Mobielbankieren-app ING controleerde ssl-certificaat bank niet - update
De app voor mobiel bankieren van ING Bank controleerde maandenlang het ssl-certificaat van de bank niet. Daardoor zou een man-in-the-middle-aanval mogelijk zijn geweest. Volgens de bank zijn er geen gevallen van fraude via de app bekend.
De app controleerde het ssl-certificaat van de bank niet, waardoor hackers een man-in-the-middle aanval konden uitvoeren. Dat meldt tv-programma EenVandaag op basis van bevindingen van beveiligingsonderzoeker Floor Terra. Of er inderdaad een aanval had kunnen worden uitgevoerd, lijkt onzeker. ING heeft meerdere lagen van encryptie ingebouwd.
De ING Bank heeft geen fraude geconstateerd met de app, zegt de bank in een reactie. "Sinds de lancering in november 2011 zijn er geen fraudegevallen geconstateerd. Natuurlijk willen we dat dit zo blijft. Een team van specialisten werkt iedere dag aan de verdere ontwikkeling van onze dienstverlening via de Mobiel Bankieren App om de veiligheid en het gebruiksgemak te kunnen blijven garanderen."
Inmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd. Hoogleraar Computerbeveiling Bart Jacobs van de Radboud Universiteit Nijmegen snapt niet dat dit lek maandenlang in de app kon zitten. "Het is een blamage dat deze fout gemaakt is. Dit is een hele elementaire beveiliging waar niet aan gedacht is. Hierom wordt de ING in securitykringen hard uitgelachen." De ING-app kwam begin november uit voor iOS en Android.
Update, 16:08: Zoals tweaker Lupo1989 opmerkt, zit er meer beveiliging in de app dan alleen de ssl-verbinding. "Hierdoor kan er een man in the middle gedaan worden maar de informatie is alsnog onleesbaar doordat er twee encrypties erover heen zitten." It-consultant Mount Knowledge concludeerde eerder dat de encryptie er solide uitzag. "Er wordt niet vertrouwd op SSL of TLS. In plaats daarvan gebruikt ING een extra encryptielaag waarvoor het wachtwoord wordt afgesproken via het SRP protocol. Ook genereert elk mobiel device een eigen profileId en een public/private sleutelpaar." De enige theoretische kwetsbaarheid zat volgens die analyse in het registratieproces.
Reacties (112)
Het is vast niet heel toevallig dat de iOS versie een patch heeft gekregen vanochtend.
Dat staat dan ook gewoon in de tekst
Inmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd.
Inmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd.
MAar is voor een man in the middle aanval niet eerst een hacker nodig die een signaal opvangt wijzigt en door stuurt. dit zal ook niet zomaar kunnen denk ik.
Al moet ik wel zeggen dat je met een wachtwoord van 5 cijfers gewoon geld over kan maken zelfs zonder hack. als iemand een trojan op je android weet te zetten en het wachtwoord ontfutseld dan kan zon virus gewoon geld naar een bank rekening over maken zonder tan code. echt veilig is het in elk geval niet!
By the way, de laatste versie is nog steeds van 1-3-2012 in de android store... ik heb nog geen update gezien.
Al moet ik wel zeggen dat je met een wachtwoord van 5 cijfers gewoon geld over kan maken zelfs zonder hack. als iemand een trojan op je android weet te zetten en het wachtwoord ontfutseld dan kan zon virus gewoon geld naar een bank rekening over maken zonder tan code. echt veilig is het in elk geval niet!
By the way, de laatste versie is nog steeds van 1-3-2012 in de android store... ik heb nog geen update gezien.
[Reactie gewijzigd door sygys op woensdag 21 maart 2012 14:58]
Op publieke WiFi netwerken (vaak gebruikt door smartphone eigenaars) is het technisch gezien vrij eenvoudig om een MitM attack uit te voeren.
Wat dat betreft kan je internetbankieren beter beperken tot vertrouwde en beveiligde WiFi netwerken, of de 3G verbinding.
Wat dat betreft kan je internetbankieren beter beperken tot vertrouwde en beveiligde WiFi netwerken, of de 3G verbinding.
[Reactie gewijzigd door Orion84 op woensdag 21 maart 2012 15:01]
publieke wifi? nee hoor smartphone eigenaars die willen internetbankieren doen dat vaak via 3Gvaak gebruikt door smartphone eigenaars
...heb je daar cijfers van?
moah, waarom zou ik zo'n absurd dure internet bundel nemen met geschifte voorwaarden terwijl ik overal wifi kan vinden? Ik tuff lekker met mijn smartphone alle wifi netwerken af, geen probleem.
Ik denk eerder dat mensen het geneens door hebben of ze via 3G of WFi verbinden zijn. "Hij doet het". Smartphone gebruikers willen internet bankieren, zal ze een zorg zijn of dat perse via 3G gaat.
In de meeste gevallen zal je mobieltje voor de snelste verbinding kiezen.
Heb je eerder gebruik gemaakt van de (publieke) WiFi netwerk (en onthouden/automatisch verbinden) aanstaan, zal hij automatisch proberen te verbinden. Dit is bij veel gebruikers zo; is de standaard en erg gemakkelijk om zo op je (huis)netwerk in te loggen.
Bij hackers conferenties is het hierdoor niet aan te raden om gebruik te maken van de publieke WiFi netwerken in de omgeving. Er zullen altijd wel een paar hackers in de buurt staan die willen bewijzen dat mensen niet opletten en dus de naam overnemen. De telefoon ziet hun netwerk, denkt "die ken ik" en maakt ermee verbinding. En de hackers lopen te lachen omdat ze je netwerkverkeer zien
Heb je eerder gebruik gemaakt van de (publieke) WiFi netwerk (en onthouden/automatisch verbinden) aanstaan, zal hij automatisch proberen te verbinden. Dit is bij veel gebruikers zo; is de standaard en erg gemakkelijk om zo op je (huis)netwerk in te loggen.
Bij hackers conferenties is het hierdoor niet aan te raden om gebruik te maken van de publieke WiFi netwerken in de omgeving. Er zullen altijd wel een paar hackers in de buurt staan die willen bewijzen dat mensen niet opletten en dus de naam overnemen. De telefoon ziet hun netwerk, denkt "die ken ik" en maakt ermee verbinding. En de hackers lopen te lachen omdat ze je netwerkverkeer zien
Als het een open netwerk is hoeven ze niet eens een MITM te doen, je stuurt toch al alles open de lucht in.
Allemaal irrelevant als de app even de moeite neemt om het certificaat te controleren. Het hele idee is dat je het netwerk niet hoeft te vertrouwen, je hebt nooit de hele keten naar de bank onder jouw eigen beheer.Op publieke WiFi netwerken (vaak gebruikt door smartphone eigenaars) is het technisch gezien vrij eenvoudig om een MitM attack uit te voeren.
[Reactie gewijzigd door Sfynx op woensdag 21 maart 2012 15:09]
Joh, je meent het 
De opmerking waar ik op reageerde was dat het niet controleren van het certificaat niet direct een probleem is, omdat je niet zomaar een MitM attack kan uitvoeren. Terwijl dat dus op een onveilig netwerk wel degelijk een reëel risico is.
En smartphone eigenaars zullen ongetwijfeld veel gebruik maken van 3G, maar ook genoeg van publieke WiFi netwerken. Zeker in het buitenland waar je data niet gratis is, maar nu ook in NL databundels steeds vaker gelimiteerd worden, wordt het steeds interessanter om WiFi te gebruiken.
De opmerking waar ik op reageerde was dat het niet controleren van het certificaat niet direct een probleem is, omdat je niet zomaar een MitM attack kan uitvoeren. Terwijl dat dus op een onveilig netwerk wel degelijk een reëel risico is.
En smartphone eigenaars zullen ongetwijfeld veel gebruik maken van 3G, maar ook genoeg van publieke WiFi netwerken. Zeker in het buitenland waar je data niet gratis is, maar nu ook in NL databundels steeds vaker gelimiteerd worden, wordt het steeds interessanter om WiFi te gebruiken.
Maar dat is dus totaal niet relevant van welk netwerk gebruik wordt gemaakt, het zou altijd veilig moeten en kunnen zijn.
Natuurlijk maakt het onderliggende netwerk wel uit. De eisen aan beveiliging op een intern bedrijfsnetwerk zijn totaal anders dan die op een open netwerk. Daar kun je als ontwikkelaar op inspelen.
Met smartphones en publieke diensten weet je dat je een hoge mate van risico loopt. Je kan dat risico, naast het aanscherpen van beveiliging, ook verminderen door diensten niet te leveren op onbetrouwbare netwerken (zoals windows bv standaard diensten uitzet op Openbare netwerken). Het niet aanbieden van diensten in gevaarlijke situaties is net zo'n logische keuze als het beveiligen van die diensten zodat ze toch aangeboden kunnen worden in die situatie.
Daarnaast is een stelling dat iets altijd veilig moet zijn een typisch voorbeeld van iemand met 0 werkervaring. Natuurlijk voor elk risico is een goede oplossing maar het probleem is het in de eerste plaats zien van het risico. Achteraf is het simpel, maar vooraf problemen voorspellen is een flinke uitdaging. Tel daarbij op dat mensen niet perfect zijn en fouten maken is het overduidelijk dat altijd veilig geen optie is. Vandaar ook dat de ING beveiligingslagen stapelt. Een fout in 1 laag leidt dan niet gelijk tot een onbeveiligde verbinding
Met smartphones en publieke diensten weet je dat je een hoge mate van risico loopt. Je kan dat risico, naast het aanscherpen van beveiliging, ook verminderen door diensten niet te leveren op onbetrouwbare netwerken (zoals windows bv standaard diensten uitzet op Openbare netwerken). Het niet aanbieden van diensten in gevaarlijke situaties is net zo'n logische keuze als het beveiligen van die diensten zodat ze toch aangeboden kunnen worden in die situatie.
Daarnaast is een stelling dat iets altijd veilig moet zijn een typisch voorbeeld van iemand met 0 werkervaring. Natuurlijk voor elk risico is een goede oplossing maar het probleem is het in de eerste plaats zien van het risico. Achteraf is het simpel, maar vooraf problemen voorspellen is een flinke uitdaging. Tel daarbij op dat mensen niet perfect zijn en fouten maken is het overduidelijk dat altijd veilig geen optie is. Vandaar ook dat de ING beveiligingslagen stapelt. Een fout in 1 laag leidt dan niet gelijk tot een onbeveiligde verbinding
Dat is bij de Android-app van ABNAMRO niet anders. Je moet wel gebruik maken van een eDentifier (of eDentifier2) als je geld over maakt naar een rekeningnummer waarnaar je nog niet eerder geld overmaakte, maar naar rekeningen waarheen je al betaald had dus niet. Een hacker kan dus geen geld naar zichzelf over maken maar wel naar belastingdienst, zorgverzekeraar, bol.com of anderen waar je al eens geld naar overmaakte, bv met betalingsreferenties voor zijn eigen rekeningen. Als je er dan achter komt moet je bij die organisaties gaan achterhalen wie dat het is, en dan moeten die dus mee willen werken, hetgeen vanuit privacy-oogpunt niet evident is.
Of er bij ING nog een extra verificatie is voor 'vreemde' rekeningnummers weet ik niet. Het onderscheppen van een sms met tan-code kan natuurlijk wel op hetzelfde toestel.
Of er bij ING nog een extra verificatie is voor 'vreemde' rekeningnummers weet ik niet. Het onderscheppen van een sms met tan-code kan natuurlijk wel op hetzelfde toestel.
Het 'probleem' dat jij hier beschrijft is heel wat anders dan het probleem met de ING app. De ING app deed geen controle op het certificaat. Dat heeft niets met Identifiers, TAN codes of wat dan ook te maken.
Je moet de app nog wel activeren met bevestigingscode die je krijgt als je inlogt op mijn.ing.nl. Zo kan ik niet mijn saldo opvragen met mijn 5 cijfers als ik dit invoer op de telefoon van mijn vriendin. Alleen op mijn eigen telefoon.
Dus als je man-in-the-middle wilt spelen, moet je dit weer terug koppelen naar de telefoon om de actie te laten uitvoeren.
Dus als je man-in-the-middle wilt spelen, moet je dit weer terug koppelen naar de telefoon om de actie te laten uitvoeren.
[Reactie gewijzigd door SuperflipNL op woensdag 21 maart 2012 15:16]
Zo´n trojan zou voorbij de beveiliging van Android moeten zitten. ING gebruikt een eigen toetsenbord, dus zou er letterlijk gepolst moeten worden naar drukpunten.
De tan code was gewoon nodig de laatste keer dat ik de app gebruikte om geld over te maken.
Je hebt toch alleen de TAN nodig als je de eerste keer de app activeert?
Ook al is iOS ook niet 100% waterdicht, toch is dit een van de redenen waarom ik eerder voor iOS kies dan voor Android. Puur omdat Android in mijn ogen veel kwetsbaarder is voor virussen waardoor aanvallen zoals hierboven beschreven voor het achterhalen van je 5-cijferige code veel makkelijker via Android kunnen geschieden, zou ik al kiezen voor iOS.
Voor Android zie ik echter alleen de versie uitgebracht op 1 maart jl, dus is er niks van een update te zien.
Misschien is het ook wel beter om de app te deinstalleren..
Misschien is het ook wel beter om de app te deinstalleren..
Blijft de vraag of dan ook het betaalverkeer onmogelijk gemaakt wordt.
Wanneer je de app voor de eerste keer gebruikt wordt deze via een code gemachtigd betalingen uit te voeren, hoe maak ik dat ongedaan?
Liefst kijk ik er alleen mee naar saldo en bij/afschrijvingen.
Daarnaast is het idee van tan-code via sms ondertussen achterhaald.
Ik kan met mijn mobiel prima internetbankieren zonder app, om vervolgens op diezelfde mobiel een tan-code te ontvangen om te betalen.
Er zal ongetwijfeld een virus voor een mobiel te schrijven zijn dat mobiel gaat bankieren bij de ING om vervolgens bij betaling de tan-code uit de sms te vissen.
ING moet gewoon over op calculator net als alle andere banken.
Leuk geprobeerd, alleen fundamenteel onoverkomelijk onveilig.
Daarnaast is het gehele bankensysteem aardig aan het veranderen, zie ook hier, ooit leverde het geld op om een betaalrekening te hebben, nu betalen we met zijn allen voor de vele gevallen van fraude en de topsalarissen. Virussen die via PC geld overmaken, skimmen, en wat al niet meer zorgen er op een manier voor dat geld in een oude sok nu de de voordeligste methode is geworden. Al met al een zorgwekkende trend die van gratis naar steeds duurder richting onhoudbaar loopt. De banken vergoeden fraude? Mis, wij betalen fraude.
edit:
@ AirJonn
Jij leest nergens over virussen die rekeningen plunderen?
58.800 zoekresultaten (and counting)
Het idee was om twee verschillende apparaten onafhankelijk van elkaar te gebruiken om te kunnen betalen. Computer en daarnaast telefoon.
Dat 1 apparaat onveiliger is erkent de ING waardoor je met de app maximaal 1000 euro per dag mag overmaken om zo het risico te verkleinen. Het kopiëren-plakken van een tan-code van sms naar browser binnen 1 apparaat is vrij nutteloos en daarom ook geen noodzaak binnen deze app.
Dat dit binnen de app niet boven de 1000 euro kan wil niet zeggen dat de telefoon dit niet via andere manier (browser + eventueel aangepaste useragent) alsnog kan.
Ofwel het hele idee dat je twee verschillende apparaten moest gebruiken om te kunnen bankieren is daarmee achterhaald, een virus hiervoor gaat kinderlijk eenvoudig de rekening kunnen plunderen.
Ik kan slechts 1 reden bedenken die dit tegenhoudt, men weet het wachtwoord van de ing gebruiker niet wanneer deze niet zelf via de website inlogt.
Maar dit systeem misbruiken is wanneer dit via welke manier dan ook toch bekend wordt kinderlijk eenvoudig, zonder enige gebruikers input te misbruiken.
Daarmee is deze app eigenlijk een lapmiddel om te voorkomen dat men op zijn/haar mobiel gaat internetbankieren en om daarmee het achterhaalde tan-code systeem nog iets te kunnen rekken.
Wanneer je de app voor de eerste keer gebruikt wordt deze via een code gemachtigd betalingen uit te voeren, hoe maak ik dat ongedaan?
Liefst kijk ik er alleen mee naar saldo en bij/afschrijvingen.
Daarnaast is het idee van tan-code via sms ondertussen achterhaald.
Ik kan met mijn mobiel prima internetbankieren zonder app, om vervolgens op diezelfde mobiel een tan-code te ontvangen om te betalen.
Er zal ongetwijfeld een virus voor een mobiel te schrijven zijn dat mobiel gaat bankieren bij de ING om vervolgens bij betaling de tan-code uit de sms te vissen.
ING moet gewoon over op calculator net als alle andere banken.
Leuk geprobeerd, alleen fundamenteel onoverkomelijk onveilig.
Daarnaast is het gehele bankensysteem aardig aan het veranderen, zie ook hier, ooit leverde het geld op om een betaalrekening te hebben, nu betalen we met zijn allen voor de vele gevallen van fraude en de topsalarissen. Virussen die via PC geld overmaken, skimmen, en wat al niet meer zorgen er op een manier voor dat geld in een oude sok nu de de voordeligste methode is geworden. Al met al een zorgwekkende trend die van gratis naar steeds duurder richting onhoudbaar loopt. De banken vergoeden fraude? Mis, wij betalen fraude.
Het levert geen geld meer op en het staat er niet meer veilig, dat lijkt niet omgekeerd, dat is het wat mij betreft helemaal!Het principe van een bank was altijd vrij simpel. Mensen brachten hun geld naar de bank. Daar stond het veilig en de bank deed er nuttige zaken mee waardoor het geld vermeerderde. Tegenwoordig lijkt het welhaast omgekeerd. De betaalrekening levert meestal geen rente meer op en toen de Rabobank als eerste een vergoeding vroeg...
edit:
@ AirJonn
Jij leest nergens over virussen die rekeningen plunderen?
58.800 zoekresultaten (and counting)
Het idee was om twee verschillende apparaten onafhankelijk van elkaar te gebruiken om te kunnen betalen. Computer en daarnaast telefoon.
Dat 1 apparaat onveiliger is erkent de ING waardoor je met de app maximaal 1000 euro per dag mag overmaken om zo het risico te verkleinen. Het kopiëren-plakken van een tan-code van sms naar browser binnen 1 apparaat is vrij nutteloos en daarom ook geen noodzaak binnen deze app.
Dat dit binnen de app niet boven de 1000 euro kan wil niet zeggen dat de telefoon dit niet via andere manier (browser + eventueel aangepaste useragent) alsnog kan.
Ofwel het hele idee dat je twee verschillende apparaten moest gebruiken om te kunnen bankieren is daarmee achterhaald, een virus hiervoor gaat kinderlijk eenvoudig de rekening kunnen plunderen.
Ik kan slechts 1 reden bedenken die dit tegenhoudt, men weet het wachtwoord van de ing gebruiker niet wanneer deze niet zelf via de website inlogt.
Maar dit systeem misbruiken is wanneer dit via welke manier dan ook toch bekend wordt kinderlijk eenvoudig, zonder enige gebruikers input te misbruiken.
Daarmee is deze app eigenlijk een lapmiddel om te voorkomen dat men op zijn/haar mobiel gaat internetbankieren en om daarmee het achterhaalde tan-code systeem nog iets te kunnen rekken.
[Reactie gewijzigd door JDVB op woensdag 21 maart 2012 16:14]
ING is juist afgestapt van die calculator.
"Er zal ongetwijfeld" is niet bepaald een goed argument. Ik lees enkel over storingen en nu een potentieel gevaar, maar ik heb even gemist waar alle rekeningen geplunderd worden ?
Nee, ik loop liever niet altijd met zo'n ding op zak.
"Er zal ongetwijfeld" is niet bepaald een goed argument. Ik lees enkel over storingen en nu een potentieel gevaar, maar ik heb even gemist waar alle rekeningen geplunderd worden ?
Nee, ik loop liever niet altijd met zo'n ding op zak.
En wie betaald al die identifiers?
Wij, als klant, uiteindelijk. Net zo goed als wij opdraaien voor de fraude/diefstal die gepleegd zou kunnen worden. Dan heb ik toch liever dat er geinvesteerd wordt in identifiers. Multi-factor authenticatie, enzo. Bottom line is dat waarschijnlijk een heel stuk goedkoper.En wie betaald al die identifiers?
Dat klopt
Inmiddels is zowel de iOS- als de Android-versie van een update voorzien, waardoor de man-in-the-middle-aanval niet meer kan worden uitgevoerd.
Toevallig stond dat ook in de update omschrijving.. Iets met verbeteren verbinding met bank herinner ik me, snapte het niet maar nu is het duidelijk.
Dat klinkt wel erg slordig. Wat ik me wel afvraag, wat gebeurt er met de mensen die niet updaten. Zijn die nog steeds vatbaar voor MITM attack.
Ik gok dat er een versiecheck uitgevoerd wordt bij het inloggen en dat kwetsbare versies niet meer werken. Zo zou ik het in elk geval doen als software ontwikkelaar.
Maar dan kan de MITM gewoon de juiste versie meesturen, daarom zit ie daar in het midden, om de boel aan te passen.
Alleen als meteen de eerstvolgende keer dat je hem gebruikt je al een mitm ertussen hebt zitten.
Zoals inderdaad gezegd, omdat de app niet controleert of die verbonden is met de bank blijven de mensen kwetsbaar. Aangezien het niet mogelijk is om apps verplicht te updaten, op Android niet in elk geval, blijven ze kwetsbaar en is het belangrijk dat men zelf update-to-date blijft.
Ik vraag me af hoe ze zulke dingen eigenlijk testen voor toch redelijk nieuwe apparaten. Internetbankieren via de PC hebben ze al wat ervaring mee, maar mobiel bankieren via je tablet of smartphone is allemaal nog vrij recent.
Schakelen ze (ook andere banken, zoals de Rabobank) externe teams in, of testen ze het allemaal intern?
Schakelen ze (ook andere banken, zoals de Rabobank) externe teams in, of testen ze het allemaal intern?
Zal me niet verbazen als het allemaal uitbesteed is qua dev.
Maar dan nog, als je überhaupt fatsoenlijk zou testen zou je simpele dingen zoals dit (want dat is het gewoon helaas! ) tegen komen..
Dus dan ben ik het ermee eens wat op het einde in het artikel komt:
Maar dan nog, als je überhaupt fatsoenlijk zou testen zou je simpele dingen zoals dit (want dat is het gewoon helaas! ) tegen komen..
Dus dan ben ik het ermee eens wat op het einde in het artikel komt:
AmenHierom wordt de ING in securitykringen hard uitgelachen.
Het verbaast altijd hoe simpel mensen soms denken over bepaalde zaken. Btw, wie zegt dat ze de beveiliging van de app getest hebben? Misschien hebben ze uit kost besparende overwegingen besloten om de app snel op de markt te brengen. Overslaan van de tests zou in dat geval uiterst onverstandig zijn, maar het is mogelijk.
Verder ben ik van mening dat ze dit soort applicaties tot op de laatste puntjes moeten testen qua beveiliging. En dan nog, ook al denk je dat je app volledig veilig is, er is altijd iemand die het kan kraken.
Beter blijven banken gewoon banken.
Verder ben ik van mening dat ze dit soort applicaties tot op de laatste puntjes moeten testen qua beveiliging. En dan nog, ook al denk je dat je app volledig veilig is, er is altijd iemand die het kan kraken.
Beter blijven banken gewoon banken.
Dus jij wil liever voor elke overboeking even langs je bank lopen? Of om je saldo op te vragen?Beter blijven banken gewoon banken.
Wees blij dat er wel goede internet-/mobielbankieren apps/initiatieven van de banken afkomen. ING (en voorheen ook Postbank) zijn daarin idd minder succesvol.
Dat lijkt me niet. Dit is een van de eerste elementen die bij een black box test naar voren zou komen.
Hoezo is mobiel bankieren anders dan bankieren via internet? Het gaat beide over internet. Dus de banken hebben al meer dan genoeg ervaring kunnen opbouwen omtrent het beveiligen van de data op onbetrouwbare netwerken.
Niets nieuws dus, dit is gewoon pruts werk, eigenlijk zou hun bank licentie ingetrokken moeten worden, aangezien dit het zoveelste is.
Niets nieuws dus, dit is gewoon pruts werk, eigenlijk zou hun bank licentie ingetrokken moeten worden, aangezien dit het zoveelste is.
Het gaat heel anders. Op een iPad kan je bijvoorbeeld véél gemakkelijker geld overmaken dan op de PC. Het werkt op mobiele apparaten dus anders. Daarnaast is het nog redelijk nieuw en moet er dus nog een hoop van worden geleerd.
De onder liggende techniek is in Maart 1982 een standaart geworden. Hoezo nieuw?
Dat je op je iPad véél gemakkelijker geld kan over maken, ligt puur en alleen aan de user interface en de backend op de server. Daar tussen wordt tcp/ip gebruikt net als op je PC.
Dat je op je iPad véél gemakkelijker geld kan over maken, ligt puur en alleen aan de user interface en de backend op de server. Daar tussen wordt tcp/ip gebruikt net als op je PC.
Ik denk niet dat je het snapt. Het gaat niet om de onderliggende techniek, het gebruik van internet, maar hoe er toegang wordt verschaft. Ze hebben al jaren ervaring met internetbankieren via je internet browser op je PC, dat hebben ze nog niet met apps.
De beveiliging en controle zit helemaal anders in elkaar. Zo kan ik op de iPad bijvoorbeeld al 1000 euro overmaken naar iemand als ik één code/wachtwoord weet, maar op de computer heb je allerlei extra controle stappen om te controleren dat jij wel 'jij' bent.
De beveiliging en controle zit helemaal anders in elkaar. Zo kan ik op de iPad bijvoorbeeld al 1000 euro overmaken naar iemand als ik één code/wachtwoord weet, maar op de computer heb je allerlei extra controle stappen om te controleren dat jij wel 'jij' bent.
Het is nou niet echt verbazingwekkend dat dit de ING overkomt. Ik ben blij dat ik daar geen bankzaken heb lopen, er gaat nogal eens wat mis daar. Dan is het weer niet bereikbaar, dan is vinden ze weer enorme beveiligingsgaten en het gaat zo maar door.
Nou maak ik me ook niet direct de illusie dat de Rabobank volkomen veilig is, maar ze hebben toch een stuk betere track record dan de ING.
Nou maak ik me ook niet direct de illusie dat de Rabobank volkomen veilig is, maar ze hebben toch een stuk betere track record dan de ING.
Mwoh... uit ervaring weet ik dat er bij de Rabobank ook veel mis is en dat men daar dagelijks huilende klanten aan de lijn heeft omdat hun rekening geplundert is.
En dat is zo bij alle banken, maar banken hangen nou eenmaal niet graag de vuile was buiten. Ze varen wel bij de illusie dat zij wel veilig zijn, en dat zullen ze kosten wat kost in stand houden.
En dat is zo bij alle banken, maar banken hangen nou eenmaal niet graag de vuile was buiten. Ze varen wel bij de illusie dat zij wel veilig zijn, en dat zullen ze kosten wat kost in stand houden.
Zolang ze de onkosten snel vergoeden, is het gewoon een kosten-baten-analyse. Voor de ING is het echter ook een imago-kwestie. En hun imago is slecht - heel slecht. Het gebruik van TAN-codes, hun gedateerde/bagger online bankieren website, de vele keren dat hun dienst die er dagen eruit ligt terwijl ze beweren een compleet redundant systeem te hebben dat binnen enkele uren operationeel kan zijn, en nu dit weer. Plakbandjes-politiek?!
ik denk inderdaad dat veel banken gewoon zwijgen over zulke dingen, en bevonden patches dichten zonder er over te praten.
Dat is eigenlijk ook beter. want als een of andere geit roept dat het lek is nog voordat er iets aan gedaan is net als nu met ing dan breng je de verkeerde mensen ook op ideeen.
Dit geld trouwens voor al het nieuws. paar jaar geleden ooit eens op het nieuws geweest dat iemand een stoeptegel van het viaduct pleurde. nu is het maandelijks raak.
Helaas gaat het media alleen nog maar om de sensatie, en denken niet meer na over de gevolgen.
Aangezien in android nog steeds het lek niet gedicht is. kunnen hackers nu hun lol op.
Dat is eigenlijk ook beter. want als een of andere geit roept dat het lek is nog voordat er iets aan gedaan is net als nu met ing dan breng je de verkeerde mensen ook op ideeen.
Dit geld trouwens voor al het nieuws. paar jaar geleden ooit eens op het nieuws geweest dat iemand een stoeptegel van het viaduct pleurde. nu is het maandelijks raak.
Helaas gaat het media alleen nog maar om de sensatie, en denken niet meer na over de gevolgen.
Aangezien in android nog steeds het lek niet gedicht is. kunnen hackers nu hun lol op.
Zolang er een vriendelijke dame belt die zich voordoet als iemand van bank X wordt er een hoop gedaan. Vraagt ze of er even ter controle een paar dingen in de reader ingetyped kunnen worden en opgelezen kunnen of een tancode opgelezen kan worden zijn er helaas teveel mensen die daar gehoor aan geven.
In nederland gebeurt dit bij alle banken. Ik heb in mijn omgeving uit eerste en tweede hand verhalen van ing, rabobank en abnamro. Het ging om bedragen van 2000 tot 8000 euro. Wel zijn er verschillen tussen banken hoe snel er terugbetaald kan worden. Dit kan binnen 1 maand zijn of pas na een half jaar.
Natuurlijk hebben alle getroffen mensen het over de slechte beveiliging van de bank.
Overigens weet ik dat de ing ook wel eens een rekening blokkeerd en per post meedeeld dat er een virus actief lijkt te zijn (schoonouders). In dat geval geval zijn er geen telefoontjes "ter controle" geweest en is er ook niets afgeboekt.
In nederland gebeurt dit bij alle banken. Ik heb in mijn omgeving uit eerste en tweede hand verhalen van ing, rabobank en abnamro. Het ging om bedragen van 2000 tot 8000 euro. Wel zijn er verschillen tussen banken hoe snel er terugbetaald kan worden. Dit kan binnen 1 maand zijn of pas na een half jaar.
Natuurlijk hebben alle getroffen mensen het over de slechte beveiliging van de bank.
Overigens weet ik dat de ing ook wel eens een rekening blokkeerd en per post meedeeld dat er een virus actief lijkt te zijn (schoonouders). In dat geval geval zijn er geen telefoontjes "ter controle" geweest en is er ook niets afgeboekt.
Ik snap niet dat de ING in andere kringen hard wordt uitgelachen. Ik vind het mooi pionierswerk om het bankieren zo dichtbij te brengen en zo te vergemakkelijken. Vind je het gek dat hier fouten inzitten aan het begin? Wat is er nu meteen perfect? Het feit dat er geen misbruik van gemaakt is en het lek nu is opgelost is geen reden om een ander hard uit te lachen. Het probleem is verholpen voordat het een probleem werd toch?
lachen doe ik zeker niet, maar ik schrik er toch wel een klein beetje van als gebruiker van die app... je verwacht niet zo'n fout......
ING is niet de eerste geweest met een App. En wie zegt dat het geen probleem was?
Goh, kan me nog levendig vorig ING-topic herinneren met daarin de zielen die hand en tand de ING liepen verdedigen (geen gehannes met readers, blabla). Kom er maar weer in mensen en ga nu nog eens zeggen dat de ING er GEEN zootje van maakt!
Sorry hoor, maar met dit soort zaken dan maar niet experimenteren! Wat zal dit voor gevolgen hebben (gehad)? Volgens ING zal er waarschijnlijk wel weer niets gebeurd zijn verder.
Dat ze geen fraudegevallen geconstateerd hebben verbaast me dan ook helemaal niets; die worden natuurlijk aan de tientallen phisings-slachtoffers gehangen.
Bovendien: zal er ooit een bedrijf komen dat het WEL toe zou geven als blijkt dat door hun eigen gepruts gedupeerden zijn. Ik denk nee, beter krom lullen dan aansprakelijkheid nemen.
Sorry hoor, maar met dit soort zaken dan maar niet experimenteren! Wat zal dit voor gevolgen hebben (gehad)? Volgens ING zal er waarschijnlijk wel weer niets gebeurd zijn verder.
Dat ze geen fraudegevallen geconstateerd hebben verbaast me dan ook helemaal niets; die worden natuurlijk aan de tientallen phisings-slachtoffers gehangen.
Bovendien: zal er ooit een bedrijf komen dat het WEL toe zou geven als blijkt dat door hun eigen gepruts gedupeerden zijn. Ik denk nee, beter krom lullen dan aansprakelijkheid nemen.
Hallloooooo het gaat niet om een nutteloze app als nu.nl.... er zijn mensen die geld op hun rekening hebben...
Zoiets als dit hoort grondig getest te worden voordat de eindgebruiker het kan gebruiken...
Ontken het nu niet... ing heeft zeer hard gefaald. een bank van vroeger en verleden. ipv nu en de toekomst
Zoiets als dit hoort grondig getest te worden voordat de eindgebruiker het kan gebruiken...
Ontken het nu niet... ing heeft zeer hard gefaald. een bank van vroeger en verleden. ipv nu en de toekomst
Het feit dat iemand van buiten dit probleem moest ontdekken is triest voor een bank die miljarden beheert.
Ja. Echt, heel echt raar.Vind je het gek dat hier fouten inzitten aan het begin?
En dit is nu juist de reden dat ik altijd huiverig ben voor dit soort nieuwe bijna nutteloze experimenten van banken. Ze doen maar wat. 
.
.Bijna nutteloos?
Experiment?
Ik schaar deze opmerkingen even onder stemmingmakerij.
Ik moet zeggen dat ik als ING klant razend blij met deze App ben.
Dat deze fout erin zit is natuurlijk een blunder, maar waar gewerkt wordt, worden fouten gemaakt.
Daar deze fout niet bij de gebruiker maar bij de bank zit neem ik aan dat een klant nooit de dupe zal zijn geweest wanneer zijn/haar rekening geplunderd zou zijn.
Maar dat is even een aanname.
Experiment?
Ik schaar deze opmerkingen even onder stemmingmakerij.
Ik moet zeggen dat ik als ING klant razend blij met deze App ben.
Dat deze fout erin zit is natuurlijk een blunder, maar waar gewerkt wordt, worden fouten gemaakt.
Daar deze fout niet bij de gebruiker maar bij de bank zit neem ik aan dat een klant nooit de dupe zal zijn geweest wanneer zijn/haar rekening geplunderd zou zijn.
Maar dat is even een aanname.
ik heb al geregeld gebruik gemaakt van dit in jou ogen "nutteloze app"
je kunt namelijk je hele loon op je spaar rekening zetten (meer rente) en alleen als je iets nodig hebt een paar euro gemakkelijk over zetten naar je rekening. zo voorkom je ook nog eens skimmen
Daarnaast als me geld op is op mijn rekening en ik heb net getankt dan is het toch wel handig als ik in de shop sta dat ik even wat geld over kan zetten zodat ik tenminste weer verder kan rijden
Met de rabobank heb je de reader nodig wat zwaar onhandig is onderweg. mobiel maar ook met laptop.
je kunt namelijk je hele loon op je spaar rekening zetten (meer rente) en alleen als je iets nodig hebt een paar euro gemakkelijk over zetten naar je rekening. zo voorkom je ook nog eens skimmen
Daarnaast als me geld op is op mijn rekening en ik heb net getankt dan is het toch wel handig als ik in de shop sta dat ik even wat geld over kan zetten zodat ik tenminste weer verder kan rijden
Met de rabobank heb je de reader nodig wat zwaar onhandig is onderweg. mobiel maar ook met laptop.
Even inhakend op je Rabo-verhaal.. Met de Rabobank mobiele app kun je ook gewoon zonder reader saldo overboeken tussen je eigen rekeningen hoor, niets geen reader of iets dergelijks voor nodig. Ook kun je gewoon geld overboeken naar 'bekende rekeningen' (rekeningen waar je afgelopen x periode geld naar over geboekt hebt) zonder reader. Alleen als jij geld over wilt boeken naar een vreemde rekening, dan heb je een reader nodig.. Wat maar goed is ook, stel er word ooit een hack uitgevoerd op de mobiele app, zullen hackers alsnog niet je geld over kunnen sluizen naar hun rekening, omdat ze dan de reader nog nodig hebben.. Voorkomen is beter dan genezen he!
hmm dat is inderdaad een interessant verhaal! ik heb een tijdje de rabo app gebruikt maar eraf gegooid omdat ik altijd de reader nodig had.
Maar inderdaad zo werkt het wel slim. zou ing ook moeten doen! zal eens een feedback berichtje sturen hierover. hierdoor wordt het wel een stukje veiliger!
Maar inderdaad zo werkt het wel slim. zou ing ook moeten doen! zal eens een feedback berichtje sturen hierover. hierdoor wordt het wel een stukje veiliger!
Volgens mij heeft juist de ING een reclame lopen waarbij wordt aangegeven dat iedereen op zijn/haar manier kan bankieren.
Met een app op de smartphone of via de ouderwetse overschrijvingsformulieren.
Je bent tot niets verplicht om hiervan gebruik te maken.
Met een app op de smartphone of via de ouderwetse overschrijvingsformulieren.
Je bent tot niets verplicht om hiervan gebruik te maken.
nou ik heb hem al een tijdje op mijn android, en update heb ik nooit gehad...
of heb ik iets gemist ?
of heb ik iets gemist ?
"Een team van specialisten werkt iedere dag aan de verdere ontwikkeling van onze dienstverlening via de Mobiel Bankieren App."
Hoe kun je nou vía de app werken...?
Hoe kun je nou vía de app werken...?
Dat staat er niet bijdehandje
Je ziet de verwijzing verkeerd
dit wordt bedoeld:
Een team van specialisten werkt iedere dag aan:
Onze dienstverlening via de Mobiel Bankieren App.
dit wordt bedoeld:
Een team van specialisten werkt iedere dag aan:
Onze dienstverlening via de Mobiel Bankieren App.
[Reactie gewijzigd door pietjuhhh1990 op woensdag 21 maart 2012 15:12]
Dus in correcte grammatica een foutieve verwijzing
"Een team van specialisten werkt iedere dag aan de verdere ontwikkeling van onze dienstverlening via de Mobiel Bankieren App."
Ik heb het vage vermoeden dat hier koppen zullen rollen.
Dan vraagt een mens zich wel af wat zo'n team van "specialisten" dagdagelijks doet. (Tetrinet spelen?)
Men was in 2011 toch ook al met ssl bezig, kan me niet herinneren dat het iets uit de jaren 80 is ofzo.
Ik heb het vage vermoeden dat hier koppen zullen rollen.
Dan vraagt een mens zich wel af wat zo'n team van "specialisten" dagdagelijks doet. (Tetrinet spelen?)
Men was in 2011 toch ook al met ssl bezig, kan me niet herinneren dat het iets uit de jaren 80 is ofzo.
SSL is niet zaligmakend. Sterker nog: ook SSL is gevoelig voor een man-in-the-middle-attack.Men was in 2011 toch ook al met ssl bezig, kan me niet herinneren dat het iets uit de jaren 80 is ofzo.
Tja, de hoeveelste fout is dit die ze maken met de app of de online banking omgeving?
Het wordt tijd dat de ING eens kritisch gaat en laat kijken naar hun beveiliging en de aansturing daarvan.
Dat is overigens niet bedoeld als loze rant, maar het is gewoon niet goed voor het imago van een bank als je bankingomgeving constant plat ligt, rare errors geeft en de app die je vrijgeeft niet eens controleert met wie er gecommuniceerd wordt. Als ING zijn klanten serieus neemt onderzoeken ze de zaak, maken ze de bevindingen (voor zover kan) openbaar en laten ze zien wat ze eraan gedaan hebben.
Het wordt tijd dat de ING eens kritisch gaat en laat kijken naar hun beveiliging en de aansturing daarvan.
Dat is overigens niet bedoeld als loze rant, maar het is gewoon niet goed voor het imago van een bank als je bankingomgeving constant plat ligt, rare errors geeft en de app die je vrijgeeft niet eens controleert met wie er gecommuniceerd wordt. Als ING zijn klanten serieus neemt onderzoeken ze de zaak, maken ze de bevindingen (voor zover kan) openbaar en laten ze zien wat ze eraan gedaan hebben.
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
