Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ABN Amro haalt Tikkie Pay offline wegens privacylek

ABN Amro heeft de functie Tikkie Pay tijdelijk stopgezet, omdat het mogelijk bleek het iban van gebruikers te achterhalen. De functie maakt overboeken naar contacten op basis van hun 06-nummer mogelijk.

Tikkie Pay-gebuikers die op een contact klikten om een bedrag over te maken, maar net voor de overboeking de transactie annuleerden, konden kort het iban van de persoon zien. Gebruikers konden zo achter de rekeningnummers van al hun contacten komen zonder dat die contacten daar weet van kregen. Dat ontdekte RTL Nieuws.

ABN Amro erkent dat de Tikkie-functie een privacyfout bevat en heeft daarom de dienst offline gehaald. De bank past de functie aan met waarborgen voor de privacy, al is nog niet bekend hoe het bedrijf dit gaat doen.

Tikkie is in 2016 opgezet door ABN Amro, maar werkt ook voor andere banken. Gebruikers kunnen betaalverzoeken aanmaken in de app en deze delen via bijvoorbeeld WhatsApp. Tikkie Pay verscheen in november vorig jaar en de bedoeling was juist dat gebruikers bedragen konden overmaken zonder daarvoor een verzoek te hebben ontvangen en zonder het iban, maar alleen het 06-nummer te kennen.

Door Olaf van Miltenburg

Nieuwscoördinator

23-01-2019 • 14:16

109 Linkedin Google+

Reacties (109)

Wijzig sortering
Bunq heeft dan hetzelfde privacy probleem. Als je naar iemands telefoon (uit je telefoon boek) geld probeert over te maken en een naam selecteert zie je daar automatisch een Bunq IBAN nummer (en mogelijk ook andere banken?) bij als deze hierover beschikt. Ik zie in ieder geval IBAN nummers van personen waarvan ik deze nooit heb gebruikt

[Reactie gewijzigd door TimDJ op 23 januari 2019 14:51]

Je ziet geen IBAN's van andere banken, alleen van bunq tenzij je al eerder naar dat IBAN nummer over hebt gemaakt waardoor hij het effectief gewoon opslaat. Tikkie zou je IBAN niet weer moeten geven omdat je de andere persoon misschien helemaal niet kent, zoals een bunq request. Als je het telefoonnummer + naam toch al in je contactenboek hebt staan ken je de andere persoon wel en weet je al om wie het gaat.
Net even nagevraagd aan Bunq. Als jij je telefoonnummer als alias bij bankrekening hebt staan kunnen anderen aan de hand van je telefoon nummer het IBAN nummer zien. Schijnt opt-in te zijn.

Telefoonboek kan ik toch ook willekeurig nummers aan toevoegen?

Voor de duidelijkheid. Ik zie dus IBAN nummers van personen in mijn telefoonboek waar ik nooit geld naar heb overgemaakt.

[Reactie gewijzigd door TimDJ op 23 januari 2019 15:19]

Weet je waar ik de opt-in instelling kan vinden voor je twelefoonnummer? Ik zie dat niet zo snel in de app.

Ik kan me sowieso niet herinneren dat dat een bewuste optie was bij het opzetten van een rekening. Het opgeven van een nummer was verplicht.

[Reactie gewijzigd door twkr18526 op 23 januari 2019 18:46]

Op je rekening nummer naar instellingen en dan aliassen. Even elk rekening nummer langslopende.
Dunno of dat opt-in is, kan me herinneren dat ik dat zelf uit heb moeten zetten...

Voor mensen die ‘t willen checken:
Tik op je rekening, instellingen, Aliassen. Is blijkbaar geen globale optie voor om uit/aan te zetten.
Er schijnen een paar dikke boeken te bestaan met alle namen en telefoonnummers van alle Nederlanders erin.

Kan toch niet die privacy?!
Er is net door iemand anders nog een privacy issue met Bunq gevonden. Als je een share url hebt dan kun je Iban nummer ook opvragen zie: https://together.bunq.com...shares-iban-before-paying
Bunq.me is een veel groter lek dan Tikkie.

Met bunq.me/jan of bunq.me/kees vult een bedrag in en ziet de IBAN maar dan je zie ook nog een foto. Even google foto vergelijk/zoeken en hoppa. Facebook/insta profiel. Naam, geboortedatum, woonplaats met beetje geluk 06 erbij je hebt een compleet profiel.

[Reactie gewijzigd door RobbyTown op 23 januari 2019 19:43]

Bunq wordt ook veel door oplichters op Marktplaats gebruikt. Je kunt daar veel tijdelijke bankrekeningnummers krijgen voor een klein maandbedrag.
Hoe is dit mogelijk dan? Moet je niet BSN, NAW gegevens etc opgeven bij het aanvragen van een rekening?
Die hebben ze al. En Bunq zal sowieso ook als bank het betalingsverkeer op moeten slaan per bankrekeningnummer. Dat het dus door oplichters gebruikt wordt om snel tijdelijk bankrekeningnummers te krijgen lijkt mij dus onwaarschijnlijk (en is een vrij grote claim van nzweers). Dat ze het misschien met een ander account of andere persoonsgegevens doen is wel mogelijk.
Vermoed dat dit gedaan wordt om de check op bekende rekeningnummers bij oplichting te vermijden, denk hierbij bijvoorbeeld aan de check op de website van de politie en het opgelicht forum van tros/AVRO. Zo kunnen ze 1 hoofdbankrekening een langere tijd blijven gebruiken zonder dat dit snel opvalt. Bunq zal het op een gegeven moment wel doorhebben en aan elkaar kunnen knopen ja.
Je bedoelt die gegevens die je praktisch kun kopen bij de KVK?

Geen idee of het waar is, maar ik denk dat het inderdaad wel mogelijk is. Mogelijk dat je nog DigiD moet gebruiken, dat zou het wat lastiger maken.
Dacht dat het iets anders was, soort verzamelnummer, waarna geld naar de juiste rekening doorgestuurd word. Vriendin heeft laatst helaas zoiets meegemaakt.
Ik kan je toch echt tegenspreken hier in, bunq heeft sinds het begin al dat wanneer je een rekening wil openen meerdere verificatie systemen, waaronder, ID kaart/paspoort controle, maar ook een video die je moet opnemen met willekeurige instructie en getallen die je hard op moet opnoemen, dit om te bevestigen dat jij jij bent middels jou ID kaart.

Mocht dit gebeuren is het een heel koud kunstje ook voor bunq om te weten wie de oplichter is, dat je meerdere rekeningen aan kan maken bij bunq betekend niet dat het vrijspel is voor oplichters.

en dan nog een ander puntje waar je fout mee bent, die "tijdelijke" rekeningen zijn niet tijdelijk, je kan er 25 openen, en elke van die 25 al sluit je die, telt op bij de 25, je kan dus nooit MEER dan 25 openen door oude te sluiten.

Bunq heeft echt wel goed nagedacht over het systeem voordat ze hiermee begonnen, je kan je ook wel beseffen dat ze bij banken mensen aannemen die niet dom zijn.
Bij Bunq staan de IBANs alleen in JOUW adresboek. Wel is het zo dat Bunq inderdaad IBAN kan syncen met andere Bunq accounts als zij via een groepsrekening gekoppeld zijn. Maar je krijgt alleen de IBANs van mensen waarvan jij al het 06 nummer hebt..

Bij tikkie offline, maak jij geen geld over naar een IBAN rekening, maar naar een 06 nummer. Vervolgens zoekt Tikkie Offline de IBAN op die daarbij hoort en die werd dus ook publiekelijk getoond..

Ironisch dat Tikkie Pay Offline dan weer wel een online webservice is ;-)
Maar je kan dus bij BUNQ op basis van 06 het BUNQ IBAN nummer vinden. Mits deze als alias is ingesteld.
Waarbij het eerlijk gezegd niet zo duidelijk is dat als je een alias instelt je ook daadwerkelijk je IBAN nummer deelt. Valt mee dus. Gelijk maar even die alias uitgeschakeld
Ik wist dat inderdaad ook niet en bij mij stond de alias ook aan. Ook gelijk mijn bunq.me pagina maar uitgeschakeld aangezien ik mijn wettelijke voornaam+IBAN zie staan bij de transactiebeschrijving via SOFORT
Is onjuist. Alleen mensen die Bunq hebben ( zijn er niet veel) zie je dan. Niet van andere banken, net getest.
En dan nog kan je alleen de IBAN zien van bunqers die expliciet hun telefoonnummer als alias voor hun IBAN hebben ingesteld volgens mij.
Zie je alleen als de andere bunq gebruikt en alias heeft van zijn nummer.
Bunq heeft exact hetzelfde probleem bij de bunq.me/naam betaal links. Kijk maar is op bijvoorbeeld.. bunq.me/jan vul 1 euro in en zodra je klikt op "betalen met ideal" kan je een bank kiezen om mee te betalen en zie je onderaan het Bunq IBAN nummer staan.
Maar wat is het probleem dat je een ander zijn IBAN weet? Dit nummer is toch niet fraudegevoelig? Voor de BSN snap ik het maar IBAN niet helemaal
Niet direct fraude gevoelig, maar het is wel een privacy issue, want de IBAN is direct herleidbaar naar jouw.

Overigens is het wel mogelijk met IBAN en andere persoonlijk gegevens fraude te plegen. Pak een willekeurige naam uit het telefoonboek. Je hebt dan naam (inclusief voorletters, adres en telefoonnnummer). Vervolgens kun je die persoon opzoeken op facebook, linkedin, twitter of andere social media websites om op die manier andere informatie zoals bijvoorbeeld de geboortedatum te achterhalen..

Vervolgens doe jij een bestelling met betaling achteraf (Klarna) en kies ervoor om het pakketje af te halen in de winkel. Uiteraard doe je dat met een vals ID. Vroeger kochten we op deze manier al bier bij de super. Ben vrij zeker dat dat ook werkt bij de service balie, zeker als het een drukke supermarkt betreft..
Misschien een domme vraag, maar wat is het toegevoegde waarde?
In welke situatie zou je een betaalverzoek sturen via 06 zonder dat de betaler jouw iban ziet? Ik snap niet helemaal wat hier het nut van is.
Ik heb klanten actief in de erotiek en tikkie gebruikte voor verkopen slipjes. Met de Iban kan je er toch aardig achter komen op wie zn naam dat allemaal staat.
dus wat is dan de oplossing, jij geeft aan dat ze het bedrag kunnen overmaken naar jouw 06?
Moesten de klanten de goederen ergens ophalen of werd het opgestuurd? In het laatste geval zal je dan naast de naam, ook het woon-/werkadres hebben. Daardoor lijkt het mij niet zo spannend om een naam aan een IBAN te zien in jouw geval.
Dat is het juist. Binnen de erotiek wil je juist discreet/anoniem zijn. Niet iedereen hoeft de NAW van een erotiek ster op televisie te hebben ofzo. Is ook niet wenselijk.
Die sturen gewoon de betaallink, en niet hun 06-nummer, lijkt me.
Dit ging om een functie zonder betaalverzoek. Dus om makkelijk iemand iets terug te betalen waarvan je alleen even het 06 nummer paraat hebt.
dus als ik iemand zijn 06 heb kan ik naar hun overmaken zolang hun tikkie pay geinstalled hebben?
Dat is wat ik er uit opmaak idd, zelf dit nooit gebruikt, alleen de gewone Tikkie
ik ook, daarom mijn verwarring
Ja en daar zie je altijd de volledige gegevens. Dus snapte het ook niet.
Spookfacturen, ik kreeg ze ook. En je moet dan langs je bank kantoor om die tegenrekeningen te laten blokkeren, waarna ze nieuwe tegenrekeningen gaan gebruiken. Gaat flink wat tijd in zitten.
Is dit een antwoord op de vraag of gewoon informatie? word niet erg duidelijk in ieder geval.
Hij vroeg de toegevoegde waarde. De toegevoegde waarde is dat spookfacturen weggaan. Maar true het staat wat cryptisch
bedankt voor de verduidelijking
Als je iets op marktplaats koopt bijvoorbeeld?
Een IBAN nummer kunnen mensen die aan identiteitsffraude doen goed gebruiken!
kan je dit iets duidelijk uitleggen? is dit met of zonder tikke pay beter of slechter?
Door deze bug kon je van een willekeurig iemand waarvan je het telefoonnummer had, de IBAN achterhalen. Jij zou dan nooit weten wie jou IBAN heeft. Zodra een transactie heeft plaatsgevonden weet je natuurlijk wie jou IBAN heeft. En mocht er misbruik van gemaakt worden, dan is er een spoor.
Maar zonder transactie geen spoor, dus heel interessant voor identiteitsfroudeurs.
kijk, dit snap ik dan wel weer! bedankt voor de uitleg
Als ik het goed begrijp kon je dus voor elk willekeurig 06 nummer het bijbehorende IBAN opvragen, dat lijkt me inderdaad niet de bedoeling.
Hoe meer mensen mijn rekeningnummer hebben hoe meer kans dat er iets naar wordt overgemaakt toch ;)
Een rekeningnummer is een vaak gebruikt middel om de identiteit van een persoon te bevestigen bij het telefonisch afsluiten van een verzekering of internet lijn. Hiermee kan dus ook worden gefraudeerd.
Hoewel je gelijk hebt, zegt dat vooral iets over de knulligheid waarmee bedrijven proberen iemand te identificeren. Dit is net als geboortedatum of postcode volledig openbare informatie en is dus vrij onzinnig ter bewijs van identificatie.

Natuurlijk is het een eerste kleine drempel en bij elke beveiliging is er een afweging tussen gemak en veiligheid maar bij misbruik op basis van dit soort identificatie zou een bedrijf nooit schade moeten kunnen claimen.
Wat zou jij als alternatief aan willen dragen? Vingerafdruk of Iris scan, twee veilige methodes, via de telefoon is behoorlijk problematisch.
Wat zou jij als alternatief aan willen dragen?
Voor overheidsdiensten: DigID (burger naar overheid)
https://www.digid.nl/

Voor ondernemingen: e-Herkenning
https://www.eherkenning.nl/ (dus mensen die ondernemingen vertegenwoordigen, zolang ze gerechtigd zijn natuurlijk)

Voor de particuliere sector zouden bedrijven IDIN kunnen gebruiken:
https://www.idin.nl/

En een gerelateerd onderwerp:
De eIDAS-verordening, waarmee nationale identificatiemiddelen in heel Europa gebruikt moeten kunnen worden.
https://www.digitaleoverheid.nl/dossiers/eidas/
Oh nee, geen DigiD. Wanneer je in het buitenland woont is het erg problematisch om er een te krijgen. Voor de rest zal ik het eens goed doorlezen. Dank je!
https://www.rdw.nl/nrd/ni...en-met-digid-vanaf-4-juni
Wat ik hoop is dat dat systeem bruikbaar is zonder dat ik mijn telefoon(-nummer) er voor beschikbaar moet stellen. De koppeling van je smartphone(+alles wat er op staat) aan Digid vind ik uiterst onveilig.
Als ik het goed begrijp moet je via NFC je rijbewijs/ID-gegevens uitlezen. Als dat met een willekeurige NFC-telefoon kan ben ik tevreden. Echte handig lijkt me al dat gedoe niet, maar het voldoet aan mijn veiligheidseis.

Ik heb amper 3 maanden voor 4 juni een nieuw rijbewijs gehad, en daar zat het nog niet op.
Moest ook mijn ID-kaart vernieuwen, maar rijbewijs leek me voorlopig afdoende.
Als dat systeem ook op de ID-kaart komt haal ik er eentje.

[Reactie gewijzigd door Bruin Poeper op 23 januari 2019 15:52]

Heb jij vroeger toen je klein was wel eens een hutje gemaakt waar alleen mensen naar binnen mochten die het wachtwoord kenden?
Dat systeem is helemaal niet zo gek als je bij het aangaan van een overeenkomst ook een sleutelwoord afspreekt. Systeemtechnisch hoeft dat niet moeilijker te zijn dan een extra veldje met het sleutelwoord.

Vodafone stuurt me bij servicecalls overigens een SMS met een code die ik moet teruglezen nadat ik ze al voorzien heb van mijn basis informatie. Vind ik ook al redelijk deftig.

[Reactie gewijzigd door Koffiebarbaar op 23 januari 2019 14:41]

Vingerafdruk of iris scan absolute niet! Als die (software-matig dan he) op staat komen te liggen kan ik die nooit meer wijzigen. Je kunt een pincode afspreken en je daarmee identificeren. Bij american express vragen ze om je pincode (niet die van je pinpas maar eentje die speciaal voor telefonische verificatie dient).
vingerafdruk of iris scan is ook ongewenst. Indien derden in het bezit komen hiervan dan kun je moeilijk andere vingers of een nieuwe iris nemen.

Dna test is in de praktijk op dit moment ook nog niet veilig. Het afnemen van een DNA test kan behoorlijk fout gaan door vervuiling van het DNA materiaal met ander materiaal. En het bovenstaande argument gaat ook hiervoor op: Het is niet mogelijk om ander DNA te nemen indien jouw eigen DNA is "gelekt/gestolen"

Een van de eisen van veilige identificatie: je moet het kunnen resetten (opnieuw aanmaken) indien de "sleutel" in handen komt van derden. (revoke)
In elk geval zou men moeten afstappen van het gebruik van statische gegevens als vorm van verificatie. Daar ligt m.i. het grootste probleem. Zoals @Koffiebarbaar al aangeeft zou een wachtwoord wellicht nog wel het meest geschikt zijn hiervoor. Heel vreemd is dat ook niet, op vrijwel elke website heb je reeds een wachtwoord nodig om in je account te komen. Dat dit via telefoon/webcare (bij o.a. klantenservice) niet nodig is, is op z'n zachtst gezegd best apart.

Verder zou het wat mij betreft goed zijn wanneer de bewijslast bij identiteitsfraude omgekeerd wordt. Nu is het vaak zo dat het slachtoffer moet bewijzen dat hij het niet is. Dat is echter zeer lastig, omdat erbij veel bedrijven enkel geleund wordt op statische gegevens ter verificatie. Wanneer dat het enige is, dan kan je het haast niet bewijzen dat jij het niet bent geweest. Mijns inziens zou een bedrijf dan ook moeten bewijzen dat jij het wél bent geweest.

[Reactie gewijzigd door JKP op 23 januari 2019 15:03]

Een beter alternatief is in de maak; https://www.idin.nl/
iDIN is een dienst van de banken waarmee consumenten zich bij andere organisaties met de veilige en vertrouwde inlogmiddelen van hun eigen bank kunnen:
- identificeren
- inloggen
- leeftijd bevestigen
Omdat jij 1x bij de bank bent geweest met je legitimatiebewijs, durft de bank voor jouw identiteit in te staan naar derden.
Best slim.
Hoe zijn geboortedatum en postcode volledig openbaar dan? Ik heb even gezocht maar kan zo niet vinden hoe dat zo maar te achterhalen is van iemand.
Jouw kennissen en vrienden komen nooit op jouw verjaardag? ;)

Dat soort data is in ieder geval niet geheim en dus niet bruikbaar voor authenticatie.

[Reactie gewijzigd door Olaf van der Spek op 23 januari 2019 14:37]

Dat je niet zomaar even met een Google query informatie van iedereen naar boven kan halen betekend op zich natuurlijk niet dat dat geen publieke informatie is.

Mijn geboortedatum en adres behandel ik niet op eenzelfde manier als wachtwoorden, er zijn honderden mensen die die informatie van me hebben. Zeg maar iedereen met wie ik op enige betekenisvolle manier interactie heb gehad zou die informatie van me kunnen hebben en daarmee dus ook de mensen die die mensen kennen, etc.

Als iemand hier die informatie echt wil zou dat absoluut te achterhalen zijn.

[Reactie gewijzigd door Koffiebarbaar op 23 januari 2019 14:46]

Op facebook kan je veel geboortedatum vinden. En via funda kom je met postcodes ook een eind. Vaak delen die mensen hun huis op hun facebook pagina publiekelijk.
Vraag voor de grap eens koopdata op bij het kadaster.
Dat is dan een heel verkeerde methode...
Mee eens, zelfde als met ons BSN. Eigenlijk zouden we dit soort gegevens gewoon rond moeten kunnen strooien zonder dat er vervolgens iets 'ergs' kan gebeuren.
Naja gebeurd ook wel.. Belastingdienst gebruikt gewoon je BSN als kenmerk van een brief. Stond ik wel even van te kijken hoe makkelijk er met een fraudegevoelig nummer wordt omgaan.
Van iedere ZZPer os het BTW nummer zijn BSN. Dus daar kom je vanzelf achter zodra je een rekening krijgt die je moet betalen. Dat nummer wordt werkelijk rondgestrooid
De KvK strooit nog wel met meer gegevens van ZZPers, zelfs nog tegen betaling ook...
Ja maar dat kun je voorkomen door aan te geven dat ze je gegevens niet mogen verkopen. Dat is altijd al zo geweest alleen vertelden ze dat niet omdat het hun verdienmodel is.
Je BSN is door de belastingdienst volkomen onterecht gekaapt en misbruikt.
Wacht even. Het BSN nummer was oorspronkelijk een sociaal-fiscaal nummer, het sofi-nummer. Juist bedoeld voor de Belastingdienst. Later is het nummer gekaapt door er een BSN van te maken en er onder andere de zorg ed aan te hangen.
Je kunt niet dus zeggen dat de belastingdienst je fiscaal nummer heeft gekaapt. Het is andersom, de overheid heeft je sofi nummer gekaapt en er een BSN van gemaakt.
Sofi-nummer hoeft niet hetzelfde te zijn als je BTW-nummer. Daarom is de belastingdienst nu ook veroordeeld om dat aan te passen. Het is de belastingdienst die een grove fout heeft gemaakt door geheim nummer te gebruiken voor iets dat openbaar moet zijn.
Tenzij er een kleine transactie wordt gedaan van bijvoorbeeld 1 cent met als omschrijving een verificatiecode. Dan kan een bedrijf verifiëren dat de klant eigenaar is van de rekening en dat het nummer klopt.
Het is dan ook hoog tijd dat ze stoppen met het gebruiken van die quasi publieke informatie voor "verificatie". Zeker als je er iemand mee aan een contract of iets dergelijks wil binden.

[Reactie gewijzigd door Koffiebarbaar op 23 januari 2019 14:38]

Vooral de combinatie IBAN + Telefoonnummer plus NAW gegevens ( die makkelijk te achterhalen zijn ). Zegt wellicht ook wat over die telefonische diensten / helpdesks trouwens.

Des vroegers kan je bij ING ook willekeurige namen en rekeningnummers achterhalen op die manier, maar ik ben blij dat men tegenwoordig wat privacy-bewuster is.
Zou die verzekering of internet ook de identiteit van een gebruiker via DigID laten bevestigen?
Dat niet alleen, je kan ook met alleen iemands IBAN online bestellingen doen d.m.v. automatische incasso's.
Het probleem is dat dit een makkelijke manier (was / is) om iemands rekeningnummer te krijgen. Op zich geen probleem maar het is één van de manieren waarop veel bedrijven de telefonische authenticatie doen. Dus behalve naam, geboortedatum en andere waarden zijn er een hoop bedrijven die vragen om de laatste vier cijfers van je rekeningnummer, bijvoorbeeld.

Het wordt phishers en scammers weer wat makkelijker gemaakt.
De oplossing is dan om hetzelfde te doen als wat ik al jarenlang met email-adressen voor bedrijven doe.
Ieder bedrijf krijgt van mij een eigen email-adres waar ze mij op kunnen bereiken.
Krijg ik spam op dat adres, dan weet ik direct wie mijn data verkocht heeft.
Zo kun je natuurlijk ook voor ieder contact in je bank-adresboek een (afgeleid) rekeningnummer gebruiken; de banken moet natuurlijk verplicht worden dit te faciliteren.
Matchen naam bedrijf en rekeningnummer bedrijf en eigen afgeleid nummer niet, wordt de transactie door de bank tegengehouden.

Overigens snap ik niet dat de ABNAMRO veinst privacy serieus te nemen, want bij internetbankieren loopt er mooi altijd een scriptje van omniture mee. In het verleden wilde m'n adresboek zelfs helemaal niet werken als ik omniture, nu overigens van Adobe, in m'n hostfile het zwarte gat (0.0.0.0) instuurde. Omniture, zo mag ik aannemen, had dus minimaal de beschikking over het adresboek van iedere internetbankierklant.

[Reactie gewijzigd door ajolla op 23 januari 2019 15:21]

Dat kan je helemaal niet afleiden uit die situatie.
O, laat ik even geagiteerd reageren:
ga jij goedpraten dat tijdens hoogst persoonlijke en voor fraude vatbare transacties tijdens internetbankieren enkele onvermelde en ongedocumenteerde scripts van gegevensmakelaars meedraaien?
Als mijn adresboek het niet eens deed als ik Omniture, nu van Adobe, blokkeerde, kan jij dan uitleggen waarom dat zo is?
Nee, vertrouwensbreuk.
Je zit te internetbankieren en je bank laat een derde partij met je transacties meekijken en je hebt totaal geen idee wat ze te zien krijgen.
Vind ikzelf nogal lullig.
Jij niet?
Ik krijg anders af en toe spookfacturen, dus zo graag zou ik het niet laten slingeren.
Na het versturen van 1 cent staat het ontvangende rekeningnummer op je bankafschrift... Dus als ze dit fixen, kost het achterhalen me 1 cent, terwijl dat door de bug nu 'gratis' is...
Maar dan weet de ontvanger ook wat jouw IBAN is. Dat is het probleem.
Overigens was het dus ook massaal te misbruiken, voor elk willekeurig 06 nummer. 1 cent overmaken voor 10 duizenden nummers is toch al wat anders, en ook meteen verdacht.
Dat hoeft natuurlijk niet.
Op zich kan ook worden volstaan met het vermelden van de gegevens van de betalings-verwerker, (en dus het rekeningnummer daarvan) met in het opmerkingenveld de doel-rekening, oftewel het gekozen 06-nummer waar de betaling naar toe gestuurd is.
Hoe lang speelt dit al?
Tikkie Pay verscheen in november vorig jaar
Dus vanaf toen denk ik.
Op dit moment test een groep van 500 gebruikers Tikkie Pay. Het is nog onbekend wanneer de app voor alle gebruikers beschikbaar is.

https://nos.nl/artikel/22...mt-met-betaalfunctie.html
Ben blij dat ik de app nooit gebruikt heb. Gewoon een betaalverzoek via de eigen bank (Rabo). Werkt net zo snel en is naar mijn gevoel veel veiliger. Daarnaast, mocht er iets mis mee zijn, dan is mijn eigen bank verantwoordelijk en niet een andere bank. Zo treft mij dus nooit blaam.
Precies dit. Ik heb de hele ' Tikkie hype ' ook mooi overgeslagen. De betaalverzoeken van b.v. Rabobank werken meer dan prima.
Volgens mij is Tikkie Pay dus een andere dienst dan Tikkie.. zijn er ook echt gebruikers van Tikkie Pay? Volgens mij werkt Tikkie wel gewoon prima en al jaren lang actief.
ja het zijn 2 afzonderlijke apps
konden kort het iban van de persoon zien
Waarom heeft de app / het frontend uberhaupt toegang tot IBANs?
Is dit geen fundamentele ontwerpfout?
ja, dit lijkt mij zeer zeker een ontwerpfout

sommige ontwikkelaars/ontwerpers/marketeers zijn zo "eager" om nieuwe dingen te maken dat ze niet eerst van te voren alle risico's inschatten.
Dus nu moet je terugvallen op de oude methode: iemand je IBAN geven om geld over te laten maken? 8)7
Hoe eenvoudiger de app - hoe gevaarlijker. Da's dus de moraal van dit verhaal? Of vergis ik me.
Ik ga in elk geval zo weinig mogelijk toegangen laten open staan - en liefst en al enkel met 2FA of beter/strenger. Liefst van al gewoon blijven werken met dat cijferbakje en de goeie oude kaart in een sleuf steken. Niks draadloos of met NFC. Het feit dat ik die kaart in een gleuf stopt - geeft aan dat ik een contract wil - al de rest vormt GEEN bewijs.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True