ABN Amro haalt Tikkie Pay offline wegens privacylek

ABN Amro heeft de functie Tikkie Pay tijdelijk stopgezet, omdat het mogelijk bleek het iban van gebruikers te achterhalen. De functie maakt overboeken naar contacten op basis van hun 06-nummer mogelijk.

Tikkie Pay-gebuikers die op een contact klikten om een bedrag over te maken, maar net voor de overboeking de transactie annuleerden, konden kort het iban van de persoon zien. Gebruikers konden zo achter de rekeningnummers van al hun contacten komen zonder dat die contacten daar weet van kregen. Dat ontdekte RTL Nieuws.

ABN Amro erkent dat de Tikkie-functie een privacyfout bevat en heeft daarom de dienst offline gehaald. De bank past de functie aan met waarborgen voor de privacy, al is nog niet bekend hoe het bedrijf dit gaat doen.

Tikkie is in 2016 opgezet door ABN Amro, maar werkt ook voor andere banken. Gebruikers kunnen betaalverzoeken aanmaken in de app en deze delen via bijvoorbeeld WhatsApp. Tikkie Pay verscheen in november vorig jaar en de bedoeling was juist dat gebruikers bedragen konden overmaken zonder daarvoor een verzoek te hebben ontvangen en zonder het iban, maar alleen het 06-nummer te kennen.

Reacties (109)

TimDJ 23 januari 2019 14:32

Bunq heeft dan hetzelfde privacy probleem. Als je naar iemands telefoon (uit je telefoon boek) geld probeert over te maken en een naam selecteert zie je daar automatisch een Bunq IBAN nummer (en mogelijk ook andere banken?) bij als deze hierover beschikt. Ik zie in ieder geval IBAN nummers van personen waarvan ik deze nooit heb gebruikt

[Reactie gewijzigd door TimDJ op 22 juli 2024 21:06]

marco208 @TimDJ • 23 januari 2019 15:05

Je ziet geen IBAN's van andere banken, alleen van bunq tenzij je al eerder naar dat IBAN nummer over hebt gemaakt waardoor hij het effectief gewoon opslaat. Tikkie zou je IBAN niet weer moeten geven omdat je de andere persoon misschien helemaal niet kent, zoals een bunq request. Als je het telefoonnummer + naam toch al in je contactenboek hebt staan ken je de andere persoon wel en weet je al om wie het gaat.

TimDJ @marco208 • 23 januari 2019 15:17

Net even nagevraagd aan Bunq. Als jij je telefoonnummer als alias bij bankrekening hebt staan kunnen anderen aan de hand van je telefoon nummer het IBAN nummer zien. Schijnt opt-in te zijn.

Telefoonboek kan ik toch ook willekeurig nummers aan toevoegen?

Voor de duidelijkheid. Ik zie dus IBAN nummers van personen in mijn telefoonboek waar ik nooit geld naar heb overgemaakt.

[Reactie gewijzigd door TimDJ op 22 juli 2024 21:06]

twkr18526 @TimDJ • 23 januari 2019 18:46

Weet je waar ik de opt-in instelling kan vinden voor je twelefoonnummer? Ik zie dat niet zo snel in de app.

Ik kan me sowieso niet herinneren dat dat een bewuste optie was bij het opzetten van een rekening. Het opgeven van een nummer was verplicht.

[Reactie gewijzigd door twkr18526 op 22 juli 2024 21:06]

TimDJ @twkr18526 • 23 januari 2019 18:54

Op je rekening nummer naar instellingen en dan aliassen. Even elk rekening nummer langslopende.

WhatsappHack

Privacy
Beveiliging en antivirus

@TimDJ • 23 januari 2019 16:11

Dunno of dat opt-in is, kan me herinneren dat ik dat zelf uit heb moeten zetten...

Voor mensen die ‘t willen checken:
Tik op je rekening, instellingen, Aliassen. Is blijkbaar geen globale optie voor om uit/aan te zetten.

freedzed6 @TimDJ • 23 januari 2019 23:35

Er schijnen een paar dikke boeken te bestaan met alle namen en telefoonnummers van alle Nederlanders erin.

Kan toch niet die privacy?!

TimDJ @marco208 • 23 januari 2019 15:20

Er is net door iemand anders nog een privacy issue met Bunq gevonden. Als je een share url hebt dan kun je Iban nummer ook opvragen zie: https://together.bunq.com...shares-iban-before-paying

RobbyTown

@TimDJ • 23 januari 2019 19:32

Bunq.me is een veel groter lek dan Tikkie.

Met bunq.me/jan of bunq.me/kees vult een bedrag in en ziet de IBAN maar dan je zie ook nog een foto. Even google foto vergelijk/zoeken en hoppa. Facebook/insta profiel. Naam, geboortedatum, woonplaats met beetje geluk 06 erbij je hebt een compleet profiel.

[Reactie gewijzigd door RobbyTown op 22 juli 2024 21:06]

lordawesome @TimDJ • 23 januari 2019 14:48

Bunq wordt ook veel door oplichters op Marktplaats gebruikt. Je kunt daar veel tijdelijke bankrekeningnummers krijgen voor een klein maandbedrag.

Tweakubi @lordawesome • 23 januari 2019 14:54

Hoe is dit mogelijk dan? Moet je niet BSN, NAW gegevens etc opgeven bij het aanvragen van een rekening?

m8ZBm1Si @Tweakubi • 23 januari 2019 14:57

Die hebben ze al. En Bunq zal sowieso ook als bank het betalingsverkeer op moeten slaan per bankrekeningnummer. Dat het dus door oplichters gebruikt wordt om snel tijdelijk bankrekeningnummers te krijgen lijkt mij dus onwaarschijnlijk (en is een vrij grote claim van nzweers). Dat ze het misschien met een ander account of andere persoonsgegevens doen is wel mogelijk.

Mmore @m8ZBm1Si • 23 januari 2019 15:07

Vermoed dat dit gedaan wordt om de check op bekende rekeningnummers bij oplichting te vermijden, denk hierbij bijvoorbeeld aan de check op de website van de politie en het opgelicht forum van tros/AVRO. Zo kunnen ze 1 hoofdbankrekening een langere tijd blijven gebruiken zonder dat dit snel opvalt. Bunq zal het op een gegeven moment wel doorhebben en aan elkaar kunnen knopen ja.

LOTG @Tweakubi • 23 januari 2019 15:05

Je bedoelt die gegevens die je praktisch kun kopen bij de KVK?

Geen idee of het waar is, maar ik denk dat het inderdaad wel mogelijk is. Mogelijk dat je nog DigiD moet gebruiken, dat zou het wat lastiger maken.

KeRsTmAnNeKe @lordawesome • 23 januari 2019 16:38

Dacht dat het iets anders was, soort verzamelnummer, waarna geld naar de juiste rekening doorgestuurd word. Vriendin heeft laatst helaas zoiets meegemaakt.

vooviro @lordawesome • 24 januari 2019 11:28

Ik kan je toch echt tegenspreken hier in, bunq heeft sinds het begin al dat wanneer je een rekening wil openen meerdere verificatie systemen, waaronder, ID kaart/paspoort controle, maar ook een video die je moet opnemen met willekeurige instructie en getallen die je hard op moet opnoemen, dit om te bevestigen dat jij jij bent middels jou ID kaart.

Mocht dit gebeuren is het een heel koud kunstje ook voor bunq om te weten wie de oplichter is, dat je meerdere rekeningen aan kan maken bij bunq betekend niet dat het vrijspel is voor oplichters.

en dan nog een ander puntje waar je fout mee bent, die "tijdelijke" rekeningen zijn niet tijdelijk, je kan er 25 openen, en elke van die 25 al sluit je die, telt op bij de 25, je kan dus nooit MEER dan 25 openen door oude te sluiten.

Bunq heeft echt wel goed nagedacht over het systeem voordat ze hiermee begonnen, je kan je ook wel beseffen dat ze bij banken mensen aannemen die niet dom zijn.

Niemand_Anders @TimDJ • 23 januari 2019 15:30

Bij Bunq staan de IBANs alleen in JOUW adresboek. Wel is het zo dat Bunq inderdaad IBAN kan syncen met andere Bunq accounts als zij via een groepsrekening gekoppeld zijn. Maar je krijgt alleen de IBANs van mensen waarvan jij al het 06 nummer hebt..

Bij tikkie offline, maak jij geen geld over naar een IBAN rekening, maar naar een 06 nummer. Vervolgens zoekt Tikkie Offline de IBAN op die daarbij hoort en die werd dus ook publiekelijk getoond..

Ironisch dat Tikkie Pay Offline dan weer wel een online webservice is ;-)

TimDJ @Niemand_Anders • 23 januari 2019 15:34

Maar je kan dus bij BUNQ op basis van 06 het BUNQ IBAN nummer vinden. Mits deze als alias is ingesteld.
Waarbij het eerlijk gezegd niet zo duidelijk is dat als je een alias instelt je ook daadwerkelijk je IBAN nummer deelt. Valt mee dus. Gelijk maar even die alias uitgeschakeld

PR3M1UM @TimDJ • 23 januari 2019 20:21

Ik wist dat inderdaad ook niet en bij mij stond de alias ook aan. Ook gelijk mijn bunq.me pagina maar uitgeschakeld aangezien ik mijn wettelijke voornaam+IBAN zie staan bij de transactiebeschrijving via SOFORT

Verwijderd @TimDJ • 23 januari 2019 15:13

Is onjuist. Alleen mensen die Bunq hebben ( zijn er niet veel) zie je dan. Niet van andere banken, net getest.

pbruins84 @Verwijderd • 23 januari 2019 15:18

En dan nog kan je alleen de IBAN zien van bunqers die expliciet hun telefoonnummer als alias voor hun IBAN hebben ingesteld volgens mij.

tailfox @TimDJ • 23 januari 2019 15:52

Zie je alleen als de andere bunq gebruikt en alias heeft van zijn nummer.

cruzpedrosa @TimDJ • 23 januari 2019 17:07

Bunq heeft exact hetzelfde probleem bij de bunq.me/naam betaal links. Kijk maar is op bijvoorbeeld.. bunq.me/jan vul 1 euro in en zodra je klikt op "betalen met ideal" kan je een bank kiezen om mee te betalen en zie je onderaan het Bunq IBAN nummer staan.

Genius-General @TimDJ • 23 januari 2019 17:40

Maar wat is het probleem dat je een ander zijn IBAN weet? Dit nummer is toch niet fraudegevoelig? Voor de BSN snap ik het maar IBAN niet helemaal

Niemand_Anders @Genius-General • 24 januari 2019 10:09

Niet direct fraude gevoelig, maar het is wel een privacy issue, want de IBAN is direct herleidbaar naar jouw.

Overigens is het wel mogelijk met IBAN en andere persoonlijk gegevens fraude te plegen. Pak een willekeurige naam uit het telefoonboek. Je hebt dan naam (inclusief voorletters, adres en telefoonnnummer). Vervolgens kun je die persoon opzoeken op facebook, linkedin, twitter of andere social media websites om op die manier andere informatie zoals bijvoorbeeld de geboortedatum te achterhalen..

Vervolgens doe jij een bestelling met betaling achteraf (Klarna) en kies ervoor om het pakketje af te halen in de winkel. Uiteraard doe je dat met een vals ID. Vroeger kochten we op deze manier al bier bij de super. Ben vrij zeker dat dat ook werkt bij de service balie, zeker als het een drukke supermarkt betreft..

Verwijderd 23 januari 2019 14:19

Misschien een domme vraag, maar wat is het toegevoegde waarde?
In welke situatie zou je een betaalverzoek sturen via 06 zonder dat de betaler jouw iban ziet? Ik snap niet helemaal wat hier het nut van is.

Verwijderd @Verwijderd • 23 januari 2019 14:34

Ik heb klanten actief in de erotiek en tikkie gebruikte voor verkopen slipjes. Met de Iban kan je er toch aardig achter komen op wie zn naam dat allemaal staat.

Verwijderd @Verwijderd • 23 januari 2019 14:44

dus wat is dan de oplossing, jij geeft aan dat ze het bedrag kunnen overmaken naar jouw 06?

Kiswum @Verwijderd • 23 januari 2019 14:48

Moesten de klanten de goederen ergens ophalen of werd het opgestuurd? In het laatste geval zal je dan naast de naam, ook het woon-/werkadres hebben. Daardoor lijkt het mij niet zo spannend om een naam aan een IBAN te zien in jouw geval.

Verwijderd @Kiswum • 23 januari 2019 15:00

Dat is het juist. Binnen de erotiek wil je juist discreet/anoniem zijn. Niet iedereen hoeft de NAW van een erotiek ster op televisie te hebben ofzo. Is ook niet wenselijk.

frickY @Verwijderd • 23 januari 2019 15:18

Die sturen gewoon de betaallink, en niet hun 06-nummer, lijkt me.

Blamm @Verwijderd • 23 januari 2019 14:23

Dit ging om een functie zonder betaalverzoek. Dus om makkelijk iemand iets terug te betalen waarvan je alleen even het 06 nummer paraat hebt.

Verwijderd @Blamm • 23 januari 2019 14:43

dus als ik iemand zijn 06 heb kan ik naar hun overmaken zolang hun tikkie pay geinstalled hebben?

Blamm @Verwijderd • 23 januari 2019 14:44

Dat is wat ik er uit opmaak idd, zelf dit nooit gebruikt, alleen de gewone Tikkie

Verwijderd @Blamm • 23 januari 2019 14:45

ik ook, daarom mijn verwarring

icecreamfarmer @Blamm • 23 januari 2019 15:03

Ja en daar zie je altijd de volledige gegevens. Dus snapte het ook niet.

Verwijderd @Verwijderd • 23 januari 2019 14:24

Spookfacturen, ik kreeg ze ook. En je moet dan langs je bank kantoor om die tegenrekeningen te laten blokkeren, waarna ze nieuwe tegenrekeningen gaan gebruiken. Gaat flink wat tijd in zitten.

Verwijderd @Verwijderd • 23 januari 2019 14:44

Is dit een antwoord op de vraag of gewoon informatie? word niet erg duidelijk in ieder geval.

Verwijderd @Verwijderd • 23 januari 2019 16:41

Hij vroeg de toegevoegde waarde. De toegevoegde waarde is dat spookfacturen weggaan. Maar true het staat wat cryptisch

Verwijderd @Verwijderd • 24 januari 2019 09:43

bedankt voor de verduidelijking

gjmi @Verwijderd • 23 januari 2019 14:27

Als je iets op marktplaats koopt bijvoorbeeld?
Een IBAN nummer kunnen mensen die aan identiteitsffraude doen goed gebruiken!

Verwijderd @gjmi • 23 januari 2019 14:45

kan je dit iets duidelijk uitleggen? is dit met of zonder tikke pay beter of slechter?

gjmi @Verwijderd • 23 januari 2019 15:43

Door deze bug kon je van een willekeurig iemand waarvan je het telefoonnummer had, de IBAN achterhalen. Jij zou dan nooit weten wie jou IBAN heeft. Zodra een transactie heeft plaatsgevonden weet je natuurlijk wie jou IBAN heeft. En mocht er misbruik van gemaakt worden, dan is er een spoor.
Maar zonder transactie geen spoor, dus heel interessant voor identiteitsfroudeurs.

Verwijderd @gjmi • 24 januari 2019 09:43

kijk, dit snap ik dan wel weer! bedankt voor de uitleg

Adhati @Verwijderd • 23 januari 2019 14:24

Als ik het goed begrijp kon je dus voor elk willekeurig 06 nummer het bijbehorende IBAN opvragen, dat lijkt me inderdaad niet de bedoeling.

Deedlesx 23 januari 2019 14:18

Hoe meer mensen mijn rekeningnummer hebben hoe meer kans dat er iets naar wordt overgemaakt toch

neonite @Deedlesx • 23 januari 2019 14:22

Een rekeningnummer is een vaak gebruikt middel om de identiteit van een persoon te bevestigen bij het telefonisch afsluiten van een verzekering of internet lijn. Hiermee kan dus ook worden gefraudeerd.

emnich @neonite • 23 januari 2019 14:28

Hoewel je gelijk hebt, zegt dat vooral iets over de knulligheid waarmee bedrijven proberen iemand te identificeren. Dit is net als geboortedatum of postcode volledig openbare informatie en is dus vrij onzinnig ter bewijs van identificatie.

Natuurlijk is het een eerste kleine drempel en bij elke beveiliging is er een afweging tussen gemak en veiligheid maar bij misbruik op basis van dit soort identificatie zou een bedrijf nooit schade moeten kunnen claimen.

pepsiblik @emnich • 23 januari 2019 14:33

Wat zou jij als alternatief aan willen dragen? Vingerafdruk of Iris scan, twee veilige methodes, via de telefoon is behoorlijk problematisch.

menke @pepsiblik • 23 januari 2019 15:07

Wat zou jij als alternatief aan willen dragen?

Voor overheidsdiensten: DigID (burger naar overheid)
https://www.digid.nl/

Voor ondernemingen: e-Herkenning
https://www.eherkenning.nl/ (dus mensen die ondernemingen vertegenwoordigen, zolang ze gerechtigd zijn natuurlijk)

Voor de particuliere sector zouden bedrijven IDIN kunnen gebruiken:
https://www.idin.nl/

En een gerelateerd onderwerp:
De eIDAS-verordening, waarmee nationale identificatiemiddelen in heel Europa gebruikt moeten kunnen worden.
https://www.digitaleoverheid.nl/dossiers/eidas/

pepsiblik @menke • 23 januari 2019 15:17

Oh nee, geen DigiD. Wanneer je in het buitenland woont is het erg problematisch om er een te krijgen. Voor de rest zal ik het eens goed doorlezen. Dank je!

Bruin Poeper @menke • 23 januari 2019 15:48

https://www.rdw.nl/nrd/ni...en-met-digid-vanaf-4-juni
Wat ik hoop is dat dat systeem bruikbaar is zonder dat ik mijn telefoon(-nummer) er voor beschikbaar moet stellen. De koppeling van je smartphone(+alles wat er op staat) aan Digid vind ik uiterst onveilig.
Als ik het goed begrijp moet je via NFC je rijbewijs/ID-gegevens uitlezen. Als dat met een willekeurige NFC-telefoon kan ben ik tevreden. Echte handig lijkt me al dat gedoe niet, maar het voldoet aan mijn veiligheidseis.

Ik heb amper 3 maanden voor 4 juni een nieuw rijbewijs gehad, en daar zat het nog niet op.
Moest ook mijn ID-kaart vernieuwen, maar rijbewijs leek me voorlopig afdoende.
Als dat systeem ook op de ID-kaart komt haal ik er eentje.

[Reactie gewijzigd door Bruin Poeper op 22 juli 2024 21:06]

Olaf van der Spek @pepsiblik • 23 januari 2019 14:36

DNA test?

Verwijderd @pepsiblik • 23 januari 2019 14:40

Heb jij vroeger toen je klein was wel eens een hutje gemaakt waar alleen mensen naar binnen mochten die het wachtwoord kenden?
Dat systeem is helemaal niet zo gek als je bij het aangaan van een overeenkomst ook een sleutelwoord afspreekt. Systeemtechnisch hoeft dat niet moeilijker te zijn dan een extra veldje met het sleutelwoord.

Vodafone stuurt me bij servicecalls overigens een SMS met een code die ik moet teruglezen nadat ik ze al voorzien heb van mijn basis informatie. Vind ik ook al redelijk deftig.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:06]

rneeft

@pepsiblik • 23 januari 2019 14:42

Vingerafdruk of iris scan absolute niet! Als die (software-matig dan he) op staat komen te liggen kan ik die nooit meer wijzigen. Je kunt een pincode afspreken en je daarmee identificeren. Bij american express vragen ze om je pincode (niet die van je pinpas maar eentje die speciaal voor telefonische verificatie dient).

veltnet @pepsiblik • 23 januari 2019 14:47

vingerafdruk of iris scan is ook ongewenst. Indien derden in het bezit komen hiervan dan kun je moeilijk andere vingers of een nieuwe iris nemen.

Dna test is in de praktijk op dit moment ook nog niet veilig. Het afnemen van een DNA test kan behoorlijk fout gaan door vervuiling van het DNA materiaal met ander materiaal. En het bovenstaande argument gaat ook hiervoor op: Het is niet mogelijk om ander DNA te nemen indien jouw eigen DNA is "gelekt/gestolen"

Een van de eisen van veilige identificatie: je moet het kunnen resetten (opnieuw aanmaken) indien de "sleutel" in handen komt van derden. (revoke)

JKP @pepsiblik • 23 januari 2019 14:57

In elk geval zou men moeten afstappen van het gebruik van statische gegevens als vorm van verificatie. Daar ligt m.i. het grootste probleem. Zoals @Verwijderd al aangeeft zou een wachtwoord wellicht nog wel het meest geschikt zijn hiervoor. Heel vreemd is dat ook niet, op vrijwel elke website heb je reeds een wachtwoord nodig om in je account te komen. Dat dit via telefoon/webcare (bij o.a. klantenservice) niet nodig is, is op z'n zachtst gezegd best apart.

Verder zou het wat mij betreft goed zijn wanneer de bewijslast bij identiteitsfraude omgekeerd wordt. Nu is het vaak zo dat het slachtoffer moet bewijzen dat hij het niet is. Dat is echter zeer lastig, omdat erbij veel bedrijven enkel geleund wordt op statische gegevens ter verificatie. Wanneer dat het enige is, dan kan je het haast niet bewijzen dat jij het niet bent geweest. Mijns inziens zou een bedrijf dan ook moeten bewijzen dat jij het wél bent geweest.

[Reactie gewijzigd door JKP op 22 juli 2024 21:06]

frickY @pepsiblik • 23 januari 2019 15:16

Een beter alternatief is in de maak; https://www.idin.nl/

iDIN is een dienst van de banken waarmee consumenten zich bij andere organisaties met de veilige en vertrouwde inlogmiddelen van hun eigen bank kunnen:
- identificeren
- inloggen
- leeftijd bevestigen

Omdat jij 1x bij de bank bent geweest met je legitimatiebewijs, durft de bank voor jouw identiteit in te staan naar derden.
Best slim.

Devalno @emnich • 23 januari 2019 14:34

Hoe zijn geboortedatum en postcode volledig openbaar dan? Ik heb even gezocht maar kan zo niet vinden hoe dat zo maar te achterhalen is van iemand.

Olaf van der Spek @Devalno • 23 januari 2019 14:36

Jouw kennissen en vrienden komen nooit op jouw verjaardag?

Dat soort data is in ieder geval niet geheim en dus niet bruikbaar voor authenticatie.

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 21:06]

Verwijderd @Devalno • 23 januari 2019 14:43

Dat je niet zomaar even met een Google query informatie van iedereen naar boven kan halen betekend op zich natuurlijk niet dat dat geen publieke informatie is.

Mijn geboortedatum en adres behandel ik niet op eenzelfde manier als wachtwoorden, er zijn honderden mensen die die informatie van me hebben. Zeg maar iedereen met wie ik op enige betekenisvolle manier interactie heb gehad zou die informatie van me kunnen hebben en daarmee dus ook de mensen die die mensen kennen, etc.

Als iemand hier die informatie echt wil zou dat absoluut te achterhalen zijn.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:06]

rneeft

@Devalno • 23 januari 2019 14:44

Op facebook kan je veel geboortedatum vinden. En via funda kom je met postcodes ook een eind. Vaak delen die mensen hun huis op hun facebook pagina publiekelijk.

Josk79 @Devalno • 23 januari 2019 14:59

Vraag voor de grap eens koopdata op bij het kadaster.

mrdemc @neonite • 23 januari 2019 14:24

Dat is dan een heel verkeerde methode...

joeri1

@mrdemc • 23 januari 2019 14:29

Mee eens, zelfde als met ons BSN. Eigenlijk zouden we dit soort gegevens gewoon rond moeten kunnen strooien zonder dat er vervolgens iets 'ergs' kan gebeuren.

SpeedfreakR @joeri1 • 23 januari 2019 14:33

Naja gebeurd ook wel.. Belastingdienst gebruikt gewoon je BSN als kenmerk van een brief. Stond ik wel even van te kijken hoe makkelijk er met een fraudegevoelig nummer wordt omgaan.

Ortep

@SpeedfreakR • 23 januari 2019 14:37

Van iedere ZZPer os het BTW nummer zijn BSN. Dus daar kom je vanzelf achter zodra je een rekening krijgt die je moet betalen. Dat nummer wordt werkelijk rondgestrooid

PageFault @Ortep • 23 januari 2019 14:52

De KvK strooit nog wel met meer gegevens van ZZPers, zelfs nog tegen betaling ook...

AibohphobiA BoB

@PageFault • 23 januari 2019 16:04

Ja maar dat kun je voorkomen door aan te geven dat ze je gegevens niet mogen verkopen. Dat is altijd al zo geweest alleen vertelden ze dat niet omdat het hun verdienmodel is.
Je BSN is door de belastingdienst volkomen onterecht gekaapt en misbruikt.

valkenier @AibohphobiA BoB • 23 januari 2019 16:45

Wacht even. Het BSN nummer was oorspronkelijk een sociaal-fiscaal nummer, het sofi-nummer. Juist bedoeld voor de Belastingdienst. Later is het nummer gekaapt door er een BSN van te maken en er onder andere de zorg ed aan te hangen.
Je kunt niet dus zeggen dat de belastingdienst je fiscaal nummer heeft gekaapt. Het is andersom, de overheid heeft je sofi nummer gekaapt en er een BSN van gemaakt.

AibohphobiA BoB

@valkenier • 24 januari 2019 10:51

Sofi-nummer hoeft niet hetzelfde te zijn als je BTW-nummer. Daarom is de belastingdienst nu ook veroordeeld om dat aan te passen. Het is de belastingdienst die een grove fout heeft gemaakt door geheim nummer te gebruiken voor iets dat openbaar moet zijn.

Tyrian @mrdemc • 23 januari 2019 15:13

Tenzij er een kleine transactie wordt gedaan van bijvoorbeeld 1 cent met als omschrijving een verificatiecode. Dan kan een bedrijf verifiëren dat de klant eigenaar is van de rekening en dat het nummer klopt.

Verwijderd @neonite • 23 januari 2019 14:36

Het is dan ook hoog tijd dat ze stoppen met het gebruiken van die quasi publieke informatie voor "verificatie". Zeker als je er iemand mee aan een contract of iets dergelijks wil binden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:06]

Basszje @neonite • 23 januari 2019 14:37

Vooral de combinatie IBAN + Telefoonnummer plus NAW gegevens ( die makkelijk te achterhalen zijn ). Zegt wellicht ook wat over die telefonische diensten / helpdesks trouwens.

Des vroegers kan je bij ING ook willekeurige namen en rekeningnummers achterhalen op die manier, maar ik ben blij dat men tegenwoordig wat privacy-bewuster is.

YopY @neonite • 23 januari 2019 14:38

Zou die verzekering of internet ook de identiteit van een gebruiker via DigID laten bevestigen?

Sokoo @neonite • 23 januari 2019 14:39

Dat niet alleen, je kan ook met alleen iemands IBAN online bestellingen doen d.m.v. automatische incasso's.

Verwijderd @Deedlesx • 23 januari 2019 14:25

Het probleem is dat dit een makkelijke manier (was / is) om iemands rekeningnummer te krijgen. Op zich geen probleem maar het is één van de manieren waarop veel bedrijven de telefonische authenticatie doen. Dus behalve naam, geboortedatum en andere waarden zijn er een hoop bedrijven die vragen om de laatste vier cijfers van je rekeningnummer, bijvoorbeeld.

Het wordt phishers en scammers weer wat makkelijker gemaakt.

ajolla @Verwijderd • 23 januari 2019 15:17

De oplossing is dan om hetzelfde te doen als wat ik al jarenlang met email-adressen voor bedrijven doe.
Ieder bedrijf krijgt van mij een eigen email-adres waar ze mij op kunnen bereiken.
Krijg ik spam op dat adres, dan weet ik direct wie mijn data verkocht heeft.
Zo kun je natuurlijk ook voor ieder contact in je bank-adresboek een (afgeleid) rekeningnummer gebruiken; de banken moet natuurlijk verplicht worden dit te faciliteren.
Matchen naam bedrijf en rekeningnummer bedrijf en eigen afgeleid nummer niet, wordt de transactie door de bank tegengehouden.

Overigens snap ik niet dat de ABNAMRO veinst privacy serieus te nemen, want bij internetbankieren loopt er mooi altijd een scriptje van omniture mee. In het verleden wilde m'n adresboek zelfs helemaal niet werken als ik omniture, nu overigens van Adobe, in m'n hostfile het zwarte gat (0.0.0.0) instuurde. Omniture, zo mag ik aannemen, had dus minimaal de beschikking over het adresboek van iedere internetbankierklant.

[Reactie gewijzigd door ajolla op 22 juli 2024 21:06]

Verwijderd @ajolla • 23 januari 2019 15:55

Dat kan je helemaal niet afleiden uit die situatie.

ajolla @Verwijderd • 23 januari 2019 16:57

O, laat ik even geagiteerd reageren:
ga jij goedpraten dat tijdens hoogst persoonlijke en voor fraude vatbare transacties tijdens internetbankieren enkele onvermelde en ongedocumenteerde scripts van gegevensmakelaars meedraaien?
Als mijn adresboek het niet eens deed als ik Omniture, nu van Adobe, blokkeerde, kan jij dan uitleggen waarom dat zo is?

ajolla @Verwijderd • 24 januari 2019 04:20

Nee, vertrouwensbreuk.
Je zit te internetbankieren en je bank laat een derde partij met je transacties meekijken en je hebt totaal geen idee wat ze te zien krijgen.
Vind ikzelf nogal lullig.
Jij niet?

Verwijderd @Deedlesx • 23 januari 2019 14:23

Ik krijg anders af en toe spookfacturen, dus zo graag zou ik het niet laten slingeren.

Hoogie2004 23 januari 2019 14:23

Na het versturen van 1 cent staat het ontvangende rekeningnummer op je bankafschrift... Dus als ze dit fixen, kost het achterhalen me 1 cent, terwijl dat door de bug nu 'gratis' is...

Adhati @Hoogie2004 • 23 januari 2019 14:27

Maar dan weet de ontvanger ook wat jouw IBAN is. Dat is het probleem.
Overigens was het dus ook massaal te misbruiken, voor elk willekeurig 06 nummer. 1 cent overmaken voor 10 duizenden nummers is toch al wat anders, en ook meteen verdacht.

Verwijderd @Hoogie2004 • 23 januari 2019 15:11

Dat hoeft natuurlijk niet.
Op zich kan ook worden volstaan met het vermelden van de gegevens van de betalings-verwerker, (en dus het rekeningnummer daarvan) met in het opmerkingenveld de doel-rekening, oftewel het gekozen 06-nummer waar de betaling naar toe gestuurd is.

RoelDozer 23 januari 2019 14:18

Hoe lang speelt dit al?

Pazo

@RoelDozer • 23 januari 2019 14:20

Tikkie Pay verscheen in november vorig jaar
Dus vanaf toen denk ik.

davides @Pazo • 23 januari 2019 15:01

Op dit moment test een groep van 500 gebruikers Tikkie Pay. Het is nog onbekend wanneer de app voor alle gebruikers beschikbaar is.

https://nos.nl/artikel/22...mt-met-betaalfunctie.html

KoploperMau 23 januari 2019 14:25

Ben blij dat ik de app nooit gebruikt heb. Gewoon een betaalverzoek via de eigen bank (Rabo). Werkt net zo snel en is naar mijn gevoel veel veiliger. Daarnaast, mocht er iets mis mee zijn, dan is mijn eigen bank verantwoordelijk en niet een andere bank. Zo treft mij dus nooit blaam.

Adhati @KoploperMau • 23 januari 2019 14:28

Precies dit. Ik heb de hele ' Tikkie hype ' ook mooi overgeslagen. De betaalverzoeken van b.v. Rabobank werken meer dan prima.

MMaster23 23 januari 2019 14:25

Volgens mij is Tikkie Pay dus een andere dienst dan Tikkie.. zijn er ook echt gebruikers van Tikkie Pay? Volgens mij werkt Tikkie wel gewoon prima en al jaren lang actief.

Verwijderd @MMaster23 • 23 januari 2019 14:45

ja het zijn 2 afzonderlijke apps

Olaf van der Spek 23 januari 2019 14:38

konden kort het iban van de persoon zien

Waarom heeft de app / het frontend uberhaupt toegang tot IBANs?
Is dit geen fundamentele ontwerpfout?

veltnet @Olaf van der Spek • 23 januari 2019 14:58

ja, dit lijkt mij zeer zeker een ontwerpfout

sommige ontwikkelaars/ontwerpers/marketeers zijn zo "eager" om nieuwe dingen te maken dat ze niet eerst van te voren alle risico's inschatten.

rewind. 23 januari 2019 14:43

Dus nu moet je terugvallen op de oude methode: iemand je IBAN geven om geld over te laten maken?

mutley69 23 januari 2019 19:42

Hoe eenvoudiger de app - hoe gevaarlijker. Da's dus de moraal van dit verhaal? Of vergis ik me.
Ik ga in elk geval zo weinig mogelijk toegangen laten open staan - en liefst en al enkel met 2FA of beter/strenger. Liefst van al gewoon blijven werken met dat cijferbakje en de goeie oude kaart in een sleuf steken. Niks draadloos of met NFC. Het feit dat ik die kaart in een gleuf stopt - geeft aan dat ik een contract wil - al de rest vormt GEEN bewijs.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (109)

Sorteer op:

Weergave: