Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 161, views: 52.569 •
Submitter: Martindo

Een hacker zou tussen juli 2011 en maart 2012 hebben ingebroken op servers van ING. Dat beweert persbureau ANP. Bij de inbraak zou de hacker de namen en rekeningnummers van ongeveer een miljoen ING-klanten hebben buitgemaakt.

Dat schrijft Nu.nl. Woordvoerder Harold Reusken van ING kan nog niet bevestigen dat het om een inbraak gaat. "We zijn nu bezig met uitzoeken wat de feiten zijn", zegt hij. ING belooft later meer duidelijkheid te geven.

Volgens het ANP heeft de hacker met behulp van de buitgemaakte rekeningnummers en namen bestellingen gedaan op naam van de gedupeerde ING-klanten.

De hacker, die uit Rotterdam zou komen, wordt ervan verdacht verder nog te hebben ingebroken bij een groothandel in alcohol en sigaretten. Ook zou hij hebben willen inbreken op computers van containeroverslagbedrijf ECT, maar die aanval was wellicht niet succesvol.

Update, 18:30: ING meldt dat de berichtgeving van ANP onjuist is; de systemen van de bank zouden niet zijn gehackt. De verdachte zou via de 'naam-nummer-controle', die standaard binnen Mijn ING beschikbaar is, handmatig 1280 namen en rekeningnummers hebben verzameld. Volgens ING kunnen criminelen met uitsluitend de combinatie van rekeningnummer en naam geen rekeningen plunderen.

Reacties (161)

Reactiefilter:-11610157+187+211+30
Een heel groep ICT experts voor zo'n gigantische bank kan een enkel hackertje niet stoppen? Doen ze lekker, die 'experts'. Maarja, je hoeft maar 1 exploit in je code te hebben en het gaat fout.

Hoezo zijn die gegevens niet gewoon afgeschermd? Bijvoorbeeld alleen toegangbaar maken door enkele IP's?

[Reactie gewijzigd door Ortixx op 13 juni 2012 16:56]

Zo'n grote groep ICT experts wil blijkbaar niks zeggen met al die storingen die ze een tijdje geleden hadden..
QoS is een compleet ander gebied dan security
En de hele boel platgooien omwille van iets security-gerelateerds en de klanten zeggen dat je bezig bent met het "verbeteren van de gebruikerservaring" is ook weer iets totaal anders.
Volgens mij is dat niet 100% bewezen. Don´t shoot me als dat wel het geval is.. Maar dan nog, dat valt niet te wijten aan de ICT´ers bij ING, die beslissing ligt waarschijnlijk hoger op ;).
Zie update, bewering zal waarschijnlijk niet kloppen.
Ja wat wel raar is is dat de postbank niet ingrijpt nadat 1 malloot 1280 namen achter elkaar fout typt!
Het platgaan was niet security-gerelateerd. Switchen naar andere nieuwe systemen, nadat velen die erbij betrokken zijn weggeorganiseerd zijn. Loopt iets uit de hand, mogen gedetacheerden en nieuwkomers (want goedkoper) het gaan uitzoeken. Tja...
Dat er is ingebroken is, zoals te lezen, nog niet zeker.

Het zou me niet verbazen als de 'hacker' gebruik heeft gemaakt van deze eerder besproken ontwerpfout, gezien het gaat om rekeningnummers en naamgegevens:

nieuws: Privégegevens alle ING-klanten zijn door ontwerpfout te achterhalen
Het zal ook niet de eerste keer zijn dat er een idioot die niets van computers af weet, die waarschijnlijk nog zijn nieuws op papyrus indient, geschreven met een ganzenveer, moord en brand schreeuwt over zaken waar 'ie niets van weet.

Doet de consumentenbond ook 3x daags, dus waarom 't ANP niet.

[Reactie gewijzigd door Sleep0rz op 13 juni 2012 17:13]

Het zou me niet verbazen als de 'hacker' gebruik heeft gemaakt van deze eerder besproken ontwerpfout, gezien het gaat om rekeningnummers en naamgegevens:
Dit is geen ontwerpfout, het is een bewuste keuze geweest van de Postbank. Dit bestaat al sinds jaar en dag, en eigenlijk heel bijzonder dat er pas in 2010 onrust over is ontstaan. Dit is standaard functionaliteit bij het aanbieden van Clieop-bestanden.

Of het een verstandige keuze was, en of het vandaag de dag nog steeds een verstandige keuze is, dat is een ander verhaal. Maar het is geen ontwerpfout, het is ontworpen zoals toen is gevraagd.
Het is een min of meer noodzakelijk kwaad: aangezien de Postbank in haar oneindige wijsheid ooit heeft besloten om in tegenstelling tot zowat alle andere banken geen rekeningnummers met ingebouwde checksum te gebruiken. Bij de Postbank zijn ze begonnen bij 1 en elke volgende rekening is simpelweg +1.
Een tikfout in een rekeningnummer wordt dus niet opgemerkt als je niet ook checkt tegen de naam.
De rest van de banken hebben rekeningnummers die voldoen aan de elfproef: http://nl.wikipedia.org/w/index.php?title=Elfproef
Nou, toen ze het besloten was het een uitstekend systeem. Dat ze eraan vasthielden toen alle banken standaardrekeningnummers hadden ingevoerd is wat discutabel, maar een voordeel was wel dat je lekker korte nummers had die dus beter te onthouden waren en waar je ook minder snel een fout in maakt.

Maargoed, dat probleem is over een jaar ofzo toch wat kleiner; immers zit er in een IBAN-nummer wel enige vorm van controle.
De methode die deze hacker gebruikt heeft bestaat (bij mijn weten) al sinds de Postbank tijd. Was super handig als je een Marktplaats pakketje niet gekregen had; je wist met het (giro)rekeningnummer binnen no time waar je verhaal kon gaan halen. In feite is het een controle om te voorkomen dat je geld overmaakt naar de verkeerde persoon, maar je kunt dus ook andere rekeningnummers invoeren en vervolgens de NW gegevens controleren. Voor mij was het iig een reden om bij de ING/Postbank weg te gaan (privacy issue).
Aangezien het slechts om rekeningnummers en namen gaat vraag ik me af of het hier wel echt om een inbraak is gegaan. Met de postbank en dus later ING was het sinds jaren mogelijk (2006 en eerder) om een girorekeningnummer in te vullen en de bijbehorende naam te achterhalen ('bedoelde u mr. J. de Vries te Amsterdam').

(zie bijv. http://www.webhostingtalk...aam-bij-bankrekening.html)

Het is kinderspel om een eenvoudig script te schrijven die gewoon een hele rits rekeningnummers afgaat en de bijbehorende naam opslaat. Het zou me eerlijk gezegd verbazen als dat niet al veel eerder gebeurd is.

[Reactie gewijzigd door narotic op 13 juni 2012 17:14]

dit was zelfs al mogelijk toen het nog girotel heette, en via een inbel verbinding ging.
Als je dat combineert met de wachtwoord gegevens die je van andere sites hebt, bijv. Linkin dan kan je toch leuk rekeningen plunderen, want sommige mensen gebruiken toch hetzelfde wachtwoord.

Een veilig systeem hoort mensen ook tegen zichzelf te beschermen. Namen opvragen bij rekeningnummers of andersom zou je beter ook per sms kunnen afhandelen.

Juist als kinderlijk eenvoudig is om zo een script te schrijven zoals hij claimt, vind ik dat de veiligheid van de bank ernstig te wensen overlaat. Iedereen weet toch dat wachtwoorden nimmer gekraakt worden, maar geraden. Waarom er van zoveel sites wachtwoorden gehackt, omdat je daarmee andere wachtwoorden kan raden. Dat soort informatie wordt op de zwarte markt doorverkocht.

[Reactie gewijzigd door Magalaan op 13 juni 2012 18:54]

Met alleen een wachtwoord ben je er ook nog niet.
Je moet de loginnaam nog hebben en een geldige TAN code om het geld over te maken.
Helaas, de tan-beveiliging is te omzeilen, hoewel je inderdaad nog wel een loginnaam moet hebben. Een crimineel hoeft alleen maar een paypal account te openen en daaraan het rekeningnummer van het slachtoffer te koppelen. Paypal doet dan ter beveiliging een kleine transactie waarin een controlecode staat die de klant weer moet invullen bij paypal, waarna de twee gekoppeld zijn en dus aankopen gedaan kunnen worden. Geen tan nodig dus, loginnaam en wachtwoord zijn voldoende, omdat je met die twee gegevens al bij de afschriften kan bij de ING. Andere banken, die beveiliging wel op nummer één hebben, hebben dat beter geregeld (apparaatje nodig om in te loggen bijv), maar de ING stelt helaas gemak boven veiligheid en hele volksstammen trappen erin.
Paypal doet dan ter beveiliging een kleine transactie
Via iDeal? Moet je TAN hebben. Via papier? Moet je weten waar papier is en handtekening vervalsen.

Als PayPal zomaar geld kan afschrijven heb je de controlegetallen inderdaad vrij makkelijk te pakken.
Nee, via auomatische incasso.
Paypal schrijft geen geld af voor deze controle, paypal schrijft geld over naar je rekening.
en als we de 2 antwoorden samenvoegen wordt het een uitleg :)

Voor het koppelen schrijven ze 0,01cent over met een betalingskenmerk wat je dan weer in paypal moet invoeren om te bewijzen dat je toegang hebt tot die rekening.
Paypal beschouwt de rekening dan bewezen van jou, dit kan dus met alleen login wachtwoord.

alle afschrijvingen die paypal daarna doet worden gedaan via automatisch incasso en komt dus ook geen TAN aan te pas.
Maar op zich is er toch niets mis met gemak boven veiligheid, zolang de voordelen opwegen tegen de schade. Een bank kan zich verzekeren tegen fraude en de schade van de klant vergoeden. De klant heeft dan meer gemak en bijvoorbeeld (iets) minder spaarrente. Iedere klant moet die afweging zelf maken.
Bij veel schade gaat de verzekerings premie omhoog.
Dit principe werkt natuurlijk via alle banken waar incasso wordt toegestaan.
Jij geeft PayPal het recht om geld te incasseren vanaf je betaalrekening. Dit werkt inderdaad bij ING zo simpel als je beschrijft, maar kan bij andere banken ook.
De kunst zit hem alleen in de 1e validatie, daarna heb je genoeg aan het PayPal wachtwoord.
@Bonez0r
Helaas, de tan-beveiliging is te omzeilen, hoewel je inderdaad nog wel een loginnaam moet hebben. Een crimineel hoeft alleen maar een paypal account te openen en daaraan het rekeningnummer van het slachtoffer te koppelen. Paypal doet dan ter beveiliging een kleine transactie waarin een controlecode staat die de klant weer moet invullen bij paypal, waarna de twee gekoppeld zijn en dus aankopen gedaan kunnen worden. [...] Andere banken, die beveiliging wel op nummer één hebben
Dat wat er hier misgaat betreft geen probleem met de (tan) beveiliging van ING, maar met de manier waarop Paypal hun verificaties doet. Het beveiligingslek ligt bij Paypal en niet bij ING.

Paypal is degene die de betalingen autoriseren en afschrijven/incasseren.
Je zegt het feitelijk zelf al: PayPal doet hun verificatie door..... de issue zit dus bij: de verificatie door Paypal. Dit op basis van het feit dat zij aannemen een machtiging van de bankrekeningeigenaar te hebben ingeval de door hun verstuurde betaling/codes correct worden ingevoerd bij het koppelen van een bankrekening aan 1 van hun accounts. Dat Paypal denkt vervolgens gemachtigd te zijn tot afschrijven van bedragen is niet het probleem van ING!

Paypal controleert dus alleen of iemand zicht heeft op transacties op de bankrekening (ofwel inzage heeft in saldo-informatie), en dus niet - wat ze wel zouden moeten checken - of iemand ook geautoriseerd is om zelf transacties met de betreffende bankrekening uit te voeren! Deze check is heel makkelijk in te bouwen door iemand bijvoorbeeld te vragen het overgemaakte bedrag terug te storten vanaf het genoemde bankrekeningnummer.
Zoals het er nu voorstaat met de "verificatie" kan - afgezien van phishing etc - iedereen die toegang heeft tot de bankafschriften of die een (read-only) inzage-machtiging heeft (bijv op een bedrijfsrekening) ook op deze manier frauderen. Paypal maakt dus een fundamentele denkfout bij hun verificatie: Dat iemand een bankrekening mag/kan inzien wil absoluut niet zeggen dat diegene ook geautoriseerd is tot transacties.

Dit issue komt overigens ook volledig voor kosten van Paypal. Bedragen die - zeker zonder machtiging van de eigenaar - via (automatische) incasso van een rekening worden afgeschreven kunnen gewoon worden gestorneerd. En de bank haalt dat geld rucksichtlos terug bij degene die de (automatische) incasso gedaan heeft (in dit geval dus Paypal).
Dit is hoe het machtigingensysteem werkt: Paypal beweert een machtiging op de rekening te hebben, Paypal boekt het geld van de rekening af, dus het geld wordt ook bij Paypal teruggehaald. Zonder discussie. En Paypal moet vervolgens zelf maar zien dat ze het geld dat ze voor de fraudeur hebben geincasseerd terugkrijgen van die fraudeur.
Niet het probleem van de bank noch dat van de rekeninghouder. Had Paypal de machtiging maar beter moeten verifieren.

Er is hier dus sprake van: "Lekke Ontbrekende Paypal verificatie maakt fraude met bankrekening Paypal mogelijk".
Dit is immers ook geen ING-specifiek probleem. Iedereen met inzage in de af en bijschrijvingen van een bankrekening kan op deze manier met Paypal frauderen.

[Reactie gewijzigd door Cheetah op 13 juni 2012 21:19]

Maar het is zeker wel probleem van de gebruiker het is namelijk zijn geld wat verdwijnt.
Ik vind paypall een gevaarlijk bedrijf en heb mijn account al lang geleden opgezegd omdat ik het echt heel gevaarlijk vind.

[Reactie gewijzigd door Haas_nl op 13 juni 2012 22:15]

Het gaat erom dat iemand anders een paypal account kan koppelen aan jouw rekening als ze inzage hebben in jouw afschriften.

Het maakt dus helemaal niet uit of jij een Paypal account hebt of hebt opgezegd.
Je hebt helemaal gelijk. Nog erger is het dat niet alleen PayPal zijn verificatie op deze manier heeft opgezet. ClickAndBuy doet het ook op deze manier, en zo zullen er vast en zeker meer zijn.
Hmm, lijkt het op de methode die ik al eerder op Tweakers beschreven had? ;)

Palatinux in 'nieuws: Veel bankensites kwetsbaar voor aanval op beveiligde verbinding'
Ja, het is ook ontzettend raar dat Paypal er maar vanuit gaat dat jouw bankrekening en de daarbij behorende gegevens en overzichten privé zijn, en niet met een paar simpele trucs openliggen voor de hele wereld... |:(

Echt, in heel nederland en mogelijk over de gehele wereld, behalve bij ING, werkt de Paypal-manier van verificatie perfect... Ook niet zo vreemd, bij de andere banken heb je een fysiek apparaat nodig om een unieke code te genereren, iedere keer dat je wilt inloggen en niet alleen bij het moment dat je wilt gaan betalen... En zijn je overzichten dus echt privé... En heb je dus ook niet het probleem dat iedere crimineel zo even een Paypal account aan jouw bankrekening koppelt, omdat hij zonder enige moeite de verificatiecodes van Paypal kan inzien...

Maar het is een probleem van Paypal, hoor!!!! 8)7 't Is ook zo lastig, logisch inzicht... Het is namelijk wel een ING-specifiek probleem, er is geen enkele andere bank die inzage in rekeningoverzichten geeft zonder degelijke verificatie... Ik gok dat zelfs de Western Union Bank nog een beter systeem heeft...

Zelfs de ING zelf heeft nog beter in de gaten hoe het in elkaar steekt dan jij, maar vinden het gewoon niet belangrijk...

Maar, in jouw oneindige wijsheid, weet jij vast wel een betere manier voor Paypal om te verifiëren... Dus kom maar op: Handtekeningen??? Hoe willen zij controleren of deze echt van jou is??? Telefoonnummer??? Zelfde laken en pak... Kopie van ID??? .... Opsturen van een authenticator??? Naar wie stuur je die dan??? Fysieke kantoren openen, waar mensen met uittreksel van de gemeente, paspoort, 5 pasjes met naam en foto erop en de geboorteaktes van papa en mama kunnen bewijzen dat zij echt, echt, echt eigenaar zijn van die rekening???

Oh, bij de weg, het is de plicht van de bank om te controleren of een automatische incasso-opdracht in orde is, niet van degene die het geld afschrijft... Iedereen kan namelijk een machtigingskaart invullen, ondertekenen en opsturen, niet alleen Paypal...
Die code staat in de transactie dus moet je daar eerst voor inloggen op mijn.ing.nl met de juiste credentials. Die hele actie die je nu beschrijft is dus volkomen zinloos want wie kan inloggen met de juiste credentials kan alles en hoeft zichzelf dus niet via een raampje naar binnen te wurmen. Althans, zo werkte het toen ik mijn rekening aan Paypal koppelde. Zo werkt het overigens ook bij iets als Click'n Buy. Nou kan het zijn dat ze het inmiddels gewijzigd hebben...

[Reactie gewijzigd door ppl op 13 juni 2012 21:27]

Paypal doet dan ter beveiliging een kleine transactie waarin een controlecode staat die de klant weer moet invullen bij paypal, waarna de twee gekoppeld zijn en dus aankopen gedaan kunnen worden.
Je mist een stap .... hoe komt de crimineel in het bezit van het controlegetal die PayPal bij de 'bijschrijving' doet om het account te koppelen aan de bankrekening? Je moet bij Paypal namelijk het controlegetal invoeren, en om die te bemachtigen moet je nog altijd inloggen met loginnaam en wachtwoord en dat heeft de 'zogenaamde' hacker niet bemachtigd.

Overigens heb ik bijschrijving in bold gezet omdat paypal een controle doet met een bijschrijving op je bankrekening van x-cent onder vermelding van een controlegetal. De zoals jij genoemde afschrijving kan niet, want dat is machtigen en die heb je nog niet gegeven tot het moment dat je bevestigd hebt. Voor incasso (afschrijven) is een verbod als dit niet is overeengekomen.
Dan maakt Paypal dus gebruik van een automatische incasso. Dat is voor de consument geen risico, want dat kan je altijd heel eenvoudig terugdraaien, met een paar muisklikken op de ING website.
Je kunt al die automatische incasso's gewoon storneren, ook die van Paypal trouwens maar dan krijg je met hen gezeik :). Dus laat iemand mijn rekening maar plunderen via een incasso, ik storneer hem wel.

Ter info, om automatisch te mogen incasseren moet je een incassocontract tekenen. Dat moet de crimineel in kwestie dus ook faken. je krijgt bij een normaal contract ook beperkingen in zowel het aantal incasso's per batch, het totale bedrag per batch als het totale bedrag per jaar.

Als frauderen via automatische incasso's zo makkelijk was hadden meer mensen dat allang gedaan :).

Oh en ja ik besef me dat dit bovenstaande punt breder is dan jouw voorbeeld maar mijn punt is dat iedere vorm - dus ook paypal - van automatische incasso te storneren is en op te lossen.
Dat is niet zozeer een beveiligingsprobleem van de ING maar vooral een forse fout in het fenomeen Paypal en ook een beetje een combinatie van Paypal, automatische incasso (het is nooit een goed idee om onbekende derde partijen toestemming te geven in je kas te grabbelen) en pas in de laatste plaats de ING.

[Reactie gewijzigd door mae-t.net op 14 juni 2012 14:43]

rekeningnummers of andersom zou je beter ook per sms kunnen afhandelen.
Hoera, dan krijg ik een sms-apparaat van ze ;) Altijd al willen hebben.

ik heb uiteraard geen mobieltje
Ik heb eind vorig jaar nog een enorm beveiligingslek bij ze gevonden waarbij je de internetbankierensessie mbv een iDeal transactie kon overnemen. Puur bij toeval omdat m'n vriendin een bestelling bij een webshop deed op mijn laptop en ik het ING internetbankieren open had staan. Na de bestelling kreeg ik in mijn scherm ineens haar rekening...
Na die ervaring kijk ik hier alles behalve vreemd van op.
dat zal ook wel browser afhankelijk zijn. Je vriendin logde bij haar ideal betaling namelijk in en daarbij is jouw sessie er waarschijnlijk uitgegooid. Op zich dus niet zo vreemd.
een moderne browser met scheiding van sessies had dat niet gehad.

Is dat "probleem"daarna opgelost?
Dat zou uiteraard niet mogen, gezien ideal via een ander subdomein loopt. Dat mijn sessie dan wordt uitgelogd uit veiligheidsoverweging oke, maar dat ik in mijn sessie gewoon toegang krijg tot haar bankrekening ipv de mijne, dat kan uiteraard echt niet. Bovendien is internetbankieren een ander product dan ideal betalen. Bijvoorbeeld: in internetcafe's zou je op deze manier een paypal account aan een rekening van klanten die via ING een iDeal betaling doen kunnen koppelen en via die weg de rekening op een later moment kunnen misbruiken.
Dit probleem is inderdaad opgelost, ze schrokken er behoorlijk van (heb het overigens niet meer gecontroleerd).

[Reactie gewijzigd door ..bennie op 13 juni 2012 17:15]

Als jij een betaling uitvoert kom je vanaf de verkoper bij iDeal en vervolgens als nog de bank omgeving uit waar jij de betaling vanaf wilt verrichten. Tenminste, ik betaal nimmer een bedrijf/instantie als ik zie dat ik mijn bankrekening en codes moet invoeren op een iDeal-pagina die niet gelijk is aan een URL van mijn bank.

Of wel; de sessie is gewoon overschreven aangezien de iDeal betaling gewoon via de bank zelf is verricht.

/ Kleine aanvulling /
Internetbankieren en iDeal is geen aparte dienst. Je kunt internetbankieren niet zonder iDeal afnemen net zo min als je iDeal zonder internetbankieren kunt afnemen. Wie voor internetbankieren kiest, kiest dus ook direct voor alle andere mogelijkheden die erbij horen zo is dit bij alle banken iDeal maar bij banken als Rabobank ook wel Finbox, Minitix etc. etc. etc. al die diensten zijn op geen enkele wijze los van elkaar te verkrijgen.

[Reactie gewijzigd door DarkForce op 13 juni 2012 22:59]

Je begrijpt me niet. Ten eerste heb ik het over producten en niet over diensten.
In scherm 1 staat dus Internetbankieren open met mijn rekening. In scherm 2 wordt via een webshop een iDeal betaling gedaan met de bankgegevens van mijn vriendin. Vervolgens krijg ik in scherm 1 haar rekening te zien ipv de mijne. Wanneer je naar het domein kijkt zul je zien dat voor de ideal betaling een ander subdomein wordt gebruikt dan voor het internetbankieren. Dit is echt een groot security issue en gelukkig begrepen ze dat in ieder geval wel bij ING. Uiteraard had dit nooit zo mogen worden geïmplementeerd.
Dat kan wel kloppen, het laatste scherm van de sessie kun je wel vaker opvragen dit omdat de sessie en cache wordt opgevraagd maar verdere acties of bewerkingen zijn niet mogelijk op zo'n moment.
Dat kan wel kloppen, het laatste scherm van de sessie kun je wel vaker opvragen dit omdat de sessie en cache wordt opgevraagd maar verdere acties of bewerkingen zijn niet mogelijk op zo'n moment.
Die waren dus wel mogelijk, dat heb ik geprobeerd en het werkte allemaal tot mijn verbazing.
En wat zei ING, want je hebt het daar neem ik aan wel gemeld?
Dit probleem is inderdaad opgelost, ze schrokken er behoorlijk van (heb het overigens niet meer gecontroleerd).
Omdat ING dan perse vaste IP adressen moet gebruiken voor die computers, ook dat is een beveiligingsrisico. Laten we eerst maar eens afwachten of er daadwerkelijk is ingebroken en zoja, hoe dat is gebeurd. Voor hetzelfde geld is dit gewoon opschepperij van desbetreffende hacker, dat het via ANP naar buiten komt zegt niet alles.
Het zal geen digitale hack zijn geweest. Deze persoon Davy de V. liep stage bij een ICT bedrijf. Mogelijk is het diefstal van gevoelige informatie waarbij hij intern bij de ING bezig is geweest. Aldus bron http://www.nu.nl/internet...-rekeningnummers-ing.html

[Reactie gewijzigd door benverkroost op 13 juni 2012 17:30]

Zulke experts zijn het niet hoor kan ik je uit eigen ervaring melden...
Lekker slordig, zelf zit ik ook bij de ing en werkt ik (alleenmaar) met mijn ing. Dus dat wordt mijn rekening in de gaten houden...
Dat is goede reclame voor ECT als daar de aanval wellicht niet gelukt was en bij ING wel!
Dat is goede reclame voor ECT als daar de aanval wellicht niet gelukt was en bij ING wel!
Alleen zijn bij de ECT waarschijnlijk veel minder intressante gegevens te stelen, dan bij een bank.

De ECT slaat natuurlijk allemachtig veel data op die extreem relevant zijn voor een containeroverslag bedrijf, maar die zijn voor een hacker waarschijnlijk net zo boeiend als de wallstreet journal van 4 jaar geleden. Bankgegevens echter, daar kun je veel meer en veel engere dingen mee.
de exacte locatie en inhoud van een containerpark is ongetwijfeld goud waard.
In de haven wordt voor miljarden verscheept!
Kennis van de inhoud en het is gratis winkelen.
Haha... je moet misschien alleen even 20 containers verplaatsen om bij jouw plasmaschermen te komen... :P
Het is toch altijd erg interessant voor een criminele organisatie wanneer en waar de containers met waardevolle inhoud de weg opgaan of opgeslagen staan... Dan kun je lekker gericht je slag proberen te slaan...
ECT heeft gewoon een stuk betere ICT medewerkers als de ING want aan het management daar kan het niet liggen.

ECT behoort tot het grootste havenbedrijf van de wereld die info die daar waardevol is vooral concurrerende data.
ECT houdt echt niet bij waar welke container staat als die het terrein verlaat. De data die ze hebben is bedrijfinformatie en container A gaat van Kade A naar kade B.
Het enige leuke wat er te doen is als je binnen ben, is om al die computer gestuurde wagens te laten bewegen

Gratis winkelen het is gewoon een terrein dat door de Douane beheert wordt je komt daar echt niet als beunhaas binnen. Kan je net zo goed zeggen laat ik schiphol hacken dan kan ik naar mensen hun koffers gaan winkelen.
Aan alleen een naam en een rekeningnummer heb je toch weinig?
Je kunt op rekening bestellen, al wordt dat meestal wel wat beter afgeschermd. En het is sowieso niet lastig om naam en rekeningnummer te vinden van mensen.
Bij ING al helemaal niet, vul een willekeurig ING-rekeningnummer in met foute naam en je krijgt de correcte naam retour. Met een scriptje om dat te harvesten kun je hetzelfde bereiken lijkt me, zonder illegaal bezig te zijn.
Ik bedoelde meer dat de bedrijven waarbij je op rekening besteld meer gegevens van je vragen dan zomaar een naam+rekeningnummer.
Ik neem aan dat in hun voorwaarden staat dat je dat niet mag doen. Het kan wel, maar je bent mogelijk alsnog illegaal bezig.
Dat is maar gewoon wat een bedrijf je toestaat. Op rekening bestellen bij een klant die je nog nooit gezien hebt en die jou alleen een naam en rekeningnummer geeft... imho niet slim, maar het is gewoon een risico dat ze bewust nemen. gemak vs af en toe een verlies.

Naam-rekeningnummer-informatie is niet bepaald geheime informatie.
Op naam + rekeningnummer bestellen deden ze vroeger altijd. Tegenwoordig kun je vaak nog steeds voor die optie kiezen. Dan krijg je een klein geel briefje waarop je dan je rekeningnummer, naam en adresgegevens zet. Ze noemen het een acceptgiro.

Okee, je moet dan ook een handtekening invullen maar daar controleren ze pas op als het al te laat is. Ik heb vaak genoeg iets op de rekening van mijn ouders besteld met een willekeurige handtekening. Het lijkt op die van mijn ma maar als ze je naast elkaar legt zie je duidelijk grote verschillen. Dus na een tijdje ging ik gewoon mijn eigen handtekening gebruiken. Nooit wat van gehoord en de bank schrijft het netjes af.
Maar als je gewoon je betalingen in de gaten houdt, kun je dat gewoon weer storneren. Dus geen probleem imho...
Nou, dat lijkt me wel degelijk geheime informatie, want meer dan die informatie heb je eigenlijk niet nodig wanneer je een automatische incasso wilt accorderen.
Precies, begrijp het ook niet helemaal.

Bovendien kan je een willekeurig gironummer invoeren bij een overschrijving op Mijn ING, en met één klikje krijg je de bijbehorende naam te zien.
Dat zal vast wel aan een maximum verbonden zijn?
Gezien de update controleren ze het maar een max. heb ik nooit ontdekt. Je kunt een betaalbatch aanmaken met allemaal random mensen en nummers. Die test je dan (per 500 bijvoorbeeld) en dat doe je regelmatig :). Scheelt je hoop handmatig werk want een betaalbatch kun je in 1 geheel importeren en laten testen.
Ja ik zat ook een beetje "en dan" ? Maar schijnbaar toch genoeg om bestellingen te kunnen doen bij div. bedrijven. Of hij het ook heeft gekregen is vraag 2 :)
En als dan vraag ik me af op wel adres hij het heeft laten bezorgen, toch zekere niet op zijn thuis adres...
Nee, op een proxy adres :+
Als het goed is niets. In mijn geval zou er in ieder geval niets moeten gebeuren, want ik krijg TAN codes op mijn telefoon.
En tussen juli 2011 en maart 2012.... Dan had mijn vrouw het wel gespot, daar maak ik me niet druk over.
Dat maakt geen ene flikker uit, dat is alleen als je zelf de betaling uitvoert, niet als iemand op jou rekeningnummer besteld
ik heb nog nooit gezien dat je alleen met rekeningnummer en naam iets kan betalen. Je krijgt hiervan dan een acceptgiro BIJ de bestlling, die je met handtekening weer moet opsturen naar je bank. het is niet zo dat er automatisch geld afgeschreven wordt.
ik heb nog nooit gezien dat je alleen met rekeningnummer en naam iets kan betalen. Je krijgt hiervan dan een acceptgiro BIJ de bestlling, die je met handtekening weer moet opsturen naar je bank. het is niet zo dat er automatisch geld afgeschreven wordt.
Je kan een andere partij machtigen om een automatische incasso te doen, dan wordt er wel "automatisch" geld afgeschreven.

Het is alleen ook zo dat je die incasso weer netjes kan terugboeken als je niet weet waar het om gaat. De verkopende partij gaat dan bij het ontvangende adres (meneer de hacker) om zijn geld lopen zeuren.
Is wel mogelijk alhoewel veel ondernemingen dit niet ENKEL met reknr en naam toelaten. Vaak moet daarbij reknr, NAW en geboortedatum opgegeven worden en extra vinkje mbt automatisch incasso.
De vraag is dan wel of die naw-gegevens worden gecheckt.
Je kan je wel voordoen alsof je een (eenmalige) machtiging hebt van iemand en een betaling richting jou laten uitvoeren door een bank. Als je naam+rekeningnummer heb zal dit al voldoende moeten zijn.
Dat kan niet iedereen zo maar doen. Alleen bedrijven, en die moeten een contract ondertekenen er geen misbruik van te maken. Doen ze dat wel dan kan de mogelijkheid om met machtigingen te werken ingetrokken worden. Of dat ook echt gebeurt weet ik niet.
Ook verenigingen kunnen dit, bijvoorbeeld een studentenverenigingen voor incasso van hun contributie. Als meer dan 1% van de incasso's wordt gestorneerd heb je een probleem en kunnen ze je contract intrekken. Dat zijn in ieder geval de ING regels. Ook zijn er beperkingen op het aantal incasso's per dag en de bedragen per dag en jaar.
Inderdaad, bovendien is het altijd mogelijk om op mijn.ing.nl de naam bij een rekeningnummer te vinden door bij een overboeking een nummer in te vullen: de site geeft dan zelf de naam die erbij hoort.

Maar als de gegevens verkregen zijn van binnenuit, dan is dat natuurlijk zorgelijk op zich.
Met naam en rekeningnummer kun je een automatische incasso laten uitvoeren, volgens mij kan dat bijvoorbeeld bij Wehkamp.
Ja, maar dan nog. Wehkamp doet geen naam vs. rekening check dus kan je die truc ook uithalen door gewoon rekeningnummers te verzinnen/berekenen. En hoeveel schade kan je hier feitelijk mee aanrichten? Heel weinig maar.
Sinds wanneer kan ik bestellingen plaatsen met een naam en REKENING-nummer ? Ik geef graag m'n rekening-nummer aan iedereen die dat wilt hoor ...toch totaal onbruikbaar en helemaal niets geheim aan ?


...of bedoelen we hier crediet-card nummers ?
Als jij bijvoorbeeld bij bol.com een bestelling plaatst dan geef jij je rekeningnummer in en dan kan je of kiezen voor automatisch incasso of voor een acceptgiro. Als ze dan bij bol.com alleen de naam en rekeningnummer van jou hebben, en ik heb alles besteld, dan komen ze dus achter jou aan (ik kan de producten ook gewoon ergens anders laten bezorgen dan op mijn thuis adres).
Ja, en een automatische incasso mag dus niet zonder handtekening.
Maar omdat dat zo onhandig is (lees: dan haken impulsieve internet klanten af), laten ze het stukje bevestiging per post maar achterwege.

En de banken gaan erin mee, want die nemen aan dat je de handtekening hebt als je een incasso bij ze neerlegt.

De regels die je krijgt (en accepteert) als je een automatische incasso mogelijkheid bij een bank aanvraagt stellen duidelijk dat toestemming voor automatische incasso schriftelijk bevestigd moet zijn.

Iedereen weet het, maar het piep-systeem is makkelijker dan het naleven van hun eigen regels.
Ik vraag me af of dat klopt want volgens mij kun je tegenwoordig een auo-incasso laten uitvoeren door 2x toestemming te geven op 2 verschillende pagina's. Hou er rekening mee dat email ook schriftelijk is.
JAVE heeft gelijk: volgens de wet is dat helemaal niet geldig. Dit geldt ook voor het gebruik van een bandopname bij een telefoongesprek. machtigingen moeten wettelijk gezien altijd op papier - voorzien van een handtekening - vastgelegd worden. Dat hier op dit moment coulant mee wordt omgegaan, is een ander verhaal.

Vanaf 1 februari 2014 gaat dit echter veranderen bij de officiële invoering van SEPA: dan moeten voor niet-zakelijke klanten bij nieuwe contracten papieren machtigingen worden aangevraagd (en beheerd!). Zakelijke klanten (ook bestaande) moeten sowieso een nieuwe machtiging op papier afgeven.

Lees en huiver ;) Vooral bij Direct Debit

Tenzij de regels in de tussentijd natuurlijk weer worden aangepast.

[Reactie gewijzigd door freedragon op 13 juni 2012 18:24]

Sommige webshops bieden betaling via automatische incasso aan. Dan heb je aan een naam en rekeningnummer voldoende.
officieel zou hier ook een handtekening voor nodig moeten zijn. Dus dit zou niet moeten kunnen werken.
De praktijk helaas...
Natuurlijk werkt het wel, om de simpele reden dat de bank gewoon niet kan controleren of jij een handtekening hebt. Echter, jij moet dit altijd kunnen bewijzen en de klant kan 56 dagen (correct me if wrong in aantal dagen) storneren en dan heb je geld terug.

Ik zie het probleem niet? Bij meer dan 1% foute incasso's ben je de pineut bij ING.
Dat is allang niet meer zo, om automatische incasso via webshops, postorder en callcenters te kunnen faciliteren.
Ik kan me herinneren dat je (vroeger) eenmalige machtiging tot afschrijving van het bedrag kon geven online als je iets bestelde bij sommige webshops, door je naam en rekeningnummer te geven dus.
Ik kan me herinneren dat je (vroeger) eenmalige machtiging tot afschrijving van het bedrag kon geven online
Dat kan nog, soms. Bij theaters bijvoorbeeld. Maar dan heb je ook een klantnummer en inlogcode nodig, zodat het wel duidelijk is dat jij het echt betn Zeker als er ook bevestigingsmail verstuurd wordt. Maar het kan wel en gaat goed.
Ik herinner me een akefietje met Ron Brandsteder (geloof ik?) die precies exact hetzelfde riep als jij, en het daarom onzin vond dat mensen zo happig waren op het "geheim" blijven van het rekeningnummer. En die heeft, om zijn eigen punt te bewijzen, zijn naam en rekeningnr toen ook gepubliceerd. Waarna een grapjas middels wat social engineering bij een bank toch geld daar vanaf heeft kunnen schrijven. 8)7

Dit nog even naast het feit dat het vrij gemakkelijk is om een machtiging voor automatische incasso in te vullen op iemand ander's naam en rekeningnummer. De bank controleert de handtekening toch niet of nauwelijks.

[Reactie gewijzigd door .oisyn op 13 juni 2012 17:25]

Pft, hack dit hack dat hack zus hack zo.

Er is wel heel veel over hacks in het nieuws zeg, vraag me af hoe dat komt, zal er meer gehacked worden? Zal het sneller bekend gemaakt worden of valt het gewoon meer op omdat detectie mogelijkheden beter worden?
Er wordt meer over bekend gemaakt, en de media zijn er op gespitst, die brengen het vaak groot. En het OM maakt er tegenwoordig ook een nummer van, om bedrijven wakker te schudden. Dat lijkt hier het geval (OM: meer dan een miljoen. ING: 1280)
Ik klop het af, maar ik heb gelukkig nog niets gemerkt hiervan.
Dat is de tweede grote blunder van de ING in een relatief korte tijd.

Wordt tijd dat ze eens goed naar hun beveiliging gaan kijken.
Mits dit verhaal waar is natuurlijk, want er is nog niks bevestigd door de ING (al is het maar de vraag of ze dat doen).
Ik hoop dat ze snel duidelijkheid geven, ik ben klant bij ING en ben benieuwd of ik ook gedupeerd ben/word.
wel slordig dat het zowat al een jaar geleden dan begonnen is en dat het nu pas naar buiten komt en er onderzoek naar gedaan wordt..
Er staat hier langs het artikel een vacature bij ING voor Senior Technisch Internetspecialist
Hilarisch _/-\o_
Er staat hier langs het artikel een vacature bij ING voor Senior Technisch Internetspecialist
Hilarisch _/-\o_
Dat is niet de afdeling die bij ING over de security gaat.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Politiek en recht Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013