Online bank Revolut is getroffen door hack, gegevens van 50.000 klanten gestolen

Bij een hack van de Litouwse online bank Revolut zijn er gegevens gestolen van 50.000 klanten. Minder dan de helft van de getroffen klanten, bijna 21.000, zijn gevestigd in de Europese Economische Ruimte (EER). Hoeveel klanten in de Benelux zijn getroffen door de hack, is nog niet bekendgemaakt.

De aanval vond op 11 september plaats, was van korte duur en werd snel tegengehouden door de bank. Toch wist de aanvaller toegang te krijgen tot de gegevens van 50.150 klanten, schrijft de Litouwse gegevensbeschermingsautoriteit VDAI vrijdag. Van die klanten zijn 20.687 gevestigd in de EER. Hoe de aanval heeft kunnen gebeuren, is nog niet bekendgemaakt. Er loopt nog een onderzoek naar de hack.

De inbreker heeft onder andere namen, adressen, e-mailadressen, telefoonnummers, een deel van de betaalkaartgegevens en rekeninggegevens buitgemaakt. Er is geen geld gestolen tijdens de aanval, zegt een woordvoerder van Revolut tegen BleepingComputer. Ook zegt de bank dat er geen pincodes of wachtwoorden zijn ingezien. De getroffen klanten zijn inmiddels door de bank op de hoogte gesteld via een e-mail, die gedeeld is door een Revolut-klant via Reddit. Daarin raadt de bank klanten aan om op hun hoede te zijn voor verdachte berichten die bijvoorbeeld om wachtwoorden vragen.

Revolut is opgericht in 2015. De online bank heeft 20 miljoen klanten wereldwijd en is sinds 2017 actief in Nederland en België, maar heeft pas sinds vorig jaar een bankvergunning in deze landen.

IT-banen

Reacties (136)

nDust 21 september 2022 11:04

Revolut is niet Litouws maar Brits, de EU-tak van de bank is enkel gevestigd in Litouwen als gevolg van Brexit.

Antenne Bayern 20 september 2022 14:13

ik zit bij deze bank Revolut .. wat kun je eigenlijk nu doen tegen je gegevens die nu rond dwalen..?

Triblade_8472 @Antenne Bayern • 20 september 2022 14:23

Niks klopt.

Je kan waakzaam zijn op berichten die je ontvangt van mensen die je gegevens misbruiken om als echt op je over te komen.

Maar goed, die waakzaamheid is altijd goed.

De meeste van deze gegevens worden vaak elders ook al gehacked dus zo heel bijzonder is het niet.

Betaalkaart- en rekeninggegevens zijn war ongebruikelijke. Let dus op als je bericht krijgt dat je kaartnummer xxx gaat verlopen en op linkjes moet klikken. Controleer altijd linkjes waar ze naar linken!!

Juliuth @Triblade_8472 • 20 september 2022 15:25

Let dus op als je bericht krijgt dat je kaartnummer xxx gaat verlopen en op linkjes moet klikken. Controleer altijd linkjes waar ze naar linken!!

Of klik gewoon nooit op links in je email? Krijg je zo'n bericht, log dan gewoon zelf in op de website waar je zogenaamd bericht van hebt gehad.

Triblade_8472 @Juliuth • 20 september 2022 19:16

Eens, maar het leven werkt niet helemaal zo helaas.

xoniq @Triblade_8472 • 21 september 2022 09:24

Eigenlijk wel, het is een keuze om voor de makkelijkste weg te gaan.

Zo zal ik nooit bij crypto of bank mailtjes via een linkje ergens heen klikken. Maar altijd via de bestaande app of site zelf. Dat is een keuze om het iets omslachtiger te doen, als je daarmee je veiligheid garandeert.

Jeroen_HD @Antenne Bayern • 20 september 2022 14:22

ik zit bij deze bank Revolut .. wat kun je eigenlijk nu doen tegen je gegevens die nu rond dwalen..?

Ik zou persoonlijk al wel een aangifte doen bij de politie. Moest er dan toch iets mislopen omdat je gegevens door een 3rde partij gebruikt worden heb je het toch al een preventieve stap genomen.

Tintel

Economie en maatschappij

@Jeroen_HD • 20 september 2022 14:29

Hoe is dat preventief? Zeggen dat je de poltiie hebt ingelicht is 1 ding, bewijzen dat je dit hebt gedaan is 2. Of geeft de poltiie een bevestiging af? En zo ja - is deze gewaarmerkt?

Want ik voorspel dat de politie hier letterlijk weinig mee gaat doen.

Keyb @Tintel • 20 september 2022 14:43

Van een aangifte krijg je altijd bewijs mee hoor? Verzekeringsmaatschappijen verplichten je ook aangifte te doen bij bepaalde zaken. Dus ja de politie geeft altijd een bevestiging af in geval van aangifte.

teek2

@Keyb • 20 september 2022 16:19

Precies, ik denk dat het wel verstandig is, zeker als formaliteit voor 1 of andere rechtzaak (nee ik heb die auto niet gehuurd en in de prak gereden, zie hier bewijs van mijn aangifte van het stelen van persoonsgegevens) of verzekering.

Jeroen_HD @Tintel • 20 september 2022 14:41

Preventief was een slechte woordkeuze van mij. Als je hiermee vandaag mee naar de politie zou gaan heb je toch al stap 1 gedaan alvorens er mogelijks iets met je gegevens zou gebeuren.
Normaal gesproken krijg je toch al een dossiernummer/PV naarwaar je kan verwijzen moest je merken dat er een 3de partij gebruik maakt van je gelekte gegevens.

Gaat dit veel uithalen? Neen, waarschijnlijk niet. Maar het is een stap die je al kan nemen ipv af te wachten.

Tintel

Economie en maatschappij

@Jeroen_HD • 20 september 2022 15:29

Nou, ik heb een paar keer aangifte gedaan (diefstal) op het bureau (dus niet online) en mijn ervaringen hiermee zijn matig tot slecht (qua opvolging, terugkoppeling en verwerking). Maar dat is inmiddels al enige tijd geleden. Misschien gaat het nu beter...

JohnR @Jeroen_HD • 20 september 2022 15:16

En exact aangifte van wat dan?

Jeroen_HD @JohnR • 20 september 2022 16:36

En exact aangifte van wat dan?

Diefstal van je persoonlijke gegevens? Je kan ook niets doen en gewoon wachten tot ze fraude plegen met jouw gegevens.

moonlander @Jeroen_HD • 20 september 2022 16:40

Aangifte doen zonder bewijs... succes. En een false aangifte doen is strafbaar.

[Reactie gewijzigd door moonlander op 22 juli 2024 17:16]

Jeroen_HD @moonlander • 20 september 2022 16:50

Hacking en diefstal van persoonlijke gegevens zijn wettelijk strafbare feiten. Dat geldt ook voor oplichting en pogingen tot online oplichting. U kunt daarvoor klacht indienen bij de politie.

U kan dit aanmelden bij meldpunt.belgie.be of via police-on-web.

Cafecito @moonlander • 20 september 2022 16:55

Je hoeft geen bewijs te leveren voor aangifte.
Als er vermoeden is van valse aangifte ligt het bewijslast bij het OM, om dat aan te tonen.

Emunator @moonlander • 20 september 2022 16:59

Zonder bewijs? Revolut heeft je dan toch ingelicht?

JohnR @Jeroen_HD • 22 september 2022 07:26

Ok, zijn de gegevens. van -jou- gestolen of van een bank? In het laatste geval zou namelijk de bank aangifte moeten doen. Voor zover ik heb begrepen, verstrek je zelf de gegevens aan de bank en is er dus technisch gesproken geen diefstal gepleegd van jou, maar van de bank

Je kan het een beetje vergelijken met een plofkraak op een geldautomaat, ja de bank beheert een stukje van jouw geld, en daarmee is er wellicht een microscopisch deeltje van je geld buitgemaakt. Nee daar kun je niet zomaar aangifte van doen, want het slaat nergens op

Bofferman @JohnR • 23 september 2022 11:13

Precies. Ben ook klant van Revolut, maar er is volgens mij geen strafbaar feit gepleegd jegens mij door het stelen van mijn gegevens. Als mijne al gestolen zijn is de enige over wie ik me kan beklagen Revolut.

Anoniem: 221563 @Antenne Bayern • 20 september 2022 14:24

Ik zou mijn rekeningen sluiten en nieuwe openen. Zoveel mogelijk gegevens die je kunt veranderen dus veranderen. Of je de nieuwe rekeningen bij dezelfde bank houd laat ik aan jezelf.

P. vd Loo @Anoniem: 221563 • 20 september 2022 15:10

Dat is natuurlijk onzin, want daarmee zijn je openbare gegevens zoals naam, email en telefoonnummer natuurlijk niet opeens niet meer openbaar.

supersnathan94

E-commerce

@P. vd Loo • 20 september 2022 16:09

Klopt, maar wel de andere gegevens zoals rekening- en kaartnummer.

Als je dan een bericht krijgt: "je kaart met nummer 1492 behorende bij rekening XYZ verloopt binnenkort, klik hier om een nieuwe aan te vragen" weet je direct dat het niet klopt.

DaemonAngel @supersnathan94 • 20 september 2022 16:59

Dat weet je zo ook.
Daarvoor heb je geen nieuwe rekening voor nodig.
Indien dat wel zo is, is het toch ook verloren moeite want dan klik je wel op een andere link.

supersnathan94

E-commerce

@DaemonAngel • 20 september 2022 17:57

Ja dat weet je nu, maar wat als ze het nu precies doen op het moment dat je over 4-5 jaar idd een verlopen kaart hebt? Als de kaartgegevens bekend zijn bij ze kan dat.

Tegen die tijd is de kans aanwezig dat je allang vergeten bent dat dit is gebeurt en aangezien het ook daadwerkelijk klopt is er best een kans dat het fout gaat. Zeker bij oudere gebruikers die wat minder tech-savy zijn.

divvid @supersnathan94 • 20 september 2022 19:36

In mijn agenda staat gewoon wanneer mijn kaart bijna verloopt. Hier kan je toch zelf een waarschuwing bij zetten? 5 seconden werk. Zelfde geldt voor OV chipkaart, rijbewijs en ID

DaemonAngel @supersnathan94 • 21 september 2022 13:12

Mogelijks werkt het anders bij de banken waar ik bij zit of zat tot nu. Maar tegen de vervaldatum had ik gewoon een nieuwe kaart in de bus. Met de melding van de oude weg te gooien na de eerste betaling met de nieuwe.
Ik heb nog nooit een mail gekregen dat mijn kaart gaat vervallen.

Net zoals met de andere spam dat mijn pakketje ergens speciaal ligt etc.

supersnathan94

E-commerce

@DaemonAngel • 21 september 2022 19:05

Ja die kring je ook, maar dat is op vaste tijden voor het verlopen.

Als je dan dus net een mailtje/sms ontvangt daarvoor om iets met je oude pas te doen dan is de kans groot dat mensen er in trappen.

Dit is al eens gebeurd door iemand die tegenover het hoofdkantoor van een grote bank een brievenbus had neergezet met een adres erop. Ongeveer zelfde nummer (maar dan met toevoeging), maar in google maps/streetview kom je dan wel gewoon naast die bank uit.

Hadden allerlei mensen net geen verlopen passen met pincodes naartoe gestuurd.

Daar kom je als bank dan ook echt heel laat pas achter.

loki504 @supersnathan94 • 20 september 2022 16:22

Dan kan je altijd kijken en eventueel een mailtje sturen naar de klantenservice of alles wel oke is. Dat is vroeg genoeg en de bank ook dat er iets niet correct is.

EmbarrassedBit @Anoniem: 221563 • 20 september 2022 15:13

Heb ergens op /r/revolut gelezen dat je geen nieuwe Revolut-account kan openen wanneer je de vorige hebt afgesloten.

Corrigan @Antenne Bayern • 20 september 2022 16:49

Nieuw creditcard nummer en card aanvragen. Naast natuurlijk je wachtwoord veranderen.
Als je er een echt slecht gevoel bij hebt gelijk rekening opzeggen en overstappen naar een andere bank.
Een vergelijkbaar alternatief is N26.

divvid @Corrigan • 20 september 2022 19:38

Ha, N26, ooit aangevraagd, nooit meer wat van gehoord. Kansloos

Corrigan @divvid • 20 september 2022 22:51

Gewoon opnieuw aanmelden. Geef je altijd zo snel op?

divvid @Corrigan • 21 september 2022 19:46

Als iemand iets commercieel aan biedt en mij niet wil hebben, ja. Het is geen eerste levensbehoefte ofzo. Zelfde geldt voor auto verkopers, kozijnen boeren en ander gespuis dat je een poot uit wil draaien. Eerste bod is finale bod, anders te laat.

Als ik iets écht wil hebben is het 9 van de 10 keer uniek en de gevraagde prijs reeel. N26 en ook Revolut bieden niks unieks

[Reactie gewijzigd door divvid op 22 juli 2024 17:16]

Corrigan @divvid • 21 september 2022 22:15

Een volledige gratis bank is uniek.
Of ken jij andere banken dan Revolut en N26 die volledig gratis zijn en met een deposito garantie?

Met N26 is niks mis mee. Is ook door de Consumentenbond goed getest.

divvid @Corrigan • 21 september 2022 23:41

Tja, de consumentenbond….Mijn moeder vind ze geweldig…

Dat er niks mis is met N26 zal best, maar als men na een aantal pogingen niet wenst te reageren is het exit. De prijs van ‘gratis’ komt ergens vandaan.

Corrigan @divvid • 22 september 2022 16:52

Ik zou willen dat er meer banken echt gratis zijn zoals N26. De klantenservice is top is mijn ervaring en een fijne app. Mastercard, IBAN rekening, alles gratis. Alleen geen iDeal.

Godson-2 @Antenne Bayern • 20 september 2022 15:01

Overstappen op een andere bank en eisen dat al je gegevens worden gewist per GDPR.

Homeland @Godson-2 • 20 september 2022 15:50

Waarbij ze natuurlijk heel veel gegevens gewoon zullen bewaren omdat er wettelijke eisen zijn die boven de GDPR gaan.

EmbarrassedBit @Homeland • 20 september 2022 18:50

GDPR is een kader van principes dat helaas veel te vaak uitgelegd wordt op een manier dat mensen de indruk krijgen dat ze een recht hebben om te eisen dat allerlei informatie omtrent hun handelen verdwijnt.

mac1987 @EmbarrassedBit • 20 september 2022 23:41

Klopt. Ik heb op mijn werk meegemaakt dat mensen een beroep op het recht op vergetelheid deden bij een gemeente waar ze recent een uitkering van hadden ontvangen. De AVG maakt hier gewoon uitzonderingen voor, maar sommige mensen menen dat het recht op vergetelheid een soort absoluut recht is zonder beperkingen.

Edit: hoe is dit off topic als het een directe en inhoudelijk reactie is op de vorige twee on topic berichten?

[Reactie gewijzigd door mac1987 op 22 juli 2024 17:16]

EmbarrassedBit @mac1987 • 21 september 2022 01:25

Dat is een gekend probleem in de rechtsfilosofie. Gewone mensen geloven niet in "recht op X" of "verbod op Y" als zodanig, maar ze denken wel allemaal doctoren in de rechtsgeleerdheid te zijn. Het is altijd "Waar vind ik dat ik of mijn vrienden recht op hebben?" of "Wat vind ik dat de ander verdient als beloning/straf?". En vervolgens worden de juridische principes daaraan aangepast. Heb je iets gedaan waar je niet trots op bent, maar je vindt dat je recht hebt op begrip, dan roep je je "vermeend recht om vergeten" te worden in. Wanneer een ander iets gedaan heeft waarvoor je vindt dat hij eeuwig moet boeten, dan heeft ie geen recht om vergeten te worden. Dat zou namelijk "censuur" zijn.

D.oomah @Antenne Bayern • 20 september 2022 16:08

Als je een scan van je ID of paspoort hebt opgestuurd, zou ik bij de gemeente een nieuwe aanvragen. Je moet hierbij gelijk aangeven dat deze gestolen is zodat er bij je oude paspoort een fraudelabel geplaatst wordt.

Mocht er dan iemand met jouw gegevens dingen bij de overheid proberen, wordt dat direct opgemerkt.

loki504 @D.oomah • 20 september 2022 16:25

Maar dan zou ik even 68,50 mogen betalen terwijl er misschien niets aan de hand is.

Dylan_R @Antenne Bayern • 20 september 2022 14:14

dan kan ik jouw vertellen.

Helemaal niks.

freedzed6 @Antenne Bayern • 21 september 2022 01:43

Je gewoon niet zo druk maken.

google maps laat meer zien.

Johan1995 @Antenne Bayern • 21 september 2022 03:37

Het beste is om altijd Nederlands te blijven praten, met een Vlaams dialect val je onmiddelijk door de mand.

icceni 20 september 2022 14:08

Dat gebeurt toch niet zo vaak bij banken? Ik moet zeggen dat de bank me afgezien van dit incident prima bevalt.

Tintel

Economie en maatschappij

@icceni • 20 september 2022 14:31

Ander vreemd puntje: ze [de hackers] hebben geen pincodes of wachtwoorden ingezien - kan dat dan? Je slaat toch altijd een hashed code op? Ook al heb je deze ingezien dan schiet je hier weinig mee op (of een reverse hash moet mogelijk zijn maar dat is ook niet de bedoeling).

SunnieNL

@Tintel • 20 september 2022 14:52

waarom zou dat niet kunnen? Ligt geheel aan welk systeem ze zijn binnengekomen en wat daar in staat.
Misschien hebben ze alleen een excel te pakken gekregen met wat data van klanten erin die een medewerker op een verkeerde plek had opgeslagen.

Een goede bank heeft data afgeschermd via het Need to Know principe. Dan kun je al niet alle data te zien krijgen als het useraccount wordt gehacked en zal een aanvaller eerst verder moeten komen. Of dat hier ook daadwerkelijk door de bank gebruikt wordt kan ik natuurlijk niet aangeven. Als ze laks waren zullen medewerkers bij meer data kunnen dan je eigenlijk zou willen.

Pincodes kun je wel hashen, maar als er maar 4*4*4*4 mogelijkheden zijn, dan is vanuit de hash ook redelijk snel gevonden wat de pincode was omdat je snel een match kan maken door alle mogelijke pincodes te hashen en dan de hashes te vergelijken.

Tintel

Economie en maatschappij

@SunnieNL • 20 september 2022 15:36

alle mogelijke pincodes te hashen en dan de hashes te vergelijken.

Dan ga je ervan uit dat men de hashfunctie kent - dat is wel mogelijk omdat er standaard hash-functies zijn maar als die een seed gebruiken dan moet je ook die weer weten anders is het aantal mogelijkheden echt wel groter.

Maar dat veranderd toch niets aan mijn vraag? Inzien van codes/wachtwoorden impliceert toch dat het leesbaar is? Normaal gesproken zeggen we niet dat we data hebben 'ingezien' als die data gescrambled/encrypted is.

SunnieNL

@Tintel • 20 september 2022 16:36

Seeds worden volgens mij meestal gebruikt voor encryptie, niet voor hashing. Bij hash wordt veelal salt gebruikt. Echter worden vaak salt en hash opgeslagen (op 2 verschillende plekken), omdat je anders nooit kan controleren of het wachtwoord wat de gebruiker invoert, ook wel het daadwerkelijke wachtwoord is omdat de kans dat een random salt getal hetzelfde is bij een herberekening, zeer klein is.

Normaal gesproken wordt doorgegeven dat wachtwoorden en/of andere zaken zijn ingezien, ook als ze gehashed zijn, maar dan wordt erbij vermeld dat het ging om een hash en in veel gevallen ook op welke manier die gehashed zijn (met of zonder salt etc.).

In de GDPR wordt volgens mij ook vereist om bekend te maken, omdat dit kan aangeven hoe secure de data is.
Gehashde wachtwoorden in MD5 zijn wel hashed, maar heel eenvoudig terug te halen.
Data met een salt is dit een stuk lastiger. Tenzij de attacker in de systemen zelf is geweest en naast de salted hashes ook de salt zelf te pakken heeft. Want in dat geval zou hij alsnog kunnen achterhalen wat het wachtwoord of pincode is.

RGAT @SunnieNL • 20 september 2022 17:58

De salt wordt meestal naast de hash zelf opgeslagen, of ze nou in table A of B staan maakt niets uit aangezien je voor transacties toch steeds beide nodig hebt, vrijwel elke hack waar toegang tot table A is zal ook bij table B kunnen.
De salt zorgt ervoor dat je niet 1 rainbow table kan maken met alle mogelijke oplossingen, wat voor een 4-cijferige pincode wel heel makkelijk is natuurlijk. Als per klant er een 6 cijferige salt aan geplakt zit wordt het al 'vervelender' voor een hacker om een 10 cijferige rainbow table te maken. Als je per klant een salt van 10-20 karakters hebt wordt het voor een hacker al gauw niet meer de moeite waard om meer dan een handvol pincodes te kraken.

Tintel

Economie en maatschappij

@SunnieNL • 21 september 2022 10:17

Een seed of salt gebruiken om een hash te maken is encryptie maar we noemen het ook gewoon hashen?

Overigens valt mij de veiligheid van salt tegen als deze naast de hash bewaard worden (en dat moet technisch gezien natuurlijk). Een extern ingegeven seed (memory only dus) is dan veiliger. Het nadeel is dan wel dat er slechts 1 extra brokje data nodig is om alle hashes te berekenen.

MD5 gebruiken voor de hash van passwords is toch al lang 'not done' ?

Een andere conclusie is inmiddels ook wel dat pincodes van 4 (minimaal en maximaal 4) natuurlijk niet echt veilig zijn. Maar gelukkig waakt de bank over je geld...

Zeerob @Tintel • 20 september 2022 17:12

Men zegt toch ook dat pincode niet ingezien zijn.

jmmk @SunnieNL • 20 september 2022 14:55

10*10*10*10; dat scheelt al.

JohnR @jmmk • 20 september 2022 15:19

Niet helemaal. Als een bank je pincode genereert zijn sowieso verboden
- Drie achtereenvolgende cijfers
- Drie dezelfde cijfers

Het theoretische aantal van 10.000 pincodes wordt dus nooit gehaald.

Indoubt @JohnR • 20 september 2022 15:36

ik kan je vertellen dat de tweede in ieder geval niet waar is en dat geld zelfs ook voor creditcards van Nederlandse banken.

Gewoon omdat dat bij mij het geval is.

Tomatoman @Indoubt • 20 september 2022 18:07

Even rekenen. Een pincode met exact drie dezelfde cijfers bevat drie nullen, drie enen, drie tweeën, enzovoort, tot drie negens. Dat zijn tien mogelijkheden. Voor elk van die mogelijkheden zijn er voor het resterende cijfer negen mogelijkheden (want dat cijfer moet afwijken van de rest, er zijn immers maar drie dezelfde cijfers). Dat afwijkende cijfer kan op vier posities staan. Daarmee zijn er in totaal 10 x 9 x 4 = 360 mogelijke combinaties voor jouw pincode.

Als we bovendien meenemen dat een pincode wel driemaal hetzelfde cijfer mag bevatten maar nooit driemaal hetzelfde cijfer direct achter elkaar, dan kan dat afwijkende vierde cijfer alleen op positie 2 of 3 in de pincode staan. Dat zijn er maar 10 x 9 x 2 = 180 mogelijke combinaties.

Tintel

Economie en maatschappij

@Tomatoman • 21 september 2022 10:18

(En zo wordt een beetje eerlijkheid beloond...)

Foxl @JohnR • 20 september 2022 18:50

Volgens wie is dat “verboden”? Mijn pincode, aangeleverd door de bank, bevat namelijk gewoon 3 dezelfde achtereenvolgende cijfers.

pbruins84 @SunnieNL • 20 september 2022 17:26

Bij Revolut kan je de pincode van je kaart opvragen in de app.

pbruins84 @Tintel • 20 september 2022 17:28

Je kunt de pincode van een kaart opvragen in de Revolut app. Dus dat zal wel niet gehasht zijn.

Tintel

Economie en maatschappij

@pbruins84 • 21 september 2022 10:24

Dat is toch superdom? Het is toch veel simpeler/beter een reset aan te vragen? Eventueel krijg je dan ook meteen een code maar altijd een nieuwe... dat verkomt misbruik na diefstal.

pbruins84 @Tintel • 21 september 2022 11:49

Er zijn meer banken/financiële instanties die dat op deze manier doen, o.a. Monese, Blackcatcard, Wise.

Een veiligere manier is inderdaad om de gebruiker nooit de huidige PIN te laten zien, maar alleen aanbieden om een nieuwe PIN in te stellen. Onder andere bunq en N26 doen dat. Het nadeel hiervan is echter dat de nieuwe PIN dan nog niet op de kaart is geschreven. Als je dan bij een offline terminal komt, bijvoorbeeld in een vliegtuig, of soms gewoon in een winkel, zal de nieuwe PIN nog niet werken, omdat de PIN dan offline gevalideerd wordt met behulp van de oude PIN die nog op de kaart geschreven staat. Pas nadat je bij een online terminal bent geweest, en de nieuwe PIN op de kaart geschreven is, kan je de kaart dan gebruiken bij een offline terminal. Bijvoorbeeld door even je saldo op te vragen bij een ATM, deze zijn namelijk altijd online. In Nederland is dit niet zo'n probleem, omdat terminals eigenlijk altijd online zijn. Maar in bijvoorbeeld Frankrijk zijn veel offline terminals.

Tintel

Economie en maatschappij

@pbruins84 • 21 september 2022 12:13

Ik denk dat dit nadeel (van off line terminals) opweegt tegen het security risico van leesbare (al dan niet na de-cryptie) codes.

Anoniem: 368883 @Tintel • 21 september 2022 12:52

Je hebt natuurlijk niks aan de PIN zonder dat je de kaart zelf in handen hebt natuurlijk.

En stel dat je er toch in slaagt om iemand's Revolut kaart en mobieltje te stelen, moet je nog altijd in de app zelf geraken, die wss zijn eigen code, face/touch ID heeft.

Niet dat ik het een goed practice vind, maar het risico is nog vrij beperkt.

Tintel

Economie en maatschappij

@Anoniem: 368883 • 21 september 2022 15:20

Hebben we het nu niet over een reguliere pin-pas dan? of is die kaart nodig om de app te gebruiken?
Pin-pas + pin-code is toch voldoende voor diefstal? Ik weet eerlijk gezegd niet hoe makkelijk (of dat het mogelijk is) om een kaart na te maken als je alle gegevens hebt.

Maar buiten dat: de banken zijn toch de voornaamste aanbrengers van "Houd je pin-code voor iedereen geheim!". Als deze die code vervolgens herleidbaar opslaan dan vind ik dit wel treurig.

Ruzor @icceni • 20 september 2022 14:12

Incident? Dit is toch vrij ernstig, al helemaal voor een bank:

De inbreker heeft onder andere namen, adressen, e-mailadressen, telefoonnummers, een deel van de betaalkaartgegevens en rekeninggegevens buitgemaakt.

Tummie555 @Ruzor • 20 september 2022 14:22

Beetje verwarrend wat tweakers schrijft. In de email staat namelijk dat er juist geen kaartgegevens zijn buitgemaakt: No card details, PINs or passwords were accessed.

z1rconium @Tummie555 • 20 september 2022 15:18

accessed

Ik vermoed dat daar de nuance ligt.

aikebah @z1rconium • 20 september 2022 17:36

Zonder access kan er geen data lekken/buitgemaakt worden, dus nee, daar ligt de nuance niet

z1rconium @aikebah • 20 september 2022 22:53

Lees anders even de source; je kunt in het bezit zijn van accounts/pins etc, maar deze niet hebben gebruikt., ie. accessed.

aikebah @z1rconium • 21 september 2022 12:13

Ook lezen van de source verandert er niets aan: er is geen toegang geweest tot de saldi, de pin, wachtwoorden en 'card details'. Iets waar je geen toegang toe hebt gehad kun je niet stelen/hebben.

Triblade_8472 @Ruzor • 20 september 2022 14:20

Ja incident. Voldoet volledig aan de definitie "Een incident is een negatieve, onverwachte, en onvoorziene gebeurtenis".

Godson-2 20 september 2022 14:14

Als al je transacties op straat liggen dan weet iedereen zowat alles van je. Dit incident zou voor mij in ieder geval een reden zijn om meteen mijn rekening op te zeggen.

Dit soort hacks zijn ook de reden dat ik niet wil dat mijn medische gegevens centraal worden opgeslagen.

Eén succesvolle hack en alle medische dossiers van alle Nederlanders liggen op straat. De ziekenhuizen halen hun schouders op en zeggen: "Tja, we kunnen er nu toch niets meer aan doen. We sturen iedereen wel een mailtje met de waarschuwing om goed op te letten!"

[Reactie gewijzigd door Godson-2 op 22 juli 2024 17:16]

timoootjex @Godson-2 • 20 september 2022 14:26

Ik heb de rekening voortijdig stopgezet. Weet niet of ik dit voorzag maargoed.

GekkePrutser @timoootjex • 20 september 2022 14:41

Ik betwijfel of dat voldoende is. Banken moeten hun data jarenlang betalen voor onderzoek naar belastingontduiking.

SwaggyEggs @Godson-2 • 20 september 2022 14:29

Waarom zou centraal opslaan minder veilig zijn dan decentraal. Dan heb je toch veel meer surface area voor een attack?

Godson-2 @SwaggyEggs • 20 september 2022 14:46

Omdat ze dan honderden sites moeten kraken om de gegevens van alle Nederlanders te bemachtigen.

Als je één site hebt waar alles in zit dan is dat natuurlijk een enorm waardevolle hack waar men veel tijd en geld in gaat steken.

Bender @Godson-2 • 20 september 2022 16:29

Maar wil decentraal ook zeggen dat alle informatie verspreid is? Of dat het op meerdere plekken beschikbaar is?

xONet 20 september 2022 14:40

Misschien even de naamgeving checken: Sinds 1993 heet de EEG de EG en sinds het Verdrag van Lissabon in 2009 de Europese Unie, of EU.

Yggdrasil

@xONet • 20 september 2022 14:48

Goed punt, maar daarvoor is het Feedback forum bedoeld.

tuur77 @xONet • 20 september 2022 16:31

Slechte vertaling door Tweakers...

In het oorspronkelijke bericht staat "European Economic Area", wat dus de Europese Economische Ruimte is.
EER is niet gelijk aan EEG.

EER = EU + Liechtenstein + Noorwegen + IJsland

Muncher 20 september 2022 15:04

Is dit niet de club die constant op YouTube adverteert met hun creditcard “that keeps you safe from hackers”? Ironisch dat juist zij getroffen worden hierdoor.

marapuru @Muncher • 20 september 2022 16:36

Dat soort statements lijken mij te werken als een rode lap bij een stier. Dan willen de hackers juist bewijzen dat ze er wel bij kunnen.

Anoniem: 368883 @Muncher • 21 september 2022 10:53

Lijkt me sterk, want Revolut bied geen credit-cards in de meeste landen. Enkele debet-cards, zowel van Visa als Maestro/Mastercard.

EmbarrassedBit @Muncher • 20 september 2022 19:15

Mja. Ironie...? Denk eerder dat er hier een soort occulte wetmatigheid aan het werk is. Associeer je met een merk dat zich profileert als onernstig en zich richt op domme/behoeftige klanten, en je wordt het slachtoffer van het soort dingen die gebeuren wanneer onernstige mensen aan het roer staan: hacking en fraude. En ze kunnen aan het roer staan omdat de passagiers te dom zijn of een te korte bestaanshorizon hebben om er een zaak van te maken. Ja, iedereen kan gehackt worden... maar sommige mensen of bedrijven zijn toch meer "het type" bij wie zoiets vroeg of laat gebeurd.

Van Nederlandse of Belgische Tweakers die tevreden zijn over hun neobank zijn lees ik altijd verhalen over "handig", "goede UX", "goede FX", "geen maandelijkse kosten". Dat, en zeker de laatste twee, zijn de "ernstige" redenen om voor een neobank te kiezen. Ooit had ik zelf neobank-accounts, 1x bij Revolut en 2x bij N26. Stopgezet wegens beperkt gebruik in verhouding tot hoe "chatty" en opdringerig ze beide waren en zijn.

Je moet er echter ook rekening mee houden dat er een hele maatschappelijke onderklasse is die het contact met het klassieke bankwezen schuwt. Niet enkel armen of mensen die in de criminele economie zitten, ook gewoon "normale" mensen die allergisch zijn aan het idee dat ze een formele procedure moeten doorlopen op een kantoor en die de onpersoonlijkheid van een smartphone-app verkiezen om een rekening te openen (al is het juridisch uiteindelijk hetzelfde). Nee, ik beweer niet dat je op de ouderwetse manier je bankzaken moet doen. Ik beweer wel dat er een bepaald type persoon is voor wie de ouderwetse manier te burgerlijk, te stijf is. Daar zitten verhoudingsgewijs meer domme mensen en mensen in de illegale economie bij, en die komen dus disproportioneel bij neobanken terecht. Dus ik ga echt niet meer dan een paar 100 Euro zetten bij een bank die terecht denkt dat ze heel wat domme mensen en mensen in de illegale economie onder haar klanten heeft.

EmbarrassedBit 20 september 2022 15:32

Wie hier reageert in de zin van "Revolut is heel betrouwbaar, ik doe er alles mee en heb er geen problemen mee!" is niet vertrouwd met het concept survivorship bias:

Survivorship bias, survival bias or immortal time bias is the logical error of concentrating on the people or things that made it past some selection process and overlooking those that did not, typically because of their lack of visibility. This can lead to incorrect conclusions.

Vertrouw nooit serieuze bedragen toe aan een bedrijf dat zich hult in startup-mystiek. Red flag: het bedrijf lijkt volgens de PR te bestaan uit een grote vriendengroep die in een loft of hostellounge in vrijetijdskleding op laptops zit te "innoveren". Klanten in stock photography zijn ongeschoren, hebben veel lichaamsaanpassingen, houden een kartonnen bekertje te dure koffie vast of eten avocado toast. IG-account toont de fintech's metalen kaart steeds omringt door dure horloges, airpods, iphones, lederen portefeuilles, vetplanten. Heel die startup-mystiek dient namelijk om een context te creëren waarin het ongepast is om te redeneren in termen van verbintenisrechtelijke rechten en plichten binnen een kader van consumentenbeschermingsrecht. Het is namelijk een grote groep vrienden die gezellig ligt te "innoveren" om "bankieren voor altijd te veranderen" of van die lulkoek, dus wat zit jij nou te zaniken als je rekening met 20.000 Euro erop plots geblokkeerd is.

[Reactie gewijzigd door EmbarrassedBit op 22 juli 2024 17:16]

Anoniem: 368883 @EmbarrassedBit • 21 september 2022 12:59

Revolut heeft daarentegen wel een Europese banklicentie, in tegenstelling tot veel andere fintech bedrijven. Ze dienen zich dus ook aan alle Europese bankverplichtingen te houden, en bijgevolg ook het Europees Depositogarantiestelsel, dat beschermt tot 100.000EUR.

En survivor-bias is van toepassing als een kleine groep het "gemaakt" binnen de gehele groep. Als 95% procent tevreden is, en 5% problemen heeft valt dit niet onder "survivorship bias".

Maar doe gerust verder om een firma te beoordelen op het uiterlijk van hun werknemers...

[Reactie gewijzigd door Anoniem: 368883 op 22 juli 2024 17:16]

EmbarrassedBit @Anoniem: 368883 • 21 september 2022 13:19

Ja ze moeten zich aan allerhande regels houden, dat weet ik ook. Maar zoals men in de Vietnam-films zegt: "Ben je zeker dat dat de heuvel is waarop je wil sterven?" Wil je vertrouwen op bescherming via juridische regels terwijl er tig alternatieven zijn waarbij je je waarschijnlijk nooit op die bescherming zal moeten beroepen?

Survivor bias is altijd van toepassing. Mensen nemen gewoon de ervaring van "onzichtbare" gevallen niet mee. Of, erger, ze doen ze van de hand met speculatie ("deden iets wat ze niet hoorden te doen") omdat ze fan willen zijn van het merk.

Uiteraard moet je firma's (en mensen) beoordelen op het uiterlijk van de mensen. Wat in de geest zit, materialiseert zich in de uiterlijke vorm. Niet 1:1 natuurlijk, maar je ontkent je intuïtie toch wat te hard als je denkt dat wie zich een slacker-imago aanmeet superernstig is.

[Reactie gewijzigd door EmbarrassedBit op 22 juli 2024 17:16]

Anoniem: 368883 @EmbarrassedBit • 21 september 2022 14:19

Ik draag combats, heb een iPad, iPhone en Airpods. Ik werk al meer dan +20 jaar in IT. Ik drink ook koffie, en zit al eens op een bankje te werken.

Ik ben dus ook een slacker volgens jou? Ondanks niks dan goeie kritieken van werkgevers en klanten?

Maar ik geef je wel gelijk op 1 punt: "Ben je zeker dat dat de heuvel is waarop je wil sterven?" Ik sterf liever op heuvel dat ik een firma beoordeel naar zijn product, dan naar het uiterlijk van zijn werknemers.

Fijne dag nog

EmbarrassedBit @Anoniem: 368883 • 21 september 2022 14:47

Ik beweer niet dat enkel mensen met een conservatief voorkomen mogelijk capabel zijn. Maar de heftigheid waarmee wij westerlingen ons geloof in de scheidbaarheid van vorm en functie belijden, begint echt wel potsierlijk te worden.

Het is uiteindelijk geen zaak van mensen zijn zus of zo en het bedrijf heeft daar geen probleem mee. Nee, het bedrijf richt zich op een bepaalde Gestalt van klant, en wil hetzelfde dezelfde Gestalt van werknemers. Mensen zonder vaste plek, zonder vaste banden, constant op reis tussen letterlijke en spreekwoordelijke plekken om geld te verdienen of uit te geven. Dat is het ideaaltype klant en werknemer.

Naarmate je ouder wordt begin je te merken dat dat op een hoger niveau correspondeert met een soort archetypisch vermijdings- of vluchtgedrag dat het handelen in toenemende mate begint te bepalen. Bedrijven creëren dan systemen die met spuug en elastiek aan elkaar hangen, omdat dat de structuur is die correspondeert met de manier waarop de levens van hun werknemers en klanten aan elkaar hangen. De latente dreiging van een Kafkaiaanse bevriezing van je betaaldrekening is noodzakelijk voor een authentiek bestaan volgens de digital nomad-levensstijl.

Wil je een spannend leven zonder het type spanning dat voortkomt uit de plotse bevriezing van je betaalrekening, kies dan een saaie bank voor saaie mensen en doe daarmee spannende dingen.

[Reactie gewijzigd door EmbarrassedBit op 22 juli 2024 17:16]

Anoniem: 368883 @EmbarrassedBit • 21 september 2022 15:12

Het is uiteindelijk geen zaak van mensen zijn zus of zo en het bedrijf heeft daar geen probleem mee. Nee, het bedrijf richt zich op een bepaalde Gestalt van klant, en wil hetzelfde dezelfde Gestalt van werknemers. Mensen zonder vaste plek, zonder vaste banden, constant op reis tussen letterlijke en spreekwoordelijke plekken om geld te verdienen of uit te geven. Dat is het ideaaltype klant en werknemer.

Ok, maar dat heet gewoon een "doelgroep" in het bedrijfsleven. Ik zie niks mis dat een bedrijf zich richt naar een bepaald persoon met een bepaalde levenstijl (De doelgroep van A.S. Adventure is bijvoorbeeld ook niet dezelfde als die van TUI). De ene doelgroep is niet beter dan de andere, maar dat kan gerust gezegd worden zonder de andere doelgroep op hun uiterlijk te beoordelen.

Wil je een spannend leven zonder het type spanning dat voortkomt uit de plotse bevriezing van je betaalrekening, kies dan een saaie bank voor saaie mensen en doe daarmee spannende dingen.

Zelf weet ik goed waarvoor ik Revolut gebruik (op reis, of voor online aankopen), maar ik zie het niet als een vervanging voor mijn primaire Belgische bank. Voor mijn leningen en aanverwanten verkies ik een meer persoonlijke band met mijn bank.

Als mijn saaie bank wat meer de mogelijkheden had die Revolut had, had ik Revolut misschien niet nodig. Het feit dat die saaie banken niet kijken naar het "waarom" mensen een bank als Revolut gebruiken, is voor hen een gemiste kans voor product-innovatie.

Waarom kan ik bij mijn saaie Belgische bank, geen virtual debet-/credit- card aanmaken in hun app, en direct gebruiken? Of een single-use virtual card? Het is niet dat het technisch zo moeilijk is, maar de saaie banken hebben gewoon geen oog voor de noden van hun jongere en/of tech-savy klanten en luisteren enkel naar hun "boomers". Vandaar dat jongeren vaker kiezen voor een bank als Revolut, omdat ze features bieden die meer aansluiten bij hun noden.

[Reactie gewijzigd door Anoniem: 368883 op 22 juli 2024 17:16]

EmbarrassedBit @Anoniem: 368883 • 21 september 2022 16:24

"Doelgroep" wordt meestal gebruikt voor consumenten in hun hoedanigheid van consumenten. Ik bedoel het veel ruimer, als een mensentype dat je kan herkennen aan bepaalde culturele en lichamelijke codes (jong zijn, artisanale mannelijkheid, tatoeages, piercings, slackers, hipsters, koffie, avocado toast, werken in vrijetijdskledij, fixie bikes,...) maar er niet tot gereduceerd kan worden. Vandaar de term "Gestalt". Het gaat niet om een van die dingen of zich, het gaat om het menstype dat je herkent aan het geheel van codes. Maar je moet dus wel aandacht hebben voor het voorkomen van mensen, je leert er bijna alles mee wat je over hen moet weten.

En met de Gestalt die ik schets via bepaalde correlaties correspondeert een een archetypisch vermijdings- of vluchtgedrag dat yin-zwaar is. Vertrouw op een bedrijf dat zich richt op de Gestalt van werknemers en klanten die ik beschrijf, en je krijgt typische yin-resultaten zoals falingen, fouten en criminaliteit. Leef een levensstijl die typisch is voor mensen met beperkte banden die constant op de vlucht zijn voor een conservatieve definitie van een verantwoorde volwassene (ongeacht of dat concreet in jouw geval zo is), en je wordt aan banden gelegd door het soort "Oeps, er is een probleem met onze KYC aangaande jouw inkomsten dus we hebben je rekening geblokkeerd. Suck to be you net nu je iets te betalen hebt! [insert emojis]" Vandaar dat ik elders stelde dat er hier een occult principe aan het werk is, nl. de eenheid van tegengestelden. Hoe meer gemak een dienst belooft, hoe ongemakkelijker de situatie waarin je zal terechtkomen.

Waarom kan ik bij mijn saaie Belgische bank, geen virtual debet-/credit- card aanmaken in hun app, en direct gebruiken? Of een single-use virtual card? Het is niet dat het technisch zo moeilijk is, maar de saaie banken hebben gewoon geen oog voor de noden van hun jongere en/of tech-savy klanten en luisteren enkel naar hun "boomers". Vandaar dat jongeren vaker kiezen voor een bank als Revolut, omdat ze features bieden die meer aansluiten bij hun noden.

Ben jij nou niet mensen aan het afschilderen als ongesofisticeerde klanten louter op basis van hun leeftijd ("boomers")?
Wat die virtuele kaarten voor eenmalig gebruik betreft... heb je ooit als eens iets op internet besteld met een kaartnummer dat niet voor eenmalig gebruik was? Zo ja, dan is dat hoogstens een handige feature, geen absolute noodzaak. De baten en kosten van neobanken moet je zoals alles beoordelen volgens het "kanonnen versus boter"-model uit de economie, indachtig dat de baten vaak overdreven worden door merkevangelisten, en de kosten onderschat. Als je duizenden Euro's op een rekening bij een neobank hebt staan, dan ben je niet goed snik. En als je dat niet doet maar je hebt een andere use case, wel, dan heb je inderdaad een use case... maar erken je ook dat het bedrijf fundamenteel niet te vertrouwen valt. Het spreekt niet voor een product of dienst om te argumenteren dat er workarounds zijn voor de problemen die het heeft.

Travelan 20 september 2022 18:59

Revolut is een Engelse bank, niet een Litouwse. Waar de verwarring waarschijnlijk vandaan komt is dat het opereert in de EU onder een Litouwse banklicentie.

vinkjb @Travelan • 20 september 2022 19:56

Opgericht door een Rus en Oekrainer, met hoofdkantoor in UK

Johan1995 @Travelan • 21 september 2022 03:39

Schimmige parktijen dus. Engelse toestanden.

dakka 20 september 2022 14:12

Mag trouwens hopen dat er certificeringseisen i.v.m. verwerking van persoonsgegevens zijn voor die bankvergunning, als deze hack geen zero day was tenminste.

Amarius 20 september 2022 16:10

"andere namen, adressen, e-mailadressen, telefoonnummers, een deel van de betaalkaartgegevens en rekeninggegevens"

Dit zijn aardig wat persoonsgegevens die nu in het open liggen. Is het al bekend wat Revolut gaat doen om dit te voorkomen in de toekomst?

Op dit item kan niet meer gereageerd worden.

Online bank Revolut is getroffen door hack, gegevens van 50.000 klanten gestolen

Lees meer

IT-banen

Reacties (136)

Sorteer op:

Weergave: