Gebruikersgegevens Bankingtools waren door lek voor iedereen beschikbaar

Gebruikersgegevens van meer dan 250.000 klanten van online huishoudboekje Bankingtools waren voor langere tijd toegankelijk voor kwaadwillenden. Het lek in de database van de financiële dienstverlener werd ontdekt door een beveiligingsonderzoeker.

Via Google had de onderzoeker ontdekt dat er een lek in Bankingtools zat, waarna de onderzoeker het lek meldde aan nu.nl. Volgens de site zorgde het lek ervoor dat de database met gebruikers van Bankingtools beschikbaar was met namen, adressen, e-mailadressen, afgenomen abonnementen van de dienstverlening, of en wat voor contacten er met de helpdesk geweest waren en IBAN-rekeningnummers.

Volgens Invers, het bedrijf achter Bankingtools, gaat het alleen om gegevens van de Bankingtools-site. Andere sites van Invers, zoals Kasboek, zijn niet verbonden met Bankingtools heeft Invers-oprichter Bart den Hollander tegen nu.nl gezegd. Onderzoek van Invers toonde aan dat de serverlogs verdwenen zijn, waardoor niet te achterhalen is sinds wanneer er onbevoegde toegang tot de server geweest is. De niet bij name genoemde ontdekker van het lek zegt nooit iets weggegooid te hebben, wat erop zou kunnen wijzen dat er meer partijen toegang hebben gehad tot de server.

De onderzoeker zou ook hebben aangegeven dat er meer manieren zijn om in te breken bij systemen van Invers, iets dat door het bedrijf zelf ontkend wordt omdat er geen 'sporen zijn die aantonen dat dat waar is'. Invers heeft contact opgenomen met een beveiligingsbedrijf om de systemen door te lichten.

Klanten van Bankingtools zijn per e-mail op de hoogte gesteld van de problemen. In de mail wordt aangegeven dat 'friendly-hackers op de server van MijnBankingTools hebben ingebroken waarbij niet het doel is geweest privacygevoelige informatie buit te maken'. De mail waarschuwt wel dat het mogelijk is dat ook anderen met minder nobele doelen de inhoud van de server hebben doorzocht. Ook meldt de e-mail dat er melding gemaakt is bij het College Bescherming Persoonsgegevens en andere autoriteiten. De site is sinds het voorval langere tijd offline geweest. Per 1 januari 2016 hebben bedrijven een meldplicht datalekken bij de Autoriteit Persoonsgegevens, het dan voormalig CBP. Afhankelijk van de zaak, kunnen er ook boetes opgelegd worden, bijvoorbeeld door het niet melden van een datalek binnen 72 uur.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 31-12-2015 17:59 42

31-12-2015 • 17:59

42

Lees meer

Webwinkel ReplaceDirect en zustersite Twindis melden datalek - update
Webwinkel ReplaceDirect en zustersite Twindis melden datalek - update Nieuws van 27 april 2016
Persoonsgegevens burgers Rotterdam en Oegstgeest waren toegankelijk door fout
Persoonsgegevens burgers Rotterdam en Oegstgeest waren toegankelijk door fout Nieuws van 9 maart 2016
Lek in website farmaceutisch bedrijf maakte handel met voorkennis mogelijk
Lek in website farmaceutisch bedrijf maakte handel met voorkennis mogelijk Nieuws van 8 februari 2016
CBP-voorzitter Kohnstamm vreest voor tekort bij behandelen datalekken
CBP-voorzitter Kohnstamm vreest voor tekort bij behandelen datalekken Nieuws van 30 december 2015
CBP publiceert definitieve beleidsregels meldplicht datalekken
CBP publiceert definitieve beleidsregels meldplicht datalekken Nieuws van 9 december 2015
Europese meldplicht voor datalekken komt eraan
Europese meldplicht voor datalekken komt eraan Nieuws van 8 december 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (42)

-Moderatie-faq
42
42
29
6
0
5
Wijzig sortering
Arie Atari 31 december 2015 18:04
Mail is inderdaad netjes aangekomen:

Beste klant van BankingTools,

Ik wil u graag even op de hoogte brengen van het volgende:

In de week voor Kerst hebben friendly-hackers ingebroken op de server van MijnBankingTools. Dit is de website waar u contact kunt hebben met onze online supportdesk en waar u ook uw abonnementen beheert. De hackers hebben dit gedaan om aan te tonen dat er een beveiligingslek in ons systeem zat.

Zij hebben niet het doel gehad om privacygevoelige informatie te verspreiden en hebben aangegeven dat de verkregen informatie intussen ook is vernietigd!!

Maar dit betekent wel dat iemand anders dan uzelf en wij, mogelijk uw abonnementsinformatie heeft bekeken. Deze informatie bestond uit: naam, adres, postcode, woonplaats, emailadres, product, ordernummer, orderbedrag, startdatum abonnement, einddatum abonnement, rekeningnummer en tenaamstelling abonnee. Dit is persoonlijke informatie die natuurlijk niet bij iemand anders thuis hoort. Wij hebben hierover melding gemaakt aan de betrokken autoriteiten waaronder het College Bescherming Persoongegevens.

Direct na het voorval zijn alle relevante servers uitgezet. Stap voor stap hebben wij vervolgens delen van onze systemen weer online gebracht. Steeds pas nadat een zorgvuldige security-check is gedaan.

MijnBankingTools is nog niet online. Dit systeem wordt momenteel grondig gecontroleerd. MijnBankingTools was een ouder systeem dat – zoals nu is aangetoond – onvoldoende was beveiligd tegen de huidige mogelijkheden van aanvallen van buitenaf.

Voor de volledigheid wil ik vermelden dat uw persoonlijke financiële gegevens geen moment in gevaar zijn geweest. Deze gegevens staan namelijk op uw eigen PC. Administraties die u eventueel in de online backup heeft opgeslagen, staan op een andere server en zijn ook versleuteld. Toch hebben we uit voorzorg ook deze server even uitgezet en starten we deze binnenkort weer op. Wij raden u aan om tijdelijk lokale backups te maken.

Gedurende de periode dat MijnBankingTools niet beschikbaar is, kunt u op de volgende manieren met ons in contact komen:
• Mailt u naar mail-support@bankingtools.nl
• Belt u op werkdagen tussen 10:00 – 14:00 uur met 0900 – 8212400 (1,- per gesprek)

Onze oprechte excuses voor deze situatie. Veiligheid & Privacy staat bij ons hoog in het vaandel, maar desondanks zijn wij – gelukkig door iemand met goede bedoelingen – met onze neus hard op de feiten gedrukt. U begrijpt ons voornemen voor 2016 en de jaren daarna: Dit mag nooit meer gebeuren.

Met vriendeljke groet,
BankingTools
Bart den Hollander
Auteurletatcest @Arie Atari31 december 2015 18:10
Dank, deze had ik wel ergens zien langskomen, maar kon hem niet meer terugvinden... Ik pas het bericht erop aan.
MrFax @Arie Atari31 december 2015 20:06
Je mag geen volledige namen van emails van bijvoorbeeld supprt desks (die niet openbaar zijn) in Tweakers comments plaatsen, toch?

[Reactie gewijzigd door MrFax op 24 juli 2024 12:56]

IxFail NL @MrFax31 december 2015 22:17
Op de website van bankingtools ben je binnen 2 klikken op de pagina: http://www.bankingtools.nl/mijnbankingtools-niet-beschikbaar en hier staat de mail gewoon openbaar. ;)
MrFax @IxFail NL31 december 2015 22:35
Ik had het anders moeten verwoorden maar Ik bedoel niet de email, maar de naam "Bart..." dat is privacyschending.

[Reactie gewijzigd door MrFax op 24 juli 2024 12:56]

Trasos @MrFax31 december 2015 23:20
Dat is de oprichter, niet zomaar een supportmedewerker of zo.
Anoniem: 731339 @Arie Atari1 februari 2016 17:10
Wat BankingTools niet vermeldt is dat alle gemaakte online Backups niet meer beschikbaar zijn sinds de ontdekking van het lek.
Ik heb hierover uitvoerig met BankingTools gesproken en gemaild. De backups zijn niet te restoren.

Voor mij persoonlijk betekent dit dat ik na een computer crash mijn financiële gegevens sinds 2010 kwijt ben.
Golodh 31 december 2015 18:19
Niet netjes van die onderzoeker om het lek eerst aan een nieuwssite bekend te maken (nu.nl) en niet bij het bedrijf zelf te melden. Strafbaar zelfs, vrees ik.

<quote> Onderzoek van Invers toonde aan dat de serverlogs verdwenen zijn, waardoor niet te achterhalen is sinds wanneer er onbevoegde toegang tot de server geweest is. De niet bij name genoemde ontdekker van het lek zegt nooit iets weggegooid te hebben, wat erop zou kunnen wijzen dat er meer partijen toegang hebben gehad tot de server.</quote>

In plaats van de aangever van het lek scheef aan te kijken zou ik eerder zeggen: "Wie zegt mij dat dit bedrijf niet zelf de log gewist heeft? Mogelijk komt het ze wel goed uit dat je nu niet meer kan zien wie wanneer wat gedaan heeft". Dit is natuurlijk niet het eerste waar je aan denkt, maar als je logs wist (strafbaar !) ga je dat niet in de krant zetten.


En als ik dan naar het vervolg kijk:

<quote>De onderzoeker zou ook hebben aangegeven dat er meer manieren zijn om in te breken bij systemen van Invers, iets dat door het bedrijf zelf ontkent wordt omdat er geen 'sporen zijn die aantonen dat dat waar is'. Invers heeft contact opgenomen met een beveiligingsbedrijf om de systemen door te lichten.</quote>

Dan proef ik hierin iets van "jullie kunnen niet aantonen dat er meerdere manieren waren om in te breken want er zijn geen sporen".

Als er één opstelling van een bedrijf is die mij wantrouwend maakt (met gewiste server logs) dan is het deze wel. Misschien zoek ik er teveel achter, en is het gewoon een ongelukking geformuleerd antwoord. Het is dat het bedrijf zelf aangeeft dat er nu een extern bevelingingsbedrijf wordt ingechakeld, maar anders had ik ze niet meer vertrouwd.

[Reactie gewijzigd door Golodh op 24 juli 2024 12:56]

Anoniem: 463321 @Golodh31 december 2015 18:35
Voor quotes moet je hier vierkante haken gebruiken. [ en ] dus. :)
Sergelwd 31 december 2015 19:20
Vind dit sowieso wel een schimmige site, een online huishoudboekje met privegegevens. 8)7
En daar dan als ik het goed zie een abbonement voor moeten afsluiten.

[Reactie gewijzigd door Sergelwd op 24 juli 2024 12:56]

Anoniem: 310408 @Sergelwd1 januari 2016 08:36
Vind dit sowieso wel een schimmige site, een online huishoudboekje met privegegevens. 8)7
En hou had jij je een online huishoudboekje ZONDER prive gegevens voorgesteld?
onetime @Anoniem: 3104081 januari 2016 17:07
Niet? Zo iets doe je niet online. En al helemaal niet in een "gratis" app waar je je data weggeeft. Gewoon op je eigen pc met een spreadsheet / database / programma.
Fawn @onetime3 januari 2016 02:27
Pen en papier, dat is pas veilig!
Jiriki @Sergelwd5 januari 2016 22:13
Het is niet online, de software zelf installeer je op je PC. Het enige dat online staat is of je een support contract hebt, waar dan helaas in dit geval de persoonlijke gegevens aan zijn gekoppeld, en de support tickets.

De data zelf staat niet online, die staat in de database op de computer van de gebruiker.
fritek373 31 december 2015 18:03
Via Google had de onderzoeker ontdekt dat er een lek in Bankingtools zat
waarna de onderzoeker het lek meldde aan nu.nl
De onderzoeker zou ook hebben aangegeven dat er meer manieren zijn om in te breken
Lekkere "onderzoeker"... Kan hij het niet gelijk aan het bedrijf melden? Als hij credits wil kan ik het nog wel begrijpen, maar nu komt hij anoniem in het nieuws en loopt het bedrijf imagoschade op.

[Reactie gewijzigd door fritek373 op 24 juli 2024 12:56]

Spectaculous @fritek3731 januari 2016 12:54
Ik denk dat de hacker dit niet in de doofpot wil hebben? Het gaat om financiële tools, niet een spelletjes website die je mailadres en een (hopelijk hashed) password. Als je het een bedrijf meld dan hoort de buitenwereld er nooit van, nu weten gebruikers in ieder geval dat ze verdacht moeten zijn op ID-diefstal.
Anoniem: 126717 @fritek37331 december 2015 18:32
Inderdaad, dat was ook mijn gedachte toen ik het las. Wat wil hij, bekendheid of het lek dichten?
nu.nl is een sensatiesite (minder dan de telegraaf) waarop genoeg mensen komen die het ook wel even willen proberen.
njitter 31 december 2015 18:01
De onderzoeker zou ook hebben aangegeven dat er meer manieren zijn om in te breken bij systemen van Invers, iets dat door het bedrijf zelf ontkent wordt omdat er geen 'sporen zijn die aantonen dat dat waar is'.

Ja dat is echt overtuigend bewijs :+
Anoniem: 334725 @njitter31 december 2015 20:31
Dat is echt totaal de verkeerde manier van denken als je het over veiligheid hebt. Eigenlijk moet je er van uit gaan dat er altijd wel een lek is en zo je complete systeem beveiligen. Ik snap dan ook niet dat er telkens weer bedrijven zijn die doodleuk zeggen "ja maar ons systeem is perfect".

Als werktuigbouwkundige zeg ik toch ook niet "theoretisch kun je over de maximale belasting heen, maar dat is tot nu toe niet gebeurd dus houden zo". Nee, je ontwerpt minimaal ~2x wat je denkt dat er nodig en en dan meer als het kritiek is(mensenlevens enzo 8)7 ). Ga jij maar is uitleggen aan je klant dat een machine bij ontwerp al af en toe dingen laat vallen of wegslingert.
Grrrrrene @Anoniem: 3347251 januari 2016 11:38
Als werktuigbouwkundige zeg ik toch ook niet "theoretisch kun je over de maximale belasting heen, maar dat is tot nu toe niet gebeurd dus houden zo". Nee, je ontwerpt minimaal ~2x wat je denkt dat er nodig en en dan meer als het kritiek is(mensenlevens enzo 8)7 ). Ga jij maar is uitleggen aan je klant dat een machine bij ontwerp al af en toe dingen laat vallen of wegslingert.
Grappig dat je dat zegt, want zo denk ik er als mede-werktuigbouwkundige ook over. Het lijkt er in de IT op dat er voor het minimaal benodigde wordt gekozen, maar als werktuigbouwkundige zit je vaak ook gebonden aan veiligheidsfactoren die door normen of instanties worden opgelegd. Volgens mij bestaan dergelijke instanties nog niet in de IT, want ik hoor vaak de roep om een veiligheidskeurmerk in de IT. Zolang veiligheid niet uit te drukken is in cijfers / scores, blijft het voor relatieve leken een ongrijpbaar iets. Bovendien is het lastig te testen zonder de broncode te kennen, terwijl "wij werktuigbouwkundigen" altijd een prototype kunnen testen op 150% van de verwachte belasting, o.i.d. en materiaaleigenschappen heel voorspelbaar en goed testbaar zijn.

In de IT zijn er echt wel zaken die standaard zouden moeten zijn, zoals het versleuteld opslaan van wachtwoorden. Hoe logisch dat ook klinkt, ook dat wordt door partijen nogal eens vergeten en dat is echt onvergeeflijk. Niemand kan een 100% waterdicht beveiligingssysteem beloven, maar als je niet eens het minimaal benodigde doet...

Kortom: kom maar op met een beveiligingskeurmerk.
John Doos @Grrrrrene1 januari 2016 14:58
Ik weet niet zeker of ik je goed begrijp, maar je wilt een beveiligingskeurmerk voor algemene online beveiliging of voor de online bank wereld?

Voor dat laatste wordt nu hard aan de weg getimmert.
nieuws: Meer dan vijfhonderd Europese banken registreren zich voor .bank-domein

Allerei betaalinstanties en banken etc. mogen zich registreren voor het .bank domein, daar staan echter wel een aantal beveiligingseisen tegenover. Zoals heel simpel verplichte https toegang.
Grrrrrene @John Doos1 januari 2016 15:06
Voor beiden zou het mooist zijn, maar als we met bankzaken zouden beginnen is dat al een hele stap en kan dat als voorbeeld voor de rest van de industrie gelden. Het is nu voor een gebruiker totaal niet duidelijk te zien hoe goed je gegevens beschermd worden. Geen website of softwaremaker laat weten hoe jouw persoonsgegevens worden beveiligd en al zouden ze dat doen, hoe snapt een leek of dat goed genoeg is?

Wat je zegt over het .bank-domein is een mooi begin, maar geeft gebruikers nog geen inzicht in de kwaliteit van de beveiliging (het is een basisniveau, meer niet). Het mooist zou zijn als je een aan cijfer als "7/10" o.i.d. zou kunnen zien hoe goed de beveiliging van gegevens is. En dat moet door onafhankelijke instanties gekeurd worden. Auto's krijgen NCAP-sterren, beleggingen krijgen een risiconiveau toegewezen en bedrijven die (gevoelige) gegevens opslaan moeten een beveiligingscijfer krijgen.
kmf @Anoniem: 33472531 december 2015 21:09
Ga jij maar is uitleggen aan je klant dat een machine bij ontwerp al af en toe dingen laat vallen of wegslingert.
Gebeurt maar al te vaak als je een advies uitbrengt welke een klein risico met 50% vermindert, maar er wel constant 20% extra kosten bij komt kijken. Dan wordt 99% gekozen om die risico maar voor lief te nemen.

Zolang er geen verplichte audits zijn, zal dit soort berichten alleen maar toenemen.
njitter @kmf31 december 2015 21:39
Ik ben zelf werkzaam als IT-er in de Pharmaceutische industrie. Zonder Documented Evidence wordt het als 'niet getest' beschouwd. Kost een hoop exrtra geld maar is wel een Mindset die je bijblijft.
Anoniem: 310408 @njitter1 januari 2016 08:34
De onderzoeker zou ook hebben aangegeven dat er meer manieren zijn om in te breken bij systemen van Invers, iets dat door het bedrijf zelf ontkent wordt omdat er geen 'sporen zijn die aantonen dat dat waar is'. Ja dat is echt overtuigend bewijs :+
Maar iets bewijzen wat niet bestaat is natuurlijk onmogelijk he...
Freee!! @njitter31 december 2015 18:20
Precies, absence of proof isn't proof of absence.
wberkel 1 januari 2016 09:37
Ik vertrouw die tent al langer niet. Ik krijg regelmatig spam op een specifieke alias die ik alleen gebruikt heb bij hen.
Notabene is dit bedrijf ooit aangeraden door de Rabobank toen zij jaren gelegen stopten met offline pakket voor telebankieren
sko @wberkel2 januari 2016 10:57
Zelfde hier, al sinds 2011(!) krijg ik spam gericht aan twee email adressen dat ik alleen bij hen gebruikt heb, dus hun database is is al veel langer lek. Dat is de reden dat ik bankingtools niet meer gebruik, ik vertrouw ze allang niet meer.
Henk54 31 december 2015 18:55
Voor enkele jaren geleden had ik nog een abo. lopen, maar toen opgezegd.
Als reden dat bij m'n eigen bank al genoeg inzicht had.
Kreeg nog onlangs een email dat er een nieuwere versie was uitgekomen.
Maar bovenstaand mail heb ik (nog) niet ontvangen.
Merkwaardig om zo met gevoelige gegevens om te gaan, terwijl de beveiliging tekort schiet.
Spectaculous @Henk541 januari 2016 12:58
Ja dit, de banken doen dit zelf zo mooi tegenwoordig dat zo'n pakket eigenlijk niet meer echt nodig is. Overigens valt de schade wel mee vind ik. Een server waarop de facturatie werd gedaan is gehackt. Dat is natuurlijk niet de bedoeling en slecht, maar het is niet de data zelf, dit wordt blijkbaar encrypted ergens op een andere server geplaatst, ik hoop op basis van informatie die net op een server staat, maar op de client PC. Verder is het offline software dus als je de backups al lokaal maakt staat die data sowieso niet op het internet.
jpsch 31 december 2015 19:24
Valt weinig te melden als er geen log is lijkt me.
locke960 31 december 2015 20:01
Onderzoek van Invers toonde aan dat de serverlogs verdwenen zijn,
Dat zegt wel wat over de staat van het beheer en het veiligheidsbewustzijn bij Invers.
Logs hoor je periodiek te inspecteren, dan merk je het ook als ze verdwenen zijn. Ook zouden er backups moeten zijn. In het beste geval worden logberichten zelfs naar een andere machine gestuurd zodat ze niet gemanipuleerd kunnen worden door een hacker.
Anoniem: 319464 1 januari 2016 10:40
Gewoon lekker thuis op een usb onder linux versleutelen. Waarom al die dingen toch online. Vragen om problemen

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq