Gegevens van 300.000 Belfius- en ING-klanten worden online aangeboden

Gegevens van enkele tienduizenden klanten van de Belgische bank Belfius en van ING zijn online verschenen. Het gaat om 300.000 adressen en rekeningnummers, maar sommige entries staan meerdere keren in de lijst. Er zijn geen transactiegegevens buitgemaakt.

De data is in de afgelopen dagen verschenen op een hackersforum. Datanews ontdekte de data en verifieerde dat die correct was. Het leek in eerste instantie te gaan om gegevens van klanten van Belfius, maar later bleek dat daar ook gegevens van ING-klanten bij zaten. Volgens Datanews gaat het om 300.000 gegevens, maar omdat er dubbelingen in de data zitten ligt het daadwerkelijke aantal getroffen klanten waarschijnlijk lager. Volgens Datanews worden er naast naw-gegevens ook telefoonnummers, geboortedatums en rekening- of IBAN-nummers aangeboden. Er staan geen transacties in de aangeboden datalijst.

De aanbieder van de gegevens zegt dat die van callcenters afkomstig zijn. Volgens hacker Inti de Ceukelaire, die ook onderzoek naar het lek deed, zou het gaan om gegevens die via Turkse en Kosovaarse callcenters zijn buitgemaakt, maar het is niet duidelijk hoe de gegevens precies zijn gestolen en online zijn gezet. De Ceukelaire zegt dat het naast Belfius-klanten ook om gegevens van ING-klanten gaat. Dat zou zijn gebaseerd op de Swift- en BIC-codes die bij rekeningnummers staan. De post is inmiddels verwijderd van het hackingforum.

De bank zelf ontkent dat er gegevens zijn gestolen. "Gedetailleerd onderzoek bevestigt dat er op dit moment geen it-veiligheidsprobleem is bij Belfius", schrijft de bank in een verklaring. "Er is geen datalek van klantengegevens bij Belfius vastgesteld. Belfius onderzoekt verder deze zaak maar het is duidelijk dat er geen link is tussen Belfius en de gelekte data."

Door Tijs Hofmans

Nieuwscoördinator

27-12-2022 • 09:42

37

Submitter: Mortis__Rigor

Reacties (37)

37
34
19
3
0
10
Wijzig sortering
Ondertussen is het waarschijnlijk dat het ging over een lijst van SEPA mandaten (domiciliëringen). De banken zelf zouden er dus niks mee te maken hebben; het is afkomstig van een bedrijf dat abonnementen aanbiedt. Misschien een kleinere energieleverancier, of een krant of zo.

Ik ben stomverbaasd dat de oorspronkelijke berichtgeving, ook op websites zoals DataNews, daar nog niet aan is aangepast. De artikels klinken nog steeds alsof het vanuit de banken is gelekt. Als je schiet op de verkeerde, is het toch niet moeilijk om dat achteraf netjes te corrigeren?
Heb je ook een naam van dat bedrijf dat de abonnementen aanbiedt? Vraag me af hoe je aan deze info komt, zonder dat het terugkomt in het artikel... Is dit echt zeker dat het niet van ING/Belfius afkomt?
Mijn info komt ook maar van Twitter, waar al sinds vanochtend vroeg duidelijk is dat Belfius/ING weinig te verwijten valt. Ik heb geen naam, maar het kan afkomstig zijn van eender welk bedrijf dat betalingen int via domiciliëring. Dat is immers hoe je aan zulke dataset komt (namen, rekeningnummers en adressen) als niet-bank. Kranten, mutualiteiten, vakbonden, energie/telefoon/water-maatschappijen, goede doelen... zijn allen mogelijke bronnen. Gezien het via een callcenter ging, gaat mijn persoonlijk vermoeden in de richting van een bedrijf dat sterk steunt op telemarketing voor haar verkoop.

De naam van Belfius en ING wordt nu wel door het slijk gehaald, en hun callcenters staan roodgloeiend, terwijl zij er niet mee te maken hebben. Alsof de krant morgen zou schrijven "Proximus-klanten slachtoffer van phishing", enkel omdat Proximus de slachtoffers van internet voorzag. Ik vind dat niet netjes.

EDIT: ondertussen de tweet teruggevonden die meer info bevat. Dateert van gisterenmiddag, en spreekt van een sample op Pastebin met de volgende velden: bc_record_id, geslacht, achternaam, voorletter, tussenvoegsel, straatnaam, huisnummer, toevoeging, postcode, woonplaats, telefoonnummer, telefoonnummer2, bestandcode, geboortedatum, rekeningnummer, iban, email, bic, abonnementsvorm .

Dat ziet er toch uit als een telemarketing database, niet?

[Reactie gewijzigd door TheFoundation101 op 23 juli 2024 17:29]

Dit lijkt mij inderdaad op gegevens van een niet-bank.
Het ontbreken van een Rijksregisternummer (Belgische equivalent van BSN), en de aanwezigheid van 'abbonementsvorm' zijn voor mij de grootste indicatoren daarvoor.
Ik ben stomverbaasd dat de oorspronkelijke berichtgeving, ook op websites zoals DataNews, daar nog niet aan is aangepast. De artikels klinken nog steeds alsof het vanuit de banken is gelekt. Als je schiet op de verkeerde, is het toch niet moeilijk om dat achteraf netjes te corrigeren?
Welnee, dit is toch een goede indicator om kwalitatief journalistieke websites van de "clickbait-websites" te onderscheiden?
Valt er nog te controleren of je op die lijst staat?
De dataset wordt verkocht op een hackersforum, dus op (waarschijnlijk) een sample om te bewijzen dat de soort data geverifieerd kan worden na is de data niet in te zien. Tenzij iemand de dataset publiceert (hierbij voorzie ik ook weer een AVG issue) of de partij waar het is buitgemaakt de personen direct inlicht kun je de controle of jouw gegevens erin staan dus op je buik schrijven. Andere optie is dat de hacker het niet verkocht krijgt en het alsnog zelf gaat lekken, maar daar zou ik niet van uit gaan.
Dan klopt het artikel niet echt, want daar staat:
Gegevens van enkele tienduizenden klanten van de Belgische bank Belfius en van ING zijn online verschenen
Er is dus enkel sample data van een 50 tal klanten online verschenen, niet de volledige lijst van tienduizenden klanten.

Bedankt voor de toelichting!
Let wel, ik heb de verkoop forumpost zelf niet gezien, maar doorgaans zie je daar een aankondiging van de verkoper met een omschrijving van de data die wordt aangeboden (hoeveelheid, welke informatie erin zit, etc). Om bewijs te leveren dat wat hij zegt te verkopen naar alle waarschijnlijkheid klopt, wordt er vaak een sample van de data toegevoegd. Dit kan 1 regel zijn, kunnen er ook 1.000 zijn, of een screenshot. Dit is heel erg afhankelijk van de verkoper.

Het aantal regels is dus zeer waarschijnlijk vanwege de claim van de verkoper, tenzij iemand de dataset op een wijze heeft buitgemaakt. Ook ING/Belfius is een claim, tenzij iemand kan aantonen dat ze dit daadwerkelijk gezien hebben. Dit laatste is mij niet 100% duidelijk uit de Twitterposts van De Ceukelaire.
Nja. Door zelf even uit te zoeken waar die leak staat.
Zoals in het artikel:
De post is inmiddels verwijderd van het hackingforum.
Dan is het antwoord op je vraag: nee.
De data is aangeboden op het forum en er stond een link naar sampledata op pastebin. Gisteren had ik dit trouwens al gesubmit naar Tweakers en onmiddellijk ook zelf gezocht. De thread op het forum is inderdaad verdwenen. Ik heb wel nog de link naar de sample-data op pastebin, pm me gerust. Het betreffen een 50-tal records van personen geboren tussen '40 en '45 en veel staan er ook nog eens dubbel in.
De inleiding is mij een klein beetje onduidelijk, zijn het klanten van specifiek de Belgische tak van ING?
Dat zie ik ook in andere berichtgevingen niet terug. Ik denk dat Inti de Ceukelaire daar wellicht meer zicht op heeft, aangezien hij dit heeft gezegd. Inti de Ceukelaire rapporteert op Twitter dat de verkoper van de data claimt dat het om die banken gaat, op basis van BIC/SWIFT codes. Onduidelijk of dit door De Ceukelaire ook inhoudelijk geverifieerd is.

Daarentegen kan ook algemeen "ING" gezegd zijn omdat zij met meerdere landen getroffen zijn. Blijft speculeren.

Edit: Feitelijkheden waren niet juist weergegeven. Nu wel, afaik.

[Reactie gewijzigd door elbowlessgoat op 23 juli 2024 17:29]

Er staat ook nu nog niets bruikbaars over ING-klanten: geen reactie van ING, niet om welk land het gaat, kortom: niets concreets behalve dat die hacker beweert dat er ING-rekeningnummers in dit dataset zitten.
Wat ik even mis:
Gegevens van enkele tienduizenden klanten van de Belgische bank Belfius en van ING zijn online verschenen. Het gaat om 300.000 adressen en rekeningnummer
Laten we zeggen dat 'enkele' = 3.
Dat zou het gaan om tien adressen per klant. Zelfs ondanks dat sommige entries meerdere keren in de lijst staan is dat best veel.
Laten we zeggen dat 'enkele' = 3.
Of 2, 5, of 9.
Dat zou het gaan om tien adressen per klant. Zelfs ondanks dat sommige entries meerdere keren in de lijst staan is dat best veel.
Denk eerder om de zelfde adressen per klant, maakt de omvang niet groter. Of iemand er nou 1 keer staat met zijn adres, of 1000 keer met het zelfde address..

Wellicht zijn het logs, en is er voor elke gesprek een log entry, die dan onterecht NAW gegevens bij opslaat.

In de bron:
Het gaat onder meer ook om gegevens van ING.
Klinkt alsof er meer banken tussen kunnen zitten.
Volgens een andere reactie op T.net: "het is afkomstig van een bedrijf dat abonnementen aanbiedt. Misschien een kleinere energieleverancier, of een krant of zo."

Kan mij dus eigenlijk niet voorstellen dat het zich limiteerd tot Belfius & ING..

[Reactie gewijzigd door Christoxz op 23 juli 2024 17:29]

In Kosovo groeien momenteel de callcenters als padenstoelen uit de grond. Veel Nederlandse/Begische bedrijven nemen hier callcenter diensten af. Vergelijkbaar met dat Amerikaanse bedrijven callcenters uit India gebruiken.

Belfius of een bepaalde tak van ING kan prima gebruik maken van een dergelijk callcenter. Helaas hebben veel van deze callcenters geen ISO 27001 certificering en kunnen dus niet zien welke medewerkers welke informatie bekijken. Je mag vaak al blij zijn als men een audit bijhoud wie de wijzigingen maakt.

Onder de nieuwe NIS2 verordering vallen onder andere de banken. Echter die bank een deel van de operatie extern uitzet naar een ander bedrijf, dan valt dat andere bedrijf niet onder die verordening. De bank blijft echter welke verantwoordelijk voor de data, omdat de klant (bedrijf/particulier) met de bank een overeenkomst heeft...
Aangezien het om 2 verschillende banken gaat denk ik niet dat dit aan 1 van deze 2 te wijten is, maar aan een lek elders. En als we toch aan het gokken zijn: als er een instelling is naast de banken zelf die over dergelijke gegevens beschikt en onlangs nog alle data heeft lopen lekken: gemeente Antwerpen wellicht?
Mij maakt het niet uit - de banken en de EU hebben dit systeem gewild. De banken en de EU zijn voor deze miskleun verantwoordelijk. Zelf weiger ik ALLE domiciliëringen al jaren. Nu weet u waarom! Uw data zitten niet langer bij de bank, uw leverancier kan deze blijven aanbieden ook al is de zaak frauduleus... En u heeft veel te veel kopzorgen. De banken, zij zitten goed - zij trekken gewoon de paraplu open! Zoals ze alsmaar vaker doen. Dit had de EU nooit, maar dan ook nooit mogen invoeren!
Weg met die domiciliëringen!
Buiten incasso's kunnen er nog veel mee redenen zijn om de bankrekeningen van klanten op te slaan. Dus eigenlijk hebben de incasso s er niks mee te maken.
En zou het dan ook gaan specifiek om Nederlandse ING klanten? Want die rakkers opereren toch wereldwijd?
Vermoedelijk gaat het om Belgische ING klanten, aangezien de bron en de ethische hacker Belg zijn.
Ik werd dit jaar verplicht al mijn gegevens door te geven voor de rekening van een kleine stichting. Ze hadden zelfs de rekening geblokkeerd (zonder bericht te geven) omdat we de UBO's nog niet hadden aangemeld bij ING. We hadden dit al gedaan bij de kvk, maar de bank vraagt je dus zelf ook het hemd van het lijf (onder dwang).
En dan blijkt dat je gegevens op straat liggen. Lekkere beveiliging daar.
Ik neem aan dat hier consequenties aan zitten?
Dat is de vooruitgang hé. Het is slechts een kwestie van tijd voordat de belastingsdienst wordt gehacked en er een lijstje te kopen valt met op welk huisadres er hoeveel €€€ aan vermogen te rapen valt.

Zoals altijd zal er eerst een grote ramp moeten gebeuren voordat het politieke besef er komt welke risico's er verbonden zijn aan de buitenproportionele financiële verzameldrang van de overheid. Iedereen is by default crimineel tenzij je de oorsprong van elke eurocent kan aantonen. Vroeger was het omgekeerd.
Vroeger vroeg je aan je tante die bij de belasting werkte (breien en klaverjassen) of ze even wilde kijken wat de buurman verdiende.
Criminelen hadden in die tijd toegang tot bijna alles, zonder dat dat traceerbaar was.

Zeker zijn er nu andere risico's en als het fout gaat kan het nu veel massaler fout gaat, maar vroeger was het echt niet perse beter.
In het nieuwsbericht blijkt nergens dat de bank de bron is van het lek?
Het kunnen callcenters zijn die voor energiebedrijven werken (die zijn er immers veel).
Je koppelt nu zaken aan elkaar die in deze context niets met elkaar te maken hebben.

Je hebt zitten slapen door de UBO's vergeten door te geven (wat gewoon een wettelijke verplichting is voor banken in het kader van de WWFT) en nu ben je maar aan het speculeren geslagen.
Volgens datanews..
De dader beweert dat ze afkomstig zijn uit callcenters en dat het om gegevens van dit jaar gaat die nog niet eerder zijn verspreid.
Iets verder in het artikel…
De Ceukelaire leerde uit eigen onderzoek dat de gegevens zouden gelekt zijn via een interne medewerker van een Turks of Kosovaars callcenter.
Dus tenzij je in het verleden te maken kreeg met Engelstalig callcenter die om je bankgegevens vroeg, ik denk niet dat je gegevens ook tussen staat. Blijf voorzichtig met je gegevens. :)
Aansprakelijk voor welke schade? Als jij schade kan aantonen hebt je een prima reden om een zaak aan te spannen, als je geen schade kan aantonen heb je niets.
Aansprakelijk is inderdaad lastig, maar iets van een sanctie/boete is waarschijnlijk goed mogelijk.
Als ik te hard rij, krijg ik ook een boete ondanks dat ik geen schade toegebracht heb.
Boetes worden uiteindelijk weer door de slachtoffers zelf betaald
Waarom? Staat nergens vermeld dat de banken dit heeft gelekt

Op dit item kan niet meer gereageerd worden.