven" lezen wat ze nodig hebben en laten dit waarschijnlijk niet door een computer doen.

Verder vind ik dit systeem op zich wel een goed idee. Alleen dat ze misbruik eventueel pas bij 1000 keer blokkeren, is echt niet normaal. Ik kan me niet voorstellen dat een burger (bedrijven misschien wel) 1000 keer gaat chekken of het wel de goeie is, waarna de transactie gaat. Dit zouden wel moeten invoeren naar mijn mening. En dan zouden ze bij bedrijven dit kunnen verhogen.

Verwijderd @Chris_NL • 3 december 2010 08:59

Meest simpele check -> meer dan 25 rekeningnummers in het uur ingevoerd? -> tijdelijke blokkade en incidentmelding naar securityteam van ing.

Simpel te realiseren. Meer checks per uur nodig? Doe maar een aanvraag via Mijn ING.

De functie zelf is handig maar er zijn mogelijkheden om de beveiliging/privacy te verbeteren. Als je dit als bank laat liggen maak je jezelf nogal belachelijk.

Elmo_nl @Verwijderd • 3 december 2010 09:42

$_/-\o_$ 100% met -RetroX- eens. Dit zou naar mijn idee het meest veilige zijn en best uitvoerbare. Ik denk dat we in de nabije toekomst de eerste berichten van misbruik gaan tegenkomen en dan gaat de ING veel meer kosten moeten maken + alsnog een ander/beter systeem bedenken. Maar goed dat ik niet bij die bank zit. Overigens, als ik een bedrag overmaak via telebankieren kan ik dat tot ik dacht 3 weken uit mijn hoofd ook weer terugdraaien. Dat is meestal genoeg tijd voor een bedrijf om mij een betalingsherinnering te sturen waardoor ik getriggered wordt om de afschrijving(en) even na te pluizen en al dan niet terug te draaien.

ViperXL @Verwijderd • 3 december 2010 11:40

Helemaal mee eens.
Dat het nu een designfout of een feature is ...... maar dat ze zelfs de simpelste script voor beveiliging links laten liggen geeft het niveau wel aan.

Hoe moeilijk kan het zijn om een max van 100 of 500 checks in te stellen?
Beetje dom aangezien het wel degelijk interesant is om een database met klantgegevens aan te leggen ... ook al zijn het "enkel" naam, woonplaats en reknr.

Ga nu niet roepen dat ik mss para doe maar goed misbruik maken begint met opstapeling van zulke "kleine/eenvoudige" "ontwerpfouten".

Waarom een vinger geven als je weet dat ze je hand en meer willen.

Offtopic: Zit zelf niet bij Rabo maar vindt het verder goede bank, alleen dit is dan jammer.

stresstak @ViperXL • 3 december 2010 15:57

Rabo ? De meeste ING-ers waar het over gaat zitten niet bij Rabo.

MadEgg @babananana • 3 december 2010 10:10

Och, op een forum hadden wij ernstige spam-overlast, en na allerlei uitgebreide pogingen om automatische registraties tegen te gaan (inclusief captchas), namen de problemen niet af. De oplossing? Een script die in het registratie-proces een extra vraag toevoegd: 'Are you human', waarop simpelweg 'yes' ingevuld dient te worden. Sindsdien geen spambot meer die een registratie voor elkaar heeft gekregen.

Dus de maatregelen kunnen best ontzettend simpel zijn, en toch effectief.

Verwijderd @iLevi • 3 december 2010 08:57

NU hebben we alleen de geboortedatum van de hyves pagina en adres uit de telefoongids nog maar nodig en we kunnen aan de slag met ons nieuwe ID.

Veel websites accepteren ook eenmalige machtiging als betaling... volgens mij is het erg makkelijk om dit te misbruiken.

Eenmalige machtiging zou gewoon afgeschaft moeten worden.

Is het trouwens ook mogelijk om aan de ING een adres wijziging door te geven terwijl de rekening houder op vakantie is en om vervolgens een boekje overschrijfkaarten aan te vragen op het nieuwe adres dat je zelf hebt opgegeven? Volgens mij is het zo lek als een mandje.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 16:32]

Verwijderd @Danny • 3 december 2010 09:48

Ik vraag me af wat er zo erg aan is als mensen mijn rekeningnummer zouden hebben. Ze mogen altijd storten hoor ^^, mee zullen ze er niet mee kunnen doen.

Verwijderd @Verwijderd • 3 december 2010 10:23

Je kunt op redelijk wat websites door het afgeven van een machtiging betalen. Enkel die naam en rekeningnummer combinatie nodig.

Freee!!

@Verwijderd • 3 december 2010 10:34

@MGiles:
Wat dacht je van eenmalige incasso

Hierboven al genoemd en niet zo eenvoudig te
storneren.

[Reactie gewijzigd door Freee!! op 23 juli 2024 16:32]

Xubby @Danny • 2 december 2010 19:36

SNSRegio verplicht je rekeningnummer, naam en plaats in de vullen.
Bij een fout krijg je een pop-up met de melding: Rekeningnummer onjuist!
Zo kan het ook ...

vharten @Xubby • 2 december 2010 20:18

Dat komt doordat op gewone bankrekeningnummers een elf-proef uitgevoerd kan worden, bij gironummers kan dat niet.

MMaI @vharten • 2 december 2010 20:36

de check vind ook plaats op plaats en naam

AibohphobiA BoB

@MMaI • 3 december 2010 00:01

Welnee, dat is gelul. Alleen het nummer wordt gecontroleerd. Overigens is dit probleem al eens eerder in het nieuws geweest. Toen werd er ook niets aan gedaan.
Het echte probleem is dat de postbank nooit een 11-proef wilde gebruiken. Waarschijnlijk omdat de ambtenaren gewoon te lui waren de 11-proef toe te passen.

Xirt @MMaI • 3 december 2010 00:41

Het lijkt mij onlogisch om op naam te checken, omdat die vrij lastig kan: dubbele namen, rare tekens etc. kunnen er dan toe leiden dat je geen geld over kan maken. In andere woorden: waarschijnlijk wordt er alleen op rekeningnummer gecontroleerd (en misschien op het niet leeg zijn van de andere velden).

OddesE @MMaI • 2 december 2010 20:49

Dus als je een foute achternaam invult krijg je een melding met 'rekeningnummer onjuist'? Beetje onduidelijk dan.

Dit is een beetje een storm-in-glas-water-bericht als je het mij vraagt, maar dat ING niet een limiet op het aantal aanvragen heeft liggen vind ik een slechte zaak. Verder zouden ze moeten loggen wie de gegevens van een bepaalde rekening 'opvraagt' (door dat nummer te submitten met een foute naam of plaats erbij) om misbruik een stuk riskanter te maken. Je moet zelf een rekening hebben en daarvoor heb je weer een identiteitskaart nodig, dus slim loggen zou in dit geval het een erg riskante operatie maken om zo gegevens op te vragen en dan te misbruiken.

robvanwijk

Beveiliging
Privacy

@OddesE • 3 december 2010 01:41

Verder zouden ze moeten loggen wie de gegevens van een bepaalde rekening 'opvraagt' (door dat nummer te submitten met een foute naam of plaats erbij) om misbruik een stuk riskanter te maken.

Schiet je erg weinig mee op; iedereen die hier op echt grote schaal misbruik van wil maken kan echt wel aan login-gegevens van een willekeurige ING-klant komen om de gegevens via dat account op te vragen.

Verwijderd @OddesE • 2 december 2010 22:14

Ik doe mijn naam eer aan op het moment. Maar je moet toch echt inloggen alvorens je 'gebruik' van deze zgn fout kan maken. Mijn inziens dan ook niets fouts aan. Daarnaast, al heb je mijn adres en reknr....je moet mijn telefoon ook komen stelen of mijn lijst met tan codes.

Sowieso, pakket moet ergens heen en/of een reknr waar het geld heen gaat. Makkelijk traceerbaar dus ik zie het punt niet. Algoritmes van die onhandig apparaatjes zijn ook te achterhalen dunkt mij dus ing bashing lijkt me niet nodig!!!

WimBarelds @Verwijderd • 3 december 2010 00:19

Het is erg makkelijk om niet traceerbaar te zijn, even kwartiertje rond rijden een in-secure wireless zoeken, of gewoon even in een publieke bibliotheek oid. Het "Traceren" van de aanvragen schiet erg tekort aangezien de getraceerde locaties niet altijd nuttige informatie zijn.

Ooh get traceren van een account is niet altijd nuttig, er worden zo veel bank rekeningen "gestolen" / verhandeld op het illegale circuit dat het gewoon niet voldoende beveiliging is.

Het zou echter niet moeilijk zijn voor ING om te voorkomen dat dit soort gegevens te farmen zijn door een scriptje- een maximaal aantal aanvragen en het traceren en catalogeren van systematische aanvragen (ie: Totaal aantal unieke aanvragen in de laatste [x] dagen, per ID & IP).

Het zou simpel weg erg makkelijk te zijn om 90% van de problemen op te lossen zonder enige functionaliteit te verliezen. Als dit een moeilijk te verhelpen probleem zou zijn zou ik ING's standpunt kunnen begrijpen.

Abom @Danny • 2 december 2010 23:07

Ik vraag me af waarom ze het geheel niet beperken tot bijvoorbeeld X lookups in X minuten....

Ce tan @Abom • 3 december 2010 08:56

Dan gaat het wel veel langer duren om de gegevens te verzamelen maar als ze gegevens veel geld op kunnen leveren dan is het toch interessant...

Het gaat om een eenmalige actie; 1 x gegevens verzamelen en klaar!

inorde

@Danny • 3 december 2010 09:16

Standaardgevalletje overdrijven van de media. Er is bewust voor gekozen door ING.

Als ik klant was van ING zou ik me er waarschijnlijk niet echt druk om maken.

Verwijderd @Bosmonster • 2 december 2010 18:47

Lekker boeiend

In perspectief gezien is de informatie van gecombineerd naam en adres en rekeningnummer is bijvoorbeeld veel meer privacy gevoelig dan een database vingerafdrukken.

Het verbaasd me hoe mild de tweakers zijn over deze vorm van privacy verlies tegen over de berichtgeving rondom de vingerafdrukken.

i-chat @Verwijderd • 2 december 2010 19:14

erger nog, stel je eens voor, voor/achtermaan rekening nummer en een gehackte database met je vingerafdrukken, NU wordt het wel HEEEEL makkelijk om iemands online ID aan te nemen.

bwerg @i-chat • 2 december 2010 19:25

En dan, kan je mijn identiteit aannemen op internet, en dan... geld op mijn rekening laten storten?

Ik snap dat mensen niet overal hun naar rond willen zien slingeren als ze dat er zelf niet opzetten. Maar je kunt hier echt helemaal geen zak mee. Naam en woonplaats waren al niet zo moeilijk om te achterhalen, rekeningnummer is nou net het bankgegeven dat juist bedoeld is om compleet veilig aan anderen door te kunnen geven omdat iemand met je rekeningnummer alleen geld op je rekening kan storten, en met de rekening verder helemaal niets kan...

Edit: automatische incasso's dus, ja...

Altijd al stomme dingen gevonden

beetje geld afschrijven zonder dat je dat via je eigen account doet, en er dus geen controle is over wie die incasso heeft ingediend. Dat is wat mij betreft nog altijd een grotere ontwerpfout dan deze 'ontwerpfout' van ING. Rekeningnummers behoren nog altijd niet tot de strict geheime data net als alles wat in het telefoonboek staat.

Qua functionaliteit vind ik het wel erg handig, je kunt meteen zien of je het goede rekeningnummer hebt. Ik merk zelf toch altijd wel als er een gekke automatische incasso is.

[Reactie gewijzigd door bwerg op 23 juli 2024 16:32]

timwijn @bwerg • 2 december 2010 19:35

Het staat dus boven beschreven wat je er mee kan. En daarbij komt dat je misschien even eens wat moet zoeken over mensen die iemand anders identiteit aannemen. Hoe populair dat tegenwoordig is en hoeveel schade daarmee aangericht kan worden.
Ongelooflijk dat je zo'n impulsreactie direct plaatst zonder je zelf in dit soort dingen te verdiepen.

GekkePrutser @timwijn • 2 december 2010 20:06

Ja maar voor het aannemen van een identiteit heb je meer nodig dan alleen een rekeningnummer, naam en woonplaats.

Het enige dat je hier mee kan is eenmalige incasso's doen en dat is toch echt een fout van het automatische incassosysteem dat alle banken gebruiken en niet van het internetbankieren van de ING. Het is van de zotte dat je zonder enige vorm van beveiliging incasso's kan doen.

Deze naam opzoek functie zit er trouwens al in sinds Girotel van de jaren '90. En heeft me al een paar keer op fouten gewezen van rekeningnummers die verkeerd door waren gegeven. Maar ik vind wel dat ze er een dagelijkse limiet aan zouden morgen stellen. En je zou eenmalige incasso's moeten kunnen blokkeren op je rekening vind ik.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 16:32]

bwerg @timwijn • 2 december 2010 22:31

Ongelooflijk dat je zo'n impulsreactie plaats dat je het ongelooflijk vind dat ik een impulsreactie plaats.

Het is toch zo dat het enige wat hiermee gedaan kan worden, het opgeven van een rekeningnummer is? En dat de enige manier om geld van iemand te krijgen met enkel zijn rekeningnummer, automatische incasso is, wat nou niet echt waterdichte fraude te noemen is? Zo kan je ook een telefoonboek gevaarlijk noemen want oei oei oei, iemand kan iemand bellen en zeggen dat 'ie pietje heet in plaats van zijn echte naam. Ik schrik me een hoedje.

Je zult wel wat meer moeten doen dan alleen iemand zijn naam hebben, en als je dat wilt doen dan vind je deze niet-geheime informatie waarmee je fraude kan plegen toch wel. Dat ga je niet voorkomen door de autocorrect-functie van ING overschrijven te verwijderen. Nee, het feit dat je iemand zijn rekeningnummer kan zien is niet zo'n ramp dat elke nuancerende reactie een ongelooflijke impulsreactie genoemd hoeft te worden (sowieso vind ik dat nogal een stomme opmerking). Automatische incasso's zijn dan een stuk erger en potentieel schadelijker, evenals fraude in het algemeen, wat niet via de ING-autocorrect gaat. De meeste slachtoffers van fraude werken dit helaas nog altijd zelf in de hand (al zeg ik niet dat ze altijd te naïef zijn of zo), zij het via marktplaats of gewoon door aan te bellen en zeggen dat je even de meter komt opnemen.

Dit systeem wordt al jaren gebruikt en ik heb nog nooit iets over fraude d.m.v. rekeningen zoeken via de ING-controle gehoord, zo populair is het dus...

[Reactie gewijzigd door bwerg op 23 juli 2024 16:32]

thegve @bwerg • 4 december 2010 11:28

Elk gegeven is waardevol, iemand anders hier @tweakers wees me laatst op deze VPRO uitzending: http://weblogs.vpro.nl/pr...uliere-onderzoeksbureaus/ , eigenlijk niet heel onverwacht dat het zo makkelijk gaat, maar wel iets om rekening mee te houden.
En van lang niet iedereen is naam/adres/woonplaats/rekeningnr makkelijk te vinden op internet. Van mij verwacht ik inderdaad wel, maar ik zoek zelf ook wel eens wat mensen op (een leverancier wiens gezicht mij ergens bekend voorkomt, een sollicitant, een oude vriend waarvan ik mij afvraag wat hij uitspookt tegenwoordig), en dat is niet 100% hit.

Verwijderd @Bosmonster • 3 december 2010 09:43

Lekker boeiend

Inderdaad een reuze handige functie die zeker moet blijven.

Maar ik kan met de beste wil van de wereld geen GOEDE reden vinden waarom de ING geen maximum aan het aantal aanvragen zou moeten stellen van pak 'm beet 25 per uur. Foute reactie van ING dus!

bonus @Verwijderd • 2 december 2010 19:59

Idd erg handig, vooral als je via Vraag en aanbod wel eens handeld of helemaal als het via MP gaat. Persoonlik zie ik het meer als een stukje zekerheid en niet als een bug of te kortkoming. Deden alle banken dat maar dan had je denk ik een stuk minder oplichters praktijken.

hackerhater @bonus • 2 december 2010 20:27

Controle ben ik het wel mee eens, maar je kan ook weigeren de overboeking te maken als de boel niet klopt

ipv alles tonen

stresstak @bonus • 3 december 2010 17:23

Eensch met Bonus. Mijn vrouw koopt nog weleens een boek via MP. Schrijf ik het over naar een foutieve rekening dan ben ik mn geld voorlopig kwijt en krijg ik vooralsnog geen boek toegestuurd. Nu kan ik zien of de getoonde naam er op lijkt.

Cheetah @Verwijderd • 2 december 2010 17:10

Even in 'programmeertaal': ontwerpkeuze != ontwerpfout
Vermoedelijk ten overvloede "!=" betekent "is ongelijk aan"

Dat iemand een andere mening is toegedaan over de eventuele privacy implicaties hiervan maakt deze servicegerichte designbeslissing nog niet plotseling tot een ontwerpfout. Daarnaast is dit ook niet echt nieuws inderdaad, de Postbank deed dit al jaren, en het Postbanksysteem is zo goed als integraal overgenomen door ING.

Daarnaast, afgezien van privacy, zie ik a.t.m. niet echt in hoe dit in de praktijk zou kunnen worden misbruikt: Je kunt dus aan de hand van een rekeningnummer iemands initiaal + achternaam achterhalen... en dan heb dus naam + rekeningnummer. En toen?
Privacy is een belangrijk issue, ik zal 1 van de eersten zijn die dat erkent, maar ik denk dat we met dit artikel en dan m.n. de (nogal tendentieuze) toonzetting ervan toch echt een beetje doorschieten...

[Reactie gewijzigd door Cheetah op 23 juli 2024 16:32]

wootah

@Verwijderd • 2 december 2010 21:24

Ja ik vind het ook erg handig!
Maar, waarom laat ing de straat en alles niet weg?
voorletters, achternaam en gemeente geven na mijn idee altijd genoeg informatie om te bedenken of je het rekeningnummer wel goed hebt ingevoerd

smspvdm1 @Verwijderd • 3 december 2010 09:12

De feature van ING is juist handig, dit voorkomt fouten tijdens overmaken. JE bent dan je geld kwijt als de ontvanger het niet terugstort.

Je naam en rekeningnummer is niet geheim, dat is ook het probleem niet.
Het probleem is het systeem van de incasso. Dit is jaren geleden (hier, 1997) al aangetoont, en er is nog niets mee gedaan. Iedere jan l*l kan een incasso doen van een willekeurige andere rekening, hierop wordt niet/nauwelijks gecontroleerd door het betalingssysteem.

Bart ® Moderator Spielerij

@Verwijderd • 2 december 2010 17:09

Inderdaad, wat een ontzettend non-nieuws is dit zeg

.
Daarbij boeit het totaal niet, met alleen een rekeningnummer en een woonplaats kan je om precies te zijn helemaal niets, behalve geld overmaken naar die rekening. Dus iedereen die het van mij wil weten mag het, graag zelfs.

Babrak @Bart ® • 2 december 2010 17:21

Van mij mogen ze dit ook gewoon uitbreiden naar niet ING-klanten, dan weet je dat je naar de juiste persoon overmaakt. Mocht ik per ongeluk mijn rekeningnummer onjuist intikken, kan die persoon mij vertellen dat die rekening niet op mijn naam staat, i.p.v. dat het geld overgemaakt is, maar ik nog steeds niets op mijn rekening zie staan.

Ik snap niet waarom dit echt "prive-gegevens" zijn. Dat mijn rekening-nummer aan mij gekoppeld is, zegt nog niets over het prive stuk over mij - het zegt niet wat ik verdien bijvoorbeeld, of waar ik werk, wat voor werk, hoe laat ik daarmee klaar ben, etc.
Heb ik het mis, of overdrijven we dat "prive" stuk volledig? en ik bedoel niet tweakers.net, maar in het algemeen.

Om het dubieus te laten klinken, mijn buren weten ook waar ik woon, ook mijn school/universiteit, de bank medewerken natuurlijk, de postbode. Daar kunnen ze verder niets mee. Of gaat het hier echt om de link met mijn rekeningnummer? Ik zie dan niet wat ze er verder mee kunnen en waarom die informatie zo belangrijk zou kunnen zijn. Die geef ik immers al te makkelijk af bij V&A op tweakers.net

Verwijderd @Babrak • 2 december 2010 17:25

Voor het geven van een eenmalige machtiging heb je een rekeningnummer, een naam en een woonplaats nodig, precies de 3 gegevens die je met zo'n script kunt ophalen.

Bart ® Moderator Spielerij

@Verwijderd • 2 december 2010 17:25

En een handtekening. Krijg jij die ook uit je script?

koudepinda @Bart ® • 2 december 2010 17:33

who cares?? in de loop der tijd is mijn handtekening stukje bij beetje veranderd niemand die ik daar over heb gehoord, kortom wees een beetje creatief en krabbel iets neer en ze accepteren t.

svenk91 @koudepinda • 2 december 2010 17:59

Mijn handtekening is niet veranderd maar toch vond ing hem laatst niet overeen komen en moet dus binnenkort naar bank toe om me verhuizing te regelen. Eerste keer dat me handtekening echt uitmaakte had ik het idee

Proxx @svenk91 • 2 december 2010 18:31

ik heb zelf nog ooit een smilie in het handtekening vakje getekend nog nooit iets over gehoord

zo goed werkt dat

mesm90 @Proxx • 2 december 2010 19:22

oftewijl in90% van de gevallen gewoon niet, net zoals bij een creditcard, als er maar inkt onder term "signature" zit

GekkePrutser @koudepinda • 2 december 2010 20:17

Soms merken ze het wel. Ik heb wel eens een rekening beheerd voor een studentenvereniging en acceptgiro's getekend terwijl mijn inschrijving als gemachtigde nog niet doorgevoerd was. En die werden dus netjes retour gestuurd met de (automatische) melding dat de handtekening niet geldig was. Ging om de Postbank destijds. Was dus wel een acceptgiro, geen machtiging. Maar dat zouden ze met incasso's ook moeten doen.

In bepaalde gevallen merken ze het dus wel degelijk.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 16:32]

Ce tan @koudepinda • 3 december 2010 09:03

Inderdaad ...
Dat hele gedoe met die handtekeningen vind ik kolder!
Mijn handschrift is zo slecht en slordig dat elke handtekening van mij weer een uniek kunstobject is ... mensen die wat handiger zijn met een pen kunnen mijn handtekening beter namaken dan ik zelf!

CH4OS

Datalek

@Bart ® • 2 december 2010 17:51

En een handtekening. Krijg jij die ook uit je script?

Je TAN-code is dan je handtekening...

Verwijderd @CH4OS • 2 december 2010 18:53

Het gaat hier om automatische incasso's, niet om TAN code's. En ik heb zelf inderdaad ook gemerkt dat de ING er wel degelijk op controleert, ik heb zelf alleen afgelopen jaar al 2 keer gehad dat ik naar de ING moest om mn handtekening opnieuw te zetten omdat ze m niet mooi genoeg vonden.
Maar goed, incasso's kunnen natuurlijk altijd worden teruggestort als je t er niet mee eens bent:D

SirDarkAngel @Verwijderd • 2 december 2010 19:49

Ik kom van de postbank, dus zit nog niet heel lang bij de ING. Bij de postbank worden deze brieven er 'random' uit gestuurd. Toen ik zo'n brief kreeg en er achteraan ging bellen, omdat ik het vreemd vond gezien mijn handtekening hetzelfde is kreeg ik te horen dat dit steekproefgewijs wordt gedaan. Stukje schijnveiligheid denk ik.

Remus @SirDarkAngel • 3 december 2010 08:26

ING en Postbank zijn en waren gewoon dezelfde organisatie. Er is dus niks veranderd.

Limaad @Bart ® • 2 december 2010 17:32

En dat is juist laatst in het nieuws geweest..
De OK knop bij webwinkels is de vervanger van de handtekening.
Juridisch is het niet echt perfect, maar het werkt.. nogsteeds.

dus ja, dit is toch wel degelijk een risico.

Cybergamer @Limaad • 2 december 2010 17:41

Hou jij je afschriften niet bij dan? Die machtiging kun je zo weer ongedaan maken.

i-chat @Cybergamer • 2 december 2010 19:18

stel dat je om een of andere reden er een keer een mist? kan gebeuren maak je niet druk - de bank is toch wel te vertrouwen (toch?) - nu dus niet meer. nu moet je elke regel verplicht dubbelchecken, en waarom? omdat de ing te lui is om het systeem tegen 'commercieel interessante exploits' te wapenen...

killercow @Cybergamer • 3 december 2010 00:09

ahja, en jij zit te wachten op alle rompslomp die dat met zich meebrengt?

Want de procuten zijn wel zoek, en de winkel wil wel zn geld, dus mag jij aangifte gaan doen van fraude van jouw bankgegevens. En mag jij een dag vrij nemen om je verhaal te gaan doen bij de bank en de politie.

Verwijderd @Bart ® • 2 december 2010 17:29

Ooit je handtekening gezet onder een online machtiging?

mddd @Verwijderd • 3 december 2010 08:50

Dat is precies waarom een online machtiging niet rechtsgeldig is. Een webwinkel die op basis van online machtiging incasseert heeft geen poot om op te staan, tenzij ze op een andere manier aannemelijk kunnen maken dat jij daadwerkelijk degene bent die besteld heeft. Bijvoorbeeld als de incasso knop achter een login zit waar alleen jij bij kunt. Maar dat is bij een webwinkel niet zo. Kortom, bij een geschil zal het geld altijd teruggestort moeten worden.

Mathijs @Bart ® • 2 december 2010 17:35

Er zijn genoeg voorbeelden van "bedrijven" die bestaan door automatische afschrijvingen te doen bij veel mensen waarvan nooit alles wordt gestorneerd.
Voorheen vroeg ik mij dan af hoe ze aan die gegevens kwamen, dat is nu voor ING gedupeerden dus duidelijk.
Ik ben al bij ze weg maar wanneer dat niet het geval zou zijn, vond ik dit de druppel!

Wat betreft figuren die dit nieuws niet spannend vinden, wacht maar tot je de lul bent met zo'n scam en ineens moeite moet gaan doen om je geld terug te krijgen.

Dat ING hier niets aan gaat doen vind ik zelf gewoon schandalig!

zoutepopcorn @Mathijs • 2 december 2010 19:27

Deels ben ik t met je eens, dat ze er niks aan doen vind ik redelijk belachelijk.

Maar vaak krijg je wel je geld terug, banken zijn als de dood voor spookverhalen dat de bank onveilig wordt omdat iemand zijn geld niet terug heeft gekregen.

Maargoed ik denk dat ik mijn tegoed op die ING rekening maar eens wat omlaag ga doen en ergens anders een rekeningnummer open.

Gelukkig kan je nog net niet zien hoeveel op de rekening staat.

Zou ik wel eens willen weten van ing rekeningnummer 1

. Hahaha staan heel wat 0'tjes op

Verwijderd @Bart ® • 2 december 2010 17:37

Zolang er geen verificatie van die handtekening mogelijk is, is het X-je ook een handtekening. Achteraf kan het wel gecontroleerd worden en desnoods met handschriftdeskundigen bepaald worden of een 'handtekening' wel of niet door jou is gezet. Maar dat is achteraf, dan is het kwaad al geschied.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 16:32]

sumac @Babrak • 2 december 2010 17:28

Volgens mij is dit uitstekend te misbruiken voor het innen van acceptgiro's. Je opent een rekening bij een andere bank, moet dan misschien wel enige tijd wachten totdat je acceptgiro's mag innen, en daarna sla je je slag, boekt het geld door naar een buitenlandse rekening of neemt het cash op, en foetsie...

grun93 @sumac • 2 december 2010 17:47

Dat kan niet want de eigenaar van de rekening moet toestemming voor de overschrijving via een TAN geven. Als hij dat niet doet krijg jij geen geld.

Verwijderd @grun93 • 2 december 2010 18:54

Zie mijn commentaar hier boven; voor incasso's is geen tancode nodig, slechts een handtekening, en wat ik uit de comments begrijp, via internet zelfs geeneens meer een handtekening.

dasiro @Babrak • 2 december 2010 18:33

Mocht ik per ongeluk mijn rekeningnummer onjuist intikken, kan die persoon mij vertellen dat die rekening niet op mijn naam staat, i.p.v. dat het geld overgemaakt is, maar ik nog steeds niets op mijn rekening zie staan.

rekeningnummers hebben (in belgie althans) een controle-getal op het einde, waardoor je al minstens 2 fouten moet maken. tegenwoordig moet je bij ons zelfs het internationale formaat gebruiken zijnde IBAN en BIC. Zit je fout, dan krijg je gewoon de melding dat je een onbestaand rekeningnummer hebt ingegeven

blouweKip @Bart ® • 2 december 2010 17:56

Het is eigenlijk vooral een probleem omdat je op deze wijze incasso's kunt doen op het rekeningnummer van die persoon, aangezien daar 0,0 controle op is en het vaak nog zeer moeilijk is om in het geval van een onterechte incasso je geld terug te krijgen (ik heb ooit bij een spookincasso uiteindelijk gewoon aangifte moeten doen voordat de postbank/ing mn geld wilde teruggeven)

trisje @blouweKip • 2 december 2010 18:13

echt niet een incasso kan je altijd binnen 30 dagen terug boeken. gewoon via internet of telefoon.
en ja het is waar dat je als je het heb aangevraagd zomaar incasso kan gaan doen. Maar er wordt wel degelijk gecontroleerd of de incasso batch geen rare afwijkingen vertoont. Dus zomaar bij 100 duizend rekeningen een 10- 20 euro afschrijven gaat niet lukken.

hackerhater @trisje • 2 december 2010 20:26

Klopt, maar het bedrijf kan het vrolijk weer afboeken. Daar heb ik nu last van
En bedrijven blokkeren gaat niet

cire @hackerhater • 2 december 2010 21:47

In dat geval zou ik even met je bank gaan praten. Ik denk dat die wel contact kunnen opnemen met de bank van dat bedrijf om ze eens op de vingers te tikken.

trisje @hackerhater • 3 december 2010 00:55

Klopt, maar het bedrijf kan het vrolijk weer afboeken. Daar heb ik nu last van
En bedrijven blokkeren gaat niet

Het gat nu niet om een bedrijf maar om boefjes die dat zouden kunnen doen.

Datt jij problemen hebt met een bedrijf doet daar niets aan af. auto-incasso is super makkelijk. moet er niet aan denken om al die rekeningen elke maand weer opnieuw door te spitten.
Bovendien zijn er ook vele die terug boeken terwijl ze wel horen te betalen. al denken ze daar zelf anders over.

[Reactie gewijzigd door trisje op 23 juli 2024 16:32]

Polster @blouweKip • 2 december 2010 18:20

Incasso's kan je gewoon storneren. Niets moeilijks aan. Bovendien krijg je ook niet zomaar een incasso contract.

__Kiwi__ @Polster • 3 december 2010 10:27

@ Polster

Het is echter wel mogelijk om een vreemde incasso op je rekening te krijgen. Ik heb laats op mijn zakelijke rekening een vreemde incasso gehad. Je moet dan maar toevallig zien binnen 30 dagen dat de incasso onterecht is.

Zou het niet zo moeten zijn dat ik eerst akkoord moet geven voor deze incasso???

Verwijderd @Bart ® • 2 december 2010 17:28

mja ik zou daar toch mee oppassen hoor. Zo zag ik overlaatst een overschrijving voorbij gaan die ik niet had gemaakt.

Eerder op de maand zag ik dat mijn brievenbus was opengebroken maar had daar nooit bij stil gestaan omdat alle brievenbussen in het gebouw waren opengebroken. Ik dacht vandalisme.

maar wat er toen is gebeurd is dat men mijn afschriften heeft gebruikt om een overschrijving te maken. Dat de handtekening niet de mijne is en er zelfs niet op leek was onder geen beding een probleem voor de bank.

Nog straffer: Ik dacht ha dat is wel stom want ik heb de bank gegevens van die persoon. Zei de politie dat de kans klein was dat ze hem zouden vinden

petervdveen @Verwijderd • 2 december 2010 17:35

Maar 1 telefoontje daarna naar de bank lost het ook weer op, dus niet echt een probleem lijkt mij.
Het lijkt me logisch dat de bank voor kleine bedragen (onder de 1000 euro ofzo) niet de handtekening controleerd. Even een verkeerde transactie terug zetten is makkelijker lijkt mij..

FragFrog @petervdveen • 2 december 2010 17:54

Het gebeurt echter wel degelijk. Een vriendin van mij had jaren geleden nog geen mogelijkheid tot electronisch overboeken en gebruikte dus acceptgiro's (of wat die dingen maar zijn). Kreeg op een gegeven moment een herinnering omdat een overschrijving was tegengehouden, bij navraag omdat de handtekening niet genoeg overeen kwam.

En dat was haar eigen handtekening nog wel..

timwijn @Bart ® • 2 december 2010 19:36

ING-klant controleert de bank of naam en rekeningnummer overeenkomen. Zo niet, dan verschijnt boven in beeld een melding met de vraag of het inderdaad de bedoeling is dat naar die persoon geld wordt overgemaakt. Daarbij staan veelal voorletters, achternaam en woonplaats vermeld.

Goed lezen he, rekeningnummer, bijna volledige naam en woonplaats en jij denkt dat mensen daar niks mee kunnen?

BartS12 2 december 2010 16:56

Iets wat bewust, als service, aanwezig is, is geen ontwerpfout. Het is een bewuste keuze, en dit betitelen als "ontwerpfout", omdat 'iemand' een andere mening is toegedaan over de afweging service <--> privacy, is behoorlijk tendentieus.

daansmit @BartS12 • 2 december 2010 19:20

Absoluut mee eens.

Dit is een gewenste feature en stond kennelijk in het ontwerp.
Het werkt zoals ze willen.. dus simpelweg geen fout.

Dit soort berichten maken een product zwart, en levert in mijn ogen onterecht schade op alleen al door de manier waarop een bericht gebracht wordt. (met name de titel van het bericht)

Herko_ter_Horst

@daansmit • 2 december 2010 21:00

Dus als er in een "gewenste" feature zoals bijvoorbeeld bestellen met creditcard bij een webshop geen rekening is gehouden met beveiliging, vind jij dat geen fout omdat bestellen bij een webshop met een creditcard op zichzelf gewenst is? Als na de introductie van die feature blijkt dat iedereen bij jouw bestelhistorie en creditcardgegevens kan, is dat kennelijk geen fout volgens jou...

Er zit een fout in het ontwerp van de feature.

[Reactie gewijzigd door Herko_ter_Horst op 23 juli 2024 16:32]

wankel @Herko_ter_Horst • 3 december 2010 08:46

(...) geen rekening is gehouden met beveiliging, (...)

Dat is een óntwerpfout, ja. Als er gevraagd is om een webshop zonder beveiliging, zal de ontweper vást de risico's uiteengezet hebben. Als de opdrachtgever vasthoud aan het "gemak" van aankopen doen zonder beveiliging, zit er een fout in de redenatie, maar niet in het ontwerp.

Herko_ter_Horst

@BartS12 • 2 december 2010 18:51

Het is zeker wel een ontwerpfout als een bedachte feature onbedoelde bij- en neveneffecten heeft.

Bedachte feature:
- waarschuwing +tonen vermoedelijk correcte gegevens bij verkeerde handmatige invoer

Ontwerpfouten:
- het tonen van meer informatie dan strikt noodzakelijk
- het toestaan van ongelimiteerd gebruik van het systeem

Dus het bestaan van de feature is niet noodzakelijkerwijs een ontwerpfout, maar de functionaliteit van de feature bevat wel degelijk ontwerpfouten.

[Reactie gewijzigd door Herko_ter_Horst op 23 juli 2024 16:32]

Exorcist @Herko_ter_Horst • 2 december 2010 23:39

En wie zegt dat dat onbedoeld is? Dat is toch al ontkracht door ING? Dit wordt enorm opgeblazen, volkomen onterecht (en jaren te laat).

Soldaatje @BartS12 • 2 december 2010 17:03

De een vind het een ontwerpfout, de ander een service.
Het mag allebei, het is maar waar je het mee eens bent.

Sinned123 @Soldaatje • 2 december 2010 17:21

Hoe kan het nou een ontwerpfout zijn als er bewust voor deze toepassing is gekozen.
Dan ben het niet eens is met de ontwerpkeuze is begrijpelijk, maar kan nooit als ontwerpfout betitelt worden.

Ik zelf als ING Rekeninghouder, vind het verdomd makkelijk.
Heeft me al een aantal keer gecorrigeerd en in dit geval vind ik dat belangrijker dan de privacy overwegingen.

TDeK

Beveiliging

2 december 2010 16:54

Jongens, dit is al jaren bekend. Klopt dat dit privacygevoelig is, maar bedenk wel dat de ING een van de weinige banken is die bij een overboeking ook daadwerkelijk de tenaamstelling controleert, waardoor een foute overboeking zo kan worden onderschept.

[Reactie gewijzigd door TDeK op 23 juli 2024 16:32]

man-o-script @TDeK • 2 december 2010 17:13

Maar dat is eigenlijk alleen gedaan omdat ze geen fatsoenlijke rekeningnummers hebben bij ING. Ze zijn niet te controleren op typefouten d.m.v. een 11-proef, dus moet je de naam wel controleren... Daarnaast geeft de ING weer geen toegang tot deze gegevens aan andere banken.

[Reactie gewijzigd door man-o-script op 23 juli 2024 16:32]

TDeK

Beveiliging

@man-o-script • 2 december 2010 17:22

Daarnaast geeft de ING weer geen toegang tot deze gegevens aan andere banken.

Klopt, maar ze ketsen een betaling met foute credentials wel af, ipv andere banken die alleen checken of een rekeningnummer bestaat.

graceful @TDeK • 2 december 2010 21:28

Bij die andere banken kun je dan gewoon weer op rekeningnummer een betaling doen, de naam doet er niet toe. En sinds ze het rekeningnummer checken, zitten de meeste gebruikers 90% van de tijd goed denk ik zo..

Fireshade @graceful • 3 december 2010 10:19

En sinds ze het rekeningnummer checken, zitten de meeste gebruikers 90% van de tijd goed denk ik zo..

Dan denk ik dat de gebruikers bij de ING op een veel hoger percentage goed zitten, als zowel rekeningnummer als naam wordt gechecked.

Erik @man-o-script • 2 december 2010 17:17

De ING geeft er geen toegang toe, maar als naam en nummer niet overeen komen krijg je het geld een paar dagen later teruggestort met als melding "NAAM/NUMMER KOMEN NIET OVEREEN".

isomis 3 december 2010 11:45

Ik heb ING dit al eens verteld in het verleden dat dit niet veilig is. Ik typ al jaren altijd rare letters en dan druk ik op verzenden. Dan corrigeert het systeem het netjes.

Verwijderd @isomis • 3 december 2010 12:24

Mag je mij inhoudelijk vertellen wat er niet veilig aan is? Wat kan men beginnen als ze mijn naam, reknr. en woonplaats hebben? Eventuele kwaadwillenden zouden hier trouwens al jaren eerder zijn achtergekomen en pikken dit nu echt niet op van tweakers.net die hier claimen een grote ontdekking gedaan te hebben.
Volgens mij heeft nog niemand 'last' gehad van dit systeem anders was het wel een keer in het nieuws geweest.

isomis @Verwijderd • 3 december 2010 12:45

Je moet is weten hoeveel mensen een automatische incasso over het hoofd zien.

Ik zelf vind het ook geen probleem, maar je kan nu wel iemand zijn gegevens achterhalen. Dus het is meer een privacy ding dan een veiligheid issue.

De combinatie van rekeningnummer en naam is ooit ingevoerd om zo geen fouten te maken. Zeg maar een extra controle. Echter vraag me af of er nog gecontroleerd wordt.

Mijn achternaam is namelijk neijenhuijs, maar als iemand mij geld stort met neyenhuys via een andere bank, lukt het gewoon.

lees laatste topic antwoord hier: http://forum.www.trosradar.nl/viewtopic.php?t=49728

ook leuk om te lezen: http://www.geldenrecht.nl...en-de-rekeningnummers-wel

[Reactie gewijzigd door isomis op 23 juli 2024 16:32]

Op dit item kan niet meer gereageerd worden.

Privégegevens alle ING-klanten zijn door ontwerpfout te achterhalen

Lees meer

IT-banen

Reacties (476)

Sorteer op:

Weergave: