Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 476 reacties

Door een ontwerpfout in het internetbankieren zijn naam, rekeningnummer en woonplaats van alle 8,9 miljoen Nederlandse ING-rekeninghouders te achterhalen. ING neemt geen maatregelen tegen dit privacy-issue.

Het achterhalen van privégegevens gaat via de overmaakfunctie van het internetbankieren van ING. Als iemand geld probeert over te maken naar een andere ING-klant controleert de bank of naam en rekeningnummer overeenkomen. Zo niet, dan verschijnt boven in beeld een melding met de vraag of het inderdaad de bedoeling is dat naar die persoon geld wordt overgemaakt. Daarbij staan veelal voorletters, achternaam en woonplaats vermeld.

Dit is bedoeld als service, maar kan gemakkelijk worden misbruikt. Kwaadwillenden kunnen een rekening openen en door een scriptje te maken de namen, woonplaatsen en rekeningnummers van alle ING-klanten achterhalen. Degene die Tweakers.net hierover tipte, heeft de proef op de som genomen en een lijst achterhaald met de 250 'eerste' rekeningnummers, van 0000001 tot 0000250. Om privacyredenen publiceren wij die lijst niet. Van de methode kan onder meer misbruik gemaakt worden door een database aan te leggen van ING-klanten. Een dergelijke database zou in het illegale circuit veel geld kunnen opleveren.

ING is niet van plan het opvragen van privégegevens onmogelijk te maken. "We maken een afweging tussen het risico op misbruik en de service aan klanten", aldus ING-woordvoerder Daan Heijbroek. "Tijdens een enquête bleek dat 94 procent van onze klanten blij is met deze service, die voorkomt dat mensen geld overmaken naar de verkeerde." Een mogelijke oplossing zou zijn een maximum, van bijvoorbeeld duizend, te stellen aan het aantal dagelijks op te vragen privégegevens. "Dat gaan wij niet doorvoeren, want wij achten het risico dat dit wordt misbruikt niet groot." Wel voert ING een wijziging door waardoor de woonplaats niet meer zichtbaar is.

De check op rekeningnummers bestond overigens al jaren, maar het was tot op heden onbekend dat deze misbruikt kon worden op deze manier. Kwaadwillenden zouden dit kunnen misbruiken om bijvoorbeeld bij grote groepen mensen via de automatische incasso of een eenmalige afschrijving een bedrag af te schrijven. Eerder al trok de Consumentenbond aan de bel over het incassosysteem omdat dit fraudegevoelig zou zijn.

Melding privé-gegevens bij internetbankieren ING

Moderatie-faq Wijzig weergave

Reacties (476)

1 2 3 ... 16
Dit is al jaren zo, ook voorheen bij de Postbank. Misschien moet de redactie ook maar even in de telefoongids kijken. Daar staat vrijwel iedereen in met naam, voorletters en adres. Het functioneert als beveiliging tegen overboekingen naar verkeerde rekeningen. Het is dus een keuze namelijk hoe ga je met mogelijke transacties om naar verkeerde rekeningen. ING heeft deze verificatie waardoor een groot deel van deze mogelijke transacties voor verzending wordt gecorrigeerd door de klant. In plaats van dat bank naderhand het geld moet zien terug te storten, wat niet altijd lukt als de eigenaar van de andere rekening het ondertussen al verbruikt/opgenomen heeft.

Overigens is een rekeningnummer niet echt prive. Aangezien alle bedrijven waar jij betaald met je PIN-pas je nummer bekent is. Bij de ING kan je niet inloggen met je rekeningnummer dus voor de veiligheid maakt het niet uit.

[Reactie gewijzigd door Cobalt op 2 december 2010 17:11]

Vergeet niet dat oude postbank rekeningnummers niet aan de elfproef hoeven te voldoen zoals 'gewone' bankrekeningnummers.
Dit betekent dat bij een kleine typefout de kans erg groot is dat je een echt bestaand rekeningnummer te pakken hebt. Dit is bij een gewone rekening niet zo.

Door nu af te dwingen dat je de juiste naam-nummer combinatie hebt zorgt ING ervoor dat er op deze manier geen fouten worden gemaakt. Maar dan moet je dus precies weten hoe de rekeninghouder bij ING is geregistreerd.

Deze 'feature' geeft dus bij afwijkende naam aan wat er bij ING geregistreerd is (en vult die ook nog voor je in, in het naam veld' ) En geeft je de kans om nog eens goed te kijken of het wel klopt.

Ik denk dat de hoeveelheid fouten dat dit voorkomt sterk opweegt tegen eventuele mogelijke misbruik.
Volgens mij vind je met google makkelijker deze gegevens.
Bovendien zit deze optie al 5 jaar in deze applicatie. De eerste versie was gebaseerd op Siebel en die is binnen 1 jaar na introductie vervangen door een versie gebaseerd op Websphere i.v.m. performance problemen en te beperkte schaalbaarheid van de Siebel versie.
Voor de mensen die vergeetachtig zijn onder ons, de Mijn Postbank.nl is van naam veranderd toen de Postbank naam door ING werd opgeheven. Mijn Postbank.nl werd toen mijn ING.
Paniek is 5 jaar te laat, maar ze zijn nogal gevoelig voor publicaties bij ING dus het zal mij niets verbazen als het binnenkort weg is.
Ach, bestaat al jaren. Handig als je eens een nieuwe persoon geld overmakt voor iets. Jammer dat het alleen ING klanten bevat.
Ook leuk dat je kan achterhalen dat persoon X met rekening nummer Y in stadje Z woont als je die intentie hebt. En dan?

Telefoon boek? sta ik niet in (kan jij ook doen).
Google search? Niks te vinden over mij dat te koppelen is.
Automatische incasso? terug te vorderen door rekening houder.
Gegevens bij de gemeente opvragen? Succes, gaat je niet lukken (iets met privacy en achterdocht van de gemeente ambtenaren. Ja, heb ik positieve ervaring mee).

Leuk dat Tweaker.net schrijft dat "Een dergelijke database zou in het illegale circuit veel geld kunnen opleveren.". Makkelijke zin, weinig inhoud en vooral oproer creerend. Beetje angst inboezemen bij mensen.
Nee, ik zie hier geen probleem mee. Helaas zien sommige mensen overal een probleem mee.
Tijdens de bouw van het Girotel proefsysteem midden jaren tachtig is dit uitgebreid besproken. Deze wijze van controle op naam-nummer is by design!
Nostalgie: ik heb de routines daarvoor toen zelf geschreven in assembler. Zullen inmiddels wel zijn vervangen. :)
Het is in ieder geval interessant om te horen dat een designbeslissing van 25 jaar geleden nog steeds wordt gehandhaafd.

Ik kan begrijpen dat midden jaren 80 een dergelijk systeem wenselijk en afdoende was, maar tijden veranderen en de snelheid waarmee je nu deze gegevens kan opvragen is even wat anders dan in de 80's.

Daarbij is het belang van gegevens ook groter. Doordat er dankzij het internet inmiddels vele bronnen voor persoonsgegevens zijn, wordt het 'crosslinken' van deze verschillende bronnen telkens eenvoudiger.

Om maar een voorbeeld te noemen:
- Je haalt bij de ING een naam, voorletters woonplaats, rekeningnummer van hun rekeninghouders op.
- Je haalt bij de KPN naam, voorletters, adres en woonplaats, telefoonnummer van hun abonnees op.

Men combineert de gegevens, en hebt een lijst met (een bepaald percentage) kloppende persoongegevens: naam, voorletters, adres, woonplaats, telefoon -en rekeningnummer.

De koppeling van deze 2 gegevensbronnen betekend al dat:
- Dat je achterstevoren een rekeningnummer bij een naam kan vinden.
- Dat je gerichte mailings (per brief) kan doen naar ING klanten
- Dat je gericht kan phishen
- Dat je gerichte telefoonscams kan uitvoeren. ("Hallo meneer X, wij zijn van PT Telecom, wij informeren u dat wij een bedrag van Y euro van uw rekeningnummer Z af gaan halen, gaat u daarmee akkoord?")

Hoe ingewikkeld is het vervolgens om aan emailadressen te komen bij dergelijke gegevens? Of aan een hyves/facebook/myspace usernames behorende bij de persoonsgegevens.

Door al dat crosslinken wordt je initieele database wel wat uitgedund, maar met een (theoretisch) startaantal van 8.9 miljoen rekeninghouders, houdt je ongetwijfeld een bruikbaar gedeelte over.

Krijg je straks sites, waar je adv. een hyvesnaam een rekeningnummer kan opvragen :P

Het gevaar zit dus ook niet niet zozeer in de individu die op zijn internetbankieren 1 rekeninghouder bij 1 rekeningnummer kan vinden. Het gevaar zit het in de automatisering! Persoonsgegevens van 1 persoon zijn niet interessant, van 100 ook niet, maar van 1.000.000 wel. Het is opmerkelijk te zien in de reacties, dat dit niet wordt ingezien door de veel tweakers.

Oh, en over het probleem: "Ja maar als je dan als ING gebruiker zo'n lijst van hun site loopt te trekken, dan ben je toch niet anoniem?"

Dat klopt. Echter dankzij ING's inlogsysteem (username+pass) is de ING met name gevoelig voor Phishing. Dankzij TAN codes e.d. valt er op het eerste gezicht niets te halen bij een 'gestolen account'. Wie verder kijkt ziet dat er wel degelijk iets te halen valt: Anonimiteit! Dankzij oma's gephishede account kan InbrekerX nu anoniem de data bij de ING weg lopen trekken. (voor het klaarzetten van een overschrijving ben je namelijk geen TAN code nodig) Handig voor InbrekerX. Lang leve de ING.

Tijd voor de ING om het een en ander in heroverweging te nemen. De 80's zijn voorbij, en het internet is niet enkel voor braverikken.

[Reactie gewijzigd door octabit op 3 december 2010 01:59]

Ik kan begrijpen dat midden jaren 80 een dergelijk systeem wenselijk en afdoende was, maar tijden veranderen en de snelheid waarmee je nu deze gegevens kan opvragen is even wat anders dan in de 80's.
Ohja? Je kan tegenwoordig sneller een DVD downloaden, maar de halve kilobyte die voor zo'n aanvraag heen en weer gaat, maakt over ISDN óók niet echt uit.
Om maar een voorbeeld te noemen:
(knip lange open deur)
- Dat je gerichte telefoonscams kan uitvoeren. ("Hallo meneer X, wij zijn van PT Telecom, wij informeren u dat wij een bedrag van Y euro van uw rekeningnummer Z af gaan halen, gaat u daarmee akkoord?")
En dat kan niet zonder het rekeningnummer te weten? Mensen die daar intrappen, doen ook de volgende stap:
- Van welk rekeningnummer mogen we het bedrag afschrijven?
-- doe maar van ....
Hoe ingewikkeld is het vervolgens om aan emailadressen te komen bij dergelijke gegevens? Of aan een hyves/facebook/myspace usernames behorende bij de persoonsgegevens.
Het rekeningnummer voegt niets toe aan de al bekende gegevens uit bijvoorbeeld het telefoonboek, omdat het (inderdaad) relatief weinig op iemand's homepage te vinden is.
Krijg je straks sites, waar je adv. een hyvesnaam een rekeningnummer kan opvragen :P
Ohjé, krijg je zometeen dat íedereen geld kan overmaken naar pipo23, omdat nu iederéén haar rekeningnummer kent!?
niet, maar van 1.000.000 wel. Het is opmerkelijk te zien in de reacties, dat dit niet wordt ingezien door de veel tweakers.
Het verschil met een database aan mailadressen of telefoonnummers is, dat je met mijn rekeningnummer (326584) (jaja, de kenners kunnen nu mijn échte woonplaats, offline, vinden!) mij niet echt kunt "spammen". Ja, je kan m'n rekeningnummer "pingen", maar dat is het wel zo ongeveer. Als je m'n adres hebt, kun je op bezoek komen, verveldende foldertjes sturen of een kerstkaart. Als je m'n telefoonnummer hebt, kun je me 's nachts bellen, zodat ik de volgende ochtend een vervelend SMS'je krijg als ik m'n telefoon weer aanzet. Met m'n rekeningnummer kun geen dingen doen die meteen m'n aandacht nodig hebben.
Dat klopt. Echter dankzij ING's inlogsysteem (username+pass) is de ING met name gevoelig voor Phishing.
Je bent voorál gevoelig voor kwaadwillenden die expres vier keer een verkeerd wachtwoord invullen voor álle klanten van ING.
De meeste inlognamen zijn gebaseerd op de echte naam.(daar waarschuwde men laatst nog over)
Als men een lijst met echte namen heeft achterhaald…
Nostalgie: ik heb de routines daarvoor toen zelf geschreven in assembler. Zullen inmiddels wel zijn vervangen. :)
Als dat op 't proefsysteem was hoop ik het wel ;-)

Ik had verwacht dat het systeem op 'n mainframe draait, en dus meestal COBOL en geen assebler. Dat is niet het geval? Als het aan de andere kant op 'n mainframe draait, lijkt me de kans groot dat je code nog steeds de kern van de functionaliteit vormt :-)
Dus het design specificeerde dat al die informatie getoond moest worden en dat het volstrekt ongelimiteerd opgevraagd moest kunnen worden. Lijkt me stug.

De controle op foute invoer is vast wel by design, maar deze misbruikmogelijkheden vast niet. Daar is zeer waarschijnlijk indertijd helemaal geen rekening mee gehouden. Dát is de ontwerpfout, niet het bestaan van de feature.
Gemengde gevoelens.

Ikzelf vind het wel prettig dat het automatisch controleerd of de gegevens wel overeen komen, zo maak je niet een typefout.

Maar in hoe verre kan dit echt misbruikt worden?
Hoe ver kun je komen met een naam, rekeningnummer en woonplaats?
Het kan misbruikt worden op de manier zoals T.net aangeeft.

Aan de andere kant kan het alleen misbruikt worden door klanten van de ING.
En mensen die dit soort dingen willen misbruiken willen dat juist anoniem doen, en dat kan in dit geval dus niet.

Wat dat betreft is het gevaar dus niet erg groot, omdat de schuldige makkelijk te achterhalen is.


Desondanks is er ook wel een prima methode om dit af te vangen. Namelijk tarpitting.
Bij Mailservers wordt dat veel gebruikt.

Het is namelijk heel handig als een mailserver bij een inkomende connectie aangeeft dat een bepaald adres niet bestaat. Als jij dan een typefout hebt gemaakt dan krijg je tenminste een bericht terug daarover.
Maar spammers kunnen op die manier heel makkelijk een directory "harvesten". Je probeert gewoon alle name die maar mogelijk zijn.
Microsoft heeft daar ooit een test mee gedaan en in 10 minuten zou je op die manier bij een bedrijf met 100.000 werknemers alle addressen kunnen verzamelen.

De oplossing is vreselijk simpel: Je voegt een vertraging van een paar seconden in zodra er een niet bestaand adres geprobeerd word. (of in het geval van de ING bij elke verificatie). Ipv 10 minuten ben je ineens miljoenen jaren bezig met het verzamelen.
Voor dat mailtje met een verkeerd adres is het totaal niet erg dat het een paar seconden langer onderweg is. Voor zo'n verificatie ook niet. En het levert de server ook geen hogere load op.
Het kan misbruikt worden op de manier zoals T.net aangeeft.

Aan de andere kant kan het alleen misbruikt worden door klanten van de ING.
En mensen die dit soort dingen willen misbruiken willen dat juist anoniem doen, en dat kan in dit geval dus niet.
Jawel. Je hebt toegang nodig tot de rekening van 1 "oud vrouwtje" en je kan zo anoniem als je wil je gang gaan.

En nog altijd geldt, voorkomen is beter dan genezen.
Want ik kan voorkomen dat mijn rekening nummer, naam en woonplaats bekent worden?

Dat rekening nummer moet ik continu gebruiken om transacties te doen. Daar staat mijn naam dan ook automatisch al bij. En het is ook een kleine moeite om achter mijn woonplaats te komen.

Die drie zaken zijn simpelweg geen geheime persoonlijke gegevens.

De enige vorm van voorkomen die hier van toepassing is, is voorkomen dat die drie publieke gegevens voldoende zijn om een rekening te plunderen!
De enige vorm van voorkomen die hier van toepassing is, is voorkomen dat die drie publieke gegevens voldoende zijn om een rekening te plunderen!
Ik kan niet aflezen waar je de ó hebt staan, in de eerste of de tweede lettergreep ;-)


Ik zie een veel groter risico, dat hier nog onbelicht is gebleven: als onbekenden mijn rekeningnummer kunnen vinden zonder dat ik het weet, zouden ze wel eens een bedrag op mijn rekening kunnen zetten, zonder mijn toestemming (!)
dat is genoeg om éénmalige machtigingen voor elkaar te krijgen bij veel winkels (zowel on- als offline).
Die je (voor zover ik weet) daarna kan laten storneren omdat jij geen authorisatie hebt gegeven voor de machtiging. Het is dan aan de webwinkel + ING om aan te tonen dat jij dat wel hebt gedaan, en dat kunnen ze dan niet. De nadelige gevolgen zijn dus maar tijdelijk.
Eenmalige machtigingen kun je niet storneren. Alleen automatische incasso's kun je storneren. Je zult zelf contact moeten opnemen met degene waar het geld naar toe is gegaan. Als deze weigert het geld terug te boeken, zul je daadwerkelijk aangifte bij de politie moeten doen. Met die aangifte kan de politie samen met een referentie nummer de bestel gegevens (naam, adres, pc, woonplaats, telefoon, email, etc) achterhalen waarna een strafrechtelijk onderzoek kan worden begonnen. Gelukkig gaan de meeste webwinkels hier redelijk goed mee om zodat het meestal niet zover hoeft te komen.

Daarbij hoeft een bank in deze gevallen helemaal niet aan te tonen. Het is de incasso opdrachtgever welke moet aantonen dat de eenmalige machtiging legitiem is. Daarbij ligt de bewijslast in eerste instantie bij jouw.

Juist omdat eenmalige machtigingen zo eenvoudig zijn te misbruiken wil de consumentenbond een verbod op eenmalige machtigingen.
het probleem is niet zo groot als je nu doet voorkomen... als een bedrijf hier namelijk mee rotzooit, mogen ze binnen de kortste tijd geen machtigingen meer aanleveren.

[Reactie gewijzigd door cire op 2 december 2010 21:59]

Dat zal het, ongetwijfeld overal geregistreerde, bedrijf Illegale Jathenk BV inderdaad erg pijn doen... ;)
Jathenk BV moet eerst een licentie van de bank hebben om eenmalige incasso's uberhaupt te kunnen innen. Dus ja, het kan Jathenk BV veel pijn doen als het dat kwijtraakt.

[Reactie gewijzigd door Fireshade op 3 december 2010 10:27]

voor eenmalige machtiging heb je een licentie nodig
bij (te veel) foute machtigingen raak je deze licentie kwijt
Dit kan je simpelweg ook doen door op marktplaats tegen iemand te zeggen dat je interesse hebt en je hem zijn bankgegevens laat doorgeven.

En zoals hierboven al is vermeld, dit is inderdaad al zoveel jaar aan de gang, de postbank werkte met prcies hetzelfde systeem voordat ING ze overnamen.
Verschil is wel dat je dan zelf rechtstreeks contact op moet nemen met je potentiele slachtoffer. En dat diegene daadwerkelijk zelf kan kiezen of ze jou hun rekeningnummer geven.

In dit geval bepaalt de ING voor jou, zonder je medeweten, dat ze je naam en adres afgeven aan iemand die jouw rekeningnummer opvraagt.

offtopic: Dit is mijn 2500e post hier op Tweakers! Woot woot! Echt een mijlpaal! _/-\o_

* OddesE pinkt een traantje weg.
nee hoor. rekeningnummer is afdoende. pietje puk uit 1000AA pakt elk systeem. dus op dat vlak niets aan de hand. zou alleen achternaam tonen en niet woonplaats+voorletters persoonlijk.
Misschien is het inderdaad niet veilig. Ik vond het wel een zekerheid, dat je zeker wist wie de persoon is naar wie je het geld overmaakt. Dit is toch al heel lang zo, weet niet anders meer dan dat dit zo is..
Precies. En elke keer als ik het gebruikte dacht ik "dat is ook makkelijk te misbruiken". En ging gewoon weer verder met mijn bezigheden.

Lekker boeiend :)
Dat dus. ik vind 't retehandig ^O^
Snap ook niet waarom het hier een ontwerpfout wordt genoemd. Lijkt me dat dit gewoon by design is, en ik hoop dat ze het zo laten.

[Reactie gewijzigd door Danny op 2 december 2010 17:27]

inderdaad. Tweakers wtf, beetje stemmingmakerij en is echt al jaren zo, lekker boeiend. En dat het pas nu bekend is dat dit te misbruiken is lijkt me ook onzin want dat kan elke harry bedenken.

Fraudegevoeligheid lijkt me ook onzin want je krijgt geen rekening zonder dat je bekend bent bij ING en zomaar geld naar jezelf overmaken via auto-incasso oid lijkt mij behoorlijk gedoemd te mislukken.

dat jullie het designfout noemen lijkt me ook onjuist, temeer daar de ing woordvoerder aangeeft dat het bewust is. Dan is het geen fout maar zijn jullie het er niet mee eens.

[Reactie gewijzigd door Garma op 2 december 2010 18:13]

Ja dit is al jaren goed fout.
Ik heb dit in 2008 aangekaart bij de toenmalig Postbank, omdat ik het echt niet vind kunnen.
Een mogelijk scenario hoe criminelen dit kunnen misbruiken:
  • Criminelen weten een lijst te genereren van girorekeningnummers, rekeninghouders en woonplaatsen.
  • De criminelen matchen deze personen met het telefoonboek, dit levert een lijst met mogelijke adressen op, waarvan er een aantal mogelijk correct zijn.
  • De criminelen sturen een brief naar de adressen in naam van de Postbank, waarin de naam, woonplaats en het rekeningnummer wordt vermeld.
  • Rekeninghouders die een brief ontvangen waarin alle gegevens correct worden weergegeven, zullen deze brief mogelijk als legitiem zien, juist door de correcte persoonsgegevens in de brief.
Helaas zagen ze dit bij de Postbank / ING ook niet in.
Overigens verontrustend dat veel reacties geen verontrustende reacties zijn, maar vrij naieve reacties... Dit probleem is nl. zeer gevaarlijk...

Ook een reactie dat je een rekeningnummer nodig hebt om deze gegevens te achterhalen, doet mij niet vermoeden dat er aan trojans is gedacht...

Ik wilde het ooit ook eens bij Kassa / Radar / Consumentenbond / AFM melden.
Wellicht dat ze het nu oppikken.
En anders lever ik de tip wel :)

[Reactie gewijzigd door Zarc.oh op 2 december 2010 22:56]

Je reactie klopt in mijn ogen niet, omdat je niet aangeeft hoe de gegevens uiteindelijk gebruikt gaan worden. Een brief kan er helemaal legitiem uitzien, maar als ik dan een antwoord stuur naar de ING denk ik dat ik dat naar het adres van de ING doe (zowel via e-mail als via normale briefpost) dus dan krijg je nog geen nieuwe gegevens van me (als ik ze natuurlijk al stuur ;)). Een groter probleem is dat de gegevens gebruikt kunnen worden voor eenmalige incasso's. Dat is echter een ander probleem dat op zichzelf staat en in mijn ogen eerder opgelost moet worden: klik
Als er op de brief staat als retouradres

ING bank
Antwoordnummer 859
5050 EA Eindhoven

dan ga ik niet controleren of dat antwoordnummer wel van de ING is.
Ik stuur niets naar de bank waarvan ik weet dat de bank dat al moet kennen en elk mens met een gezond verstand doet hetzelfde. Als de boefjes al die gegevens hebben weten te verkrijgen wat zullen ze dan naar vragen in die brief waar ze iets mee kunnen zonder dat alle alarmbellen bij de geadresseerde gaan rinkelen?
Er zijn genoeg mensen die vrijwel alles opsturen als ze denken dat het echt van de bank komt... en de 'boefjes' zijn vaak heel goed in staat om overtuigend te zijn! Het is fijn voor jou dat jij dat ten alle tijden door hebt maar helaas geldt dat niet voor iedereen...

Vaak betreft het ook ouderen die nog uit een andere tijd stammen; een tijd dat je nog naar een bank toe kon en persoonlijk contact had.
Deze mensen zijn vaak ook makkelijk bang te maken. Bijvoorbeeld door te melden dat ze kans lopen hun geld te verliezen als ze niet snel alle gegevens opsturen!
Vaak wordt er door bedrijven een voorgedrukte envelop meegestuurd ... als de 'boefjes' dat doen zullen veel mensen dus wel degelijk hun antwoord naar hun terugsturen.
En hoe is dat gevaarlijker dan een brief waar hetzelfde op staat behalve je rekeningnummer?

En dan nog: Wat wil je ze vragen? Om hun gebruikersnaam, wachtwoord en 25 eerstvolgende TAN-codes te retourneren? Niemand die daar in trapt.
Zoals al regelmatig is bewezen met fishing-aanvallen in het verleden: jawel hoor! Heel veel mensen trappen daar in... (vaak ouderen voor wie alles nieuw is en die daardoor makkelijker voor de gek te houden zijn. Helaas wordt daar toch veel misbruik van gemaakt)
ja idd je hebt gelijk. Dit is bewust gedaan en is ook voor mij(en 94% van de andere INGklanten) een hele handige functie. Ik hoop dat deze functie blijft...
en wat gaan de dieven nu doen met mijn rekeningnummer? Er geld op storten?

Tot zolang ik geen opdracht geef gebeurt er helemaal niets. Ik snap dit niet zo... wat is er nou verkeerd aan??
@ Royale de luxe
Heb je het artikel dan wel begrepen? Er zijn meerdere manieren mogelijk om geld van jouw rekening te halen zonder dat jij daar opdracht toe geeft.

Als ik bij een webshop iets aanschaf en dat betaal met eenmalige incasso en ik vul jouw gegevens in ben jij blut en heb ik spullen. Jij hebt geen opdracht gegeven....

Met deze website is het dus heel eenvoudig geworden om valide bank gegevens (rekening, naam en plaats) te achterhalen, meer is niet nodig voor zo`n eenmalige incasso.

Natuurlijk zijn hier dan nog twee problemen om als oplichter op te lossen en dat is het niet traceerbaar maken van je online bestel actie. (eenvoudig via een open wifi netwerk) en de laatste is het niet traceerbaar maken van de uitgeleverde bestelling, deze laatste is wat lastiger, maar ook daar zijn wel mogelijkheden voor.

Naast deze misbruik procedure zijn er nog wel meerdere oplicht praktijken mogelijk door deze gegevens. Niet voor niets zijn dergelijke gegevens flink geld waard in het illegale circuit, die geven echt geen geld voor iets waar ze niets zinvols mee kunnen.

Andere banken hebben deze functionaliteit toch ook niet, daar klaagt toch ook zelden of nooit over het ontbreken van die functie.
"Er zijn meerdere manieren mogelijk om geld van jouw rekening te halen zonder dat jij daar opdracht toe geeft."

En dat is een veel groter veiliigheids probleem dan een adreslijstje.

Als je uit privacy redenen niet in die lijst wil opgenomen worden is een zwitserse bank een oplossing.
Als je uit privacy redenen niet in die lijst wil opgenomen worden is een zwitserse bank een oplossing.
En dan kom je ineens op een CDtje te staan wat de belastingdienst weer koopt. ;)
In oostenrijk kun je ook een Sparbuch aanvragen, ik geloof dat die alleen met contant geld werken en niet centraal geregistreerd worden. Je dient dan het wachtwoord te kennen en het spaarboekje te overleggen om geld te kunnen opnemen. Overigens zijn deze boekjes alleen voor oostenrijkers aan te vragen, maar ze zijn eenvoudig over te dragen aan iemand anders. Dus je hoeft alleen een oostenrijkse student om te kopen voor een paar tientjes en je bent klaar voor de start.
Of op WikiLeaks. ;)
Daarmee geef je alleen maar aan dat de beveiliging van eenmalige incasso waardeloos is. Niet dat de beveiliging van ING slecht is.

Je rekening, naam en plaats geheim houden is immers alleen maar "security through obscurity"

Hoe kun je nu je rekening geheim houden als ie bij elke transactie die je doet zichtbaar is?
Misschien pleit de consumentenbond niet voor niets voor het afschaffen van de eenmalige incasso?

Linky: nieuws: Consumentenbond wil af van eenmalige incasso bij webwinkels
Gelukkig kun je als benadeelde in zo'n geval wél eenvoudig je geld terugkrijgen. Een incasso is wettelijk gezien namelijk alleen geldig met een handtekening. Die is er niet, en dus is de bank altijd verplicht je het geld terug te geven.
"Als ik bij een webshop iets aanschaf en dat betaal met eenmalige incasso en ik vul jouw gegevens in ben jij blut en heb ik spullen. Jij hebt geen opdracht gegeven...."

Dus niet; als de webwinkel geen handtekening kan reproduceren (en dat kan niet want in jouw voorbeeld vul je alleen gegevens in) is de transactie ongeldig. 1 telefoontje naar je bank en ze kijken of ze een handtekening van de webwinkel hebben gekregen en zoniet: de overboeking naar de webwinkel wordt teruggedraaid en de winkel heeft geen spullen en geen geld! Hadden ze maar een door de bank voor webtransacties goedgekeurde methode moeten gebruiken (accept giro, credit card bijvoorbeeld).
Probleem 1:

stap 1:

Eerst verander je je mac adres hiervoor kan je SMAC gebruiken,

Stap 2:

Koop een VPN(eentje die niks opslaat) Deze raad ik aan te kopen in het ilegale wereldje.

stap 3:

Gebruik proxy's(de hele mikmak

Probleem2:

Verstuur die zooi naar een huis waar wel mensen wonen maar die op vakantie zijn; hierna bel je bij de buren aan en zeg je dat je een pakketje hebt verstuurd. Met prongeluk de verkeerde gegevens.

Neem hierbij een aantal officëele documenten mee van de aankoop van het product.

zorg dat je er netjes uit ziet. Duidelijk praat, en alles zou gesmeerd moeten lopen.


Zo zou ik het doen.
inderdaad, ik snap ook niet waar nu die ontwerpfout inzit,

@I-chat, je hebt zeker nog nooit gehad dat iemand naar jou verkeerd heeft overgeboekt?
Bij alle banken krijg je dan een brief thuis (iig wel bij de ing) alsof je een groot misdaad hebt begaan en dat ze met sanctie's zullen volgen als je het X-bedrag niet binnen een maand terug stort,

Dat vind ik te zot voor woorden, daar heb ik heel wat privacy voor over om van dat "gemekker" van die banken af te zijn aangezien toch echt iemand anders zijn geld op mijn rekening stort.
Waarschijnlijk iets in de richting van phishing. Met gegevens kunnen ze phishing mailtjes natuurlijk nog echter laten lijken..
@Royale de Luxe
en wat gaan de dieven nu doen met mijn rekeningnummer? Er geld op storten?
Dat is precies wat prins Mugawe uit Nigeria zei dat 'ie ging doen als ik 'm mijn bankrekeningnummer en naam/adres/etc. zou sturen. In dat ene mailtje, je kent ze wel. $20,000,000 dollar om precies te zijn. Dus idd, ik zou me nergens druk over maken...privacy is immers voor mensen die iets te verbergen hebben, niet? Misschien moet ik prins Mugawe eens adviseren een rekening bij de ING te openen. ;)

[Reactie gewijzigd door tofus op 2 december 2010 22:23]

blijkbaar hoor ik dan bij de 6% die dit een belachelijke situatie vind,
je internetbankier code via sms, nu weer naam en woonplaats gewoon online
dt betekend voor mij dat er een hogere prio wordt gegeven aan het opheffen van deze rekening... een maximum van 10 controles per dag voor particulieren en 1000 voor bedrijven kan dus blijkbaar al niet eens meer ... lekkere bank ben je dan...

er worden wel eens meer dingen niet gepatched (ov chipkaar anyone) en idereen valt erover, maar identiteitsfraude - ach who cares, toch??
Volgens mij hoor ik bij de weinigen hier die dit belachelijk vind.
Mensen die zeggen dat ze dit retehandig vinden, moeten even bedenken hoe vaak je al geld naar de verkeerde persoon hebt overgemaakt? Daarnaast kan je vrij snel dit soort betalingen ongedaan maken. In het rechtssysteem zijn er daarom ook artikelen aan gewijd, namelijk die van onverschuldigde betalingen.
Daarbij zou ik uitermate angstig zijn dat mijn gegevens dus misbruikt zouden worden, dat iedere harry dit kan bedenken, maakt het juist nog erger.
Ben blij als ik dit soort dingen lees dat ik geen klant van de ING bank ben.
Daarnaast kan je vrij snel dit soort betalingen ongedaan maken
Dit soort betalingen kun je niet ongedaan maken, alleen een automatische incasso kun je terugboeken. Als je handmatig geld overmaakt naar de verkeerde persoon kan de bank hooguit verzoeken dit terug te boeken.
Precies, dat betekent dus dat de fout die wordt voorkomen moeilijker is te corrigeren dan de fraude die mogelijk is door een onterechte incasso. Je kan er hooguit overheen kijken of het te laat opmerken. Gewoon een risicoanalyse die de ING heeft uitgevoerd.
Maar dan kan de ING alsnog de beveiliging verbeteren door een maximum aantal keer iemand een fout rekeningnummer in te laten voeren, zoals ook aan ze voorgesteld is maar wat ze geweigerd hebben. Blijkbaar geeft de ING geen moer om beveiliging, anders zouden ze zoiets wel invoeren, de klant merkt immers niks van zo'n beperking van bijvoorbeeld maximaal 100 keer fout invoeren per dag.
Dan duurt het bijeen sprokkeln wat langer, maar blijft mogelijk.
Mensen die zeggen dat ze dit retehandig vinden, moeten even bedenken hoe vaak je al geld naar de verkeerde persoon hebt overgemaakt
Ik ben al een keer of 3 verhinderd van die fout door de enorm handige feature van de ING, die idd al jaren bestaat.

Wat ik trouwens wel irritant vind is dat dat invoerveld geen punten accepteert. Bank-rekeningnummers worden meestal genoteerd met punten ertussen. Nu kun je dus niet makkelijk copy/pasten, want de kans op fouten vergroot.
Daarnaast kan je vrij snel dit soort betalingen ongedaan maken. In het rechtssysteem zijn er daarom ook artikelen aan gewijd, namelijk die van onverschuldigde betalingen.
Recht hebben en recht krijgen zijn twee hele verschillende dingen. Je bent afhankelijk van de andere persoon, waarvan je niet weet wie er achter het rekeningnummer zit, dus de communicatie loopt weer via de bank van de rekeninghouder. Jij kan die persoon niet voor het gerecht laten slepen, aangezien je compleet geen informatie ervan hebt. Nee, je bagatelliseert hier de zaak enorm.
Hoe schrijf je in godsnaam geld over naar de verkeerde?
Of het nummer komt van internet en is een simpele copy & paste of het staat op een papiertje dat je moet overtypen. Als je geen 15(ish) cijfers kunt overtypen, wat lukt dan wel?
Door alleen maar het gekregen nummer in te typen en niet te kijken of de naam ook klopt kun je naar een andermans rekening geld overmaken. Als je nergens kunt zien wie er bij dat rekeningnummer hoort hoeft de eigenaar helemaal niet degene te zijn die jij geld wil sturen.

"Ja maar ikheb echt geld overgemaakt naar 5333543"
- Nou dat is anders niet het nummer van J Jansen DELFT" Dat had u kunnen zien"

Ik heb mn TAN codes overigens op papier, en vind de check handig
Je bent afhankelijk van de andere persoon, waarvan je niet weet wie er achter het rekeningnummer zit, dus de communicatie loopt weer via de bank van de rekeninghouder.
Maar met de functie waar dit artikel over gaat kan je er wel makkelijk achterkomen :+
Ben blij als ik dit soort dingen lees dat ik geen klant van de ING bank ben.
Heb je bijvoorbeeld een ABN-Amro rekening? Zo eentje waarbij je exact dezelfde handeling moet uitvoeren om in te loggen als om een betaling te bevestigen.

Zo kun je van elke bank wel iets verzinnen waar net even te kort over nagedacht is.
met de e.dentifier 2 is het simpel.

Eenmalig:
Software, Drivers & addon installeren.

e.dentifier2 koppelen, pas instoppen en pin intoetsen en klaar.
Bij betalingen hoeft er alleen pin + bevestiging gedrukt te worden.
Je kunt alleen automatische incasso's ongedaan maken, geen reguliere stortingen naar andere particulieren en/of bedrijven.
Ooit meegemaakt dat je het geld hebt moeten terughalen? Dat is niet vrij snel en al helemaal niet makkelijk als de andere partij niet meewerkt.

Ik controleer het rekening nr altijd meerdere keren, maar vind het handig als er wordt bevestigd dat het inderdaad om de juiste persoon gaat.

Gezeur over privacy gaat soms erg ver, maar dat is mijn mening. Gelukkig voor jouw zijn er andere banken die het anders doen. Ieder zijn smaak.
Jij bent een beetje wereldvreemd.

Betalingen naar de verkeerde persoon zijn voor een particulier bijna niet ongedaan te maken. Je moet zelf het geld terugvragen, de bank doet niets voor je.

Lukt dit niet moet je het via een rechtzaak doen, en heb je het per ongluk op een rekening gestort van iemand die geen rooie cent heeft, dan ben je je geld echt kwijt. Of je moet genoegen nemen met een 10tje per maand terugbetaling.
Klopt inderdaad helaas :'(
Kun jij wel raden wat mij overkomen is.

Was vroeger inderdaad ook in de veronderstelling dat .....
Is dat SMS'je zo onveilig dan? Ik vond het juist een groot voordeel t.o.v. andere banken waar je altijd zo'n kastje nodig hebt... Als ik nu van iemand geld leen kan ik het ter plekke terugstorten.
Het probleem van dat smsje ligt vooral bij smartphones. Stel dat je je smartphone kwijtraakt (hetzij ergens laten liggen, hetzij omdat je gerold wordt), dan kan de oneerlijke vinder / dief makkelijk in de browser de sites van alle Nederlandse banken openen en kijken of bij een daarvan op het inlogformulier de gebruikersnaam automatisch ingevuld wordt. Als dat bij de ING zo is dan heb je de gebruikersnaam al en kun je via sms (die zeer waarschijnlijk op diezelfde smartphone wordt ontvangen!) een password opvragen.
Natuurlijk kun je dat cachen van je gebruikersnaam uitzetten, maar we weten allemaal dat een groot deel van de mensheid dat veel te makkelijk vindt (en niet op de hoogte is van dit probleem), dus de stelling dat de ING hiermee misbruik te makkelijk maakt is wel min of meer te verdedigen.

Eerlijkheidshalve, op dit moment vraagt de ING minstens (eerste scherm, maar er zijn er nog meer) om de volgende gegevens: rekeningnummer, pasnummer, geldigheidsdatum pas en geboortedatum. De eerste drie staan op je pas, de derde slingert overal rond. Een handtasje (met zowel smartphone en bankpas erin) vinden / jatten geeft tenzij er op de tweede, derde of vierde pagina nog iets wordt gevraagd wat niet eenvoudig te achterhalen is dus nog steeds een goede kans om iemands rekening te kunnen plunderen.
een banksite die logingegevens opslaat? zelfs de browser zou dit niet mogen toestaan, en dat is ook zo bij mij voor zover ik weet.
Als ik me niet vergis krijg je een nieuw wachtwoord per brief, of moet je deze zelfs ophalen bij het postkantoor. Dus zo onveilig is het niet. Daar komt bij dat als je hele tas wordt gerold, je (lijkt mij) de rekening zsm blokkeert, in ieder geval voordat je een nieuw wachtwoord kunt ophalen of opgestuurd kunt krijgen.
Je faalt keihard, wachtwoord moet je persoonlijk ophalen met je ID bij het postkantoor.
Als iemand die gestolen heeft komt de foto ook niet meer overeen hè!

En als je spullen gestolen zijn met je pinpas dan laat je gelijk je rekening blokkeren.
@Nibulez
lol, zelfs bij de douane @ JFK airport probeerden ze me het land in te krijgen op het paspoort van mijn vriendin toen ik ze per ongeluk het verkeerde paspoort gaf. Meestal kijken mensen alleen maar naar de cijfertjes die ze in moeten voeren, als dat overeenkomt zijn ze al lang blij.
Ik denk dat jij eerder incorrect bent hier (samen met mddd). Onlangs heeft ING de procedure veranderd en kun je via sms je wachtwoord opvragen.

Zie ook dit bericht:
nieuws: Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update
Als dat bij de ING zo is dan heb je de gebruikersnaam al en kun je via sms (die zeer waarschijnlijk op diezelfde smartphone wordt ontvangen!) een password opvragen.
Nee, want dat wachtwoord moet je persoonlijk op een postkantoor ophalen.
Bij ING kun je hem gewoon naar je telefoonnummer laten sturen. Wanneer je niet meer in kan loggen om welke reden ook is de laatste optie nog een brief.
Email mogen dan weer geen gegevens over gecommuniceerd worden dus vandaar brief.

Maar sowieso, als je mobiel gejat word dan blokkeer je je spul direct toch?
En als tweaker mag ik aannemen dat je PIN niet 0000,1111,1234 of dergelijk is.

[Reactie gewijzigd door ViperXL op 3 december 2010 11:49]

Het is een ontwerpfout en gewoon een tellertje ala "max 100x opvragen per dag" had dit makkelijk kunnen fixen, maar zoals te zien is wil ING dit niet. En niet omdat dit het voor de klant lastiger maakt (immers vraagt geen enkele klant 100x iemand op per dag).
Iemand die in zijn vrije tijd wat handelt e.d. en eens per week de betalingen doen zou dan wel te maken kunnen hebben met dit probleem. Maargoed, ophogen naar 1000 aanvragen per dag lost dat natuurlijk weer op. Echter is het probleem niet dat de gegevens bekend zijn (die zijn makkelijk te achterhalen), maar is het probleem dat eenmalige incasso te makkelijk is (en misbruik van de gegevens dus te makkelijk).
Echter is het probleem niet dat de gegevens bekend zijn (die zijn makkelijk te achterhalen)
Daar heb je gelijk in. Zelfs als je gewoon iets bestelt op een webshop, dan moet je al bij het afrekenen (of bij het registreren op de site) een naam en adres opgeven. Rekeningnummer geef je ze ook bij het betalen (of dit nu incasso, iDeal, overschrijven of een andere methode is maakt niet uit), dus zodra je iets op het web koopt verspreid je deze gegevens al. De combinatie naam en rekeningnummer die ING blootgeeft is dus nogal onschuldig.

Dus het probleem is inderdaad dat automatische incasso makkelijk te misbruiken is, niet dat ING gegevens laat zien die je zelf al overal rondstrooit.
En als iemand het dan toch doet, weten ze wie het is, want die persoon heeft een girorekening bij ze en dat kun je niet anoniem doen.

Een je rekeningnummer is nou niet bepaald een geheim.
Ik denk ook dat het een fout is. Prima om die controle te doen maar doe die controle dan maximaal 5 keer oid.

Het feit dat men hier 250 naam/bankrekeningnummer combinaties heeft weten te bemachtigen vind ik redelijk verontrustend.

En de reactie van de woordvoerder helemaal!
Ongeveer elk bedrijf heeft zijn rekeningnummer op zijn briefpapier staan. En vaak ook nog op de website. Een rekeningnummer is geen geheim, je kunt er niets mee.
Een telefoonboek is dan minstens zo gevaarlijk.
nvm, saldo is hiermee niet bekend

[Reactie gewijzigd door ErwinPeters op 3 december 2010 00:08]

Je kunt ook best wel een paar tekens weglaten en dan heb je niet alle gegevens, maar behoud je wel de functionaliteit.
Neen, gewoon de logische oplossing:

Bij een overschrijving vul je zelf het rekeningnummer en de (familie)naam in.
ING checkt dan op de serverkant of deze ongeveer overeenstemt en indien zo, toont hij de (gecorrigeerde) naam.

Iedereen blij.
Tja, de andere banken checken het helemaal niet.
Dan heb je er weer helemaal niets aan.
Waarom heb je er dan helemaal niets aan, Ja*p*r Ja**sen?

Het is toch voldoende om te zien of je het juiste nummer hebt ingetoetst?
En ook voldoende voor kwaadwillenden om te zien dat het om Jasper Janssen gaat :')
Maar voor massamisbruik is dit genoeg beveiliging aangezien een script dat niet doorheeft.
Zeker wel, waarom zouden diverse websites capcha tests en vragen als "hoeveel is een plus vijf?" implementeren op webformulieren? Omdat simpelere tests gewoon gekraakt worden en alsnog in scripts verwerkt worden.
Wat is simpeler dan dat? Dat er gewoon scriptjes bestaan die van afbeeldingen de tekst kunnen lezen, dat wisten we als dus dat is inderdaad niet mogelijk (daar bedoel ik mee de manier waarbij je van tekst een plaatje maakt, en dus niet de manier dat het zelfs voor mensen moeilijk is te lezen ;) )

Bij massa misbruik wil dit inderdaad niet. Het probleem is echter dat als het verkocht word de informatie dat het van af dat moment gewoon met de hand (lees oog) gaat. De "dieven" lezen wat ze nodig hebben en laten dit waarschijnlijk niet door een computer doen.

Verder vind ik dit systeem op zich wel een goed idee. Alleen dat ze misbruik eventueel pas bij 1000 keer blokkeren, is echt niet normaal. Ik kan me niet voorstellen dat een burger (bedrijven misschien wel) 1000 keer gaat chekken of het wel de goeie is, waarna de transactie gaat. Dit zouden wel moeten invoeren naar mijn mening. En dan zouden ze bij bedrijven dit kunnen verhogen.
Meest simpele check -> meer dan 25 rekeningnummers in het uur ingevoerd? -> tijdelijke blokkade en incidentmelding naar securityteam van ing.

Simpel te realiseren. Meer checks per uur nodig? Doe maar een aanvraag via Mijn ING.

De functie zelf is handig maar er zijn mogelijkheden om de beveiliging/privacy te verbeteren. Als je dit als bank laat liggen maak je jezelf nogal belachelijk.
_/-\o_ 100% met -RetroX- eens. Dit zou naar mijn idee het meest veilige zijn en best uitvoerbare. Ik denk dat we in de nabije toekomst de eerste berichten van misbruik gaan tegenkomen en dan gaat de ING veel meer kosten moeten maken + alsnog een ander/beter systeem bedenken. Maar goed dat ik niet bij die bank zit. Overigens, als ik een bedrag overmaak via telebankieren kan ik dat tot ik dacht 3 weken uit mijn hoofd ook weer terugdraaien. Dat is meestal genoeg tijd voor een bedrijf om mij een betalingsherinnering te sturen waardoor ik getriggered wordt om de afschrijving(en) even na te pluizen en al dan niet terug te draaien.
Helemaal mee eens.
Dat het nu een designfout of een feature is ...... maar dat ze zelfs de simpelste script voor beveiliging links laten liggen geeft het niveau wel aan.

Hoe moeilijk kan het zijn om een max van 100 of 500 checks in te stellen?
Beetje dom aangezien het wel degelijk interesant is om een database met klantgegevens aan te leggen ... ook al zijn het "enkel" naam, woonplaats en reknr.

Ga nu niet roepen dat ik mss para doe maar goed misbruik maken begint met opstapeling van zulke "kleine/eenvoudige" "ontwerpfouten".

Waarom een vinger geven als je weet dat ze je hand en meer willen.

Offtopic: Zit zelf niet bij Rabo maar vindt het verder goede bank, alleen dit is dan jammer.
Rabo ? De meeste ING-ers waar het over gaat zitten niet bij Rabo.
Och, op een forum hadden wij ernstige spam-overlast, en na allerlei uitgebreide pogingen om automatische registraties tegen te gaan (inclusief captchas), namen de problemen niet af. De oplossing? Een script die in het registratie-proces een extra vraag toevoegd: 'Are you human', waarop simpelweg 'yes' ingevuld dient te worden. Sindsdien geen spambot meer die een registratie voor elkaar heeft gekregen.

Dus de maatregelen kunnen best ontzettend simpel zijn, en toch effectief.
NU hebben we alleen de geboortedatum van de hyves pagina en adres uit de telefoongids nog maar nodig en we kunnen aan de slag met ons nieuwe ID.

Veel websites accepteren ook eenmalige machtiging als betaling... volgens mij is het erg makkelijk om dit te misbruiken.

Eenmalige machtiging zou gewoon afgeschaft moeten worden.

Is het trouwens ook mogelijk om aan de ING een adres wijziging door te geven terwijl de rekening houder op vakantie is en om vervolgens een boekje overschrijfkaarten aan te vragen op het nieuwe adres dat je zelf hebt opgegeven? Volgens mij is het zo lek als een mandje.

[Reactie gewijzigd door E_E_F op 3 december 2010 09:15]

Ik vraag me af wat er zo erg aan is als mensen mijn rekeningnummer zouden hebben. Ze mogen altijd storten hoor ^^, mee zullen ze er niet mee kunnen doen.
Je kunt op redelijk wat websites door het afgeven van een machtiging betalen. Enkel die naam en rekeningnummer combinatie nodig.
@MGiles:
Wat dacht je van eenmalige incasso :? Hierboven al genoemd en niet zo eenvoudig te
storneren.

[Reactie gewijzigd door Freee!! op 3 december 2010 10:35]

SNSRegio verplicht je rekeningnummer, naam en plaats in de vullen.
Bij een fout krijg je een pop-up met de melding: Rekeningnummer onjuist!
Zo kan het ook ...
Dat komt doordat op gewone bankrekeningnummers een elf-proef uitgevoerd kan worden, bij gironummers kan dat niet.
de check vind ook plaats op plaats en naam
Welnee, dat is gelul. Alleen het nummer wordt gecontroleerd. Overigens is dit probleem al eens eerder in het nieuws geweest. Toen werd er ook niets aan gedaan.
Het echte probleem is dat de postbank nooit een 11-proef wilde gebruiken. Waarschijnlijk omdat de ambtenaren gewoon te lui waren de 11-proef toe te passen.
Het lijkt mij onlogisch om op naam te checken, omdat die vrij lastig kan: dubbele namen, rare tekens etc. kunnen er dan toe leiden dat je geen geld over kan maken. In andere woorden: waarschijnlijk wordt er alleen op rekeningnummer gecontroleerd (en misschien op het niet leeg zijn van de andere velden).
Dus als je een foute achternaam invult krijg je een melding met 'rekeningnummer onjuist'? Beetje onduidelijk dan.

Dit is een beetje een storm-in-glas-water-bericht als je het mij vraagt, maar dat ING niet een limiet op het aantal aanvragen heeft liggen vind ik een slechte zaak. Verder zouden ze moeten loggen wie de gegevens van een bepaalde rekening 'opvraagt' (door dat nummer te submitten met een foute naam of plaats erbij) om misbruik een stuk riskanter te maken. Je moet zelf een rekening hebben en daarvoor heb je weer een identiteitskaart nodig, dus slim loggen zou in dit geval het een erg riskante operatie maken om zo gegevens op te vragen en dan te misbruiken.
Verder zouden ze moeten loggen wie de gegevens van een bepaalde rekening 'opvraagt' (door dat nummer te submitten met een foute naam of plaats erbij) om misbruik een stuk riskanter te maken.
Schiet je erg weinig mee op; iedereen die hier op echt grote schaal misbruik van wil maken kan echt wel aan login-gegevens van een willekeurige ING-klant komen om de gegevens via dat account op te vragen.
Ik doe mijn naam eer aan op het moment. Maar je moet toch echt inloggen alvorens je 'gebruik' van deze zgn fout kan maken. Mijn inziens dan ook niets fouts aan. Daarnaast, al heb je mijn adres en reknr....je moet mijn telefoon ook komen stelen of mijn lijst met tan codes.

Sowieso, pakket moet ergens heen en/of een reknr waar het geld heen gaat. Makkelijk traceerbaar dus ik zie het punt niet. Algoritmes van die onhandig apparaatjes zijn ook te achterhalen dunkt mij dus ing bashing lijkt me niet nodig!!!
Het is erg makkelijk om niet traceerbaar te zijn, even kwartiertje rond rijden een in-secure wireless zoeken, of gewoon even in een publieke bibliotheek oid. Het "Traceren" van de aanvragen schiet erg tekort aangezien de getraceerde locaties niet altijd nuttige informatie zijn.

Ooh get traceren van een account is niet altijd nuttig, er worden zo veel bank rekeningen "gestolen" / verhandeld op het illegale circuit dat het gewoon niet voldoende beveiliging is.

Het zou echter niet moeilijk zijn voor ING om te voorkomen dat dit soort gegevens te farmen zijn door een scriptje- een maximaal aantal aanvragen en het traceren en catalogeren van systematische aanvragen (ie: Totaal aantal unieke aanvragen in de laatste [x] dagen, per ID & IP).

Het zou simpel weg erg makkelijk te zijn om 90% van de problemen op te lossen zonder enige functionaliteit te verliezen. Als dit een moeilijk te verhelpen probleem zou zijn zou ik ING's standpunt kunnen begrijpen.
Ik vraag me af waarom ze het geheel niet beperken tot bijvoorbeeld X lookups in X minuten....
Dan gaat het wel veel langer duren om de gegevens te verzamelen maar als ze gegevens veel geld op kunnen leveren dan is het toch interessant...

Het gaat om een eenmalige actie; 1 x gegevens verzamelen en klaar!
Standaardgevalletje overdrijven van de media. Er is bewust voor gekozen door ING.

Als ik klant was van ING zou ik me er waarschijnlijk niet echt druk om maken.
Lekker boeiend
In perspectief gezien is de informatie van gecombineerd naam en adres en rekeningnummer is bijvoorbeeld veel meer privacy gevoelig dan een database vingerafdrukken.

Het verbaasd me hoe mild de tweakers zijn over deze vorm van privacy verlies tegen over de berichtgeving rondom de vingerafdrukken.
erger nog, stel je eens voor, voor/achtermaan rekening nummer en een gehackte database met je vingerafdrukken, NU wordt het wel HEEEEL makkelijk om iemands online ID aan te nemen.
En dan, kan je mijn identiteit aannemen op internet, en dan... geld op mijn rekening laten storten?

Ik snap dat mensen niet overal hun naar rond willen zien slingeren als ze dat er zelf niet opzetten. Maar je kunt hier echt helemaal geen zak mee. Naam en woonplaats waren al niet zo moeilijk om te achterhalen, rekeningnummer is nou net het bankgegeven dat juist bedoeld is om compleet veilig aan anderen door te kunnen geven omdat iemand met je rekeningnummer alleen geld op je rekening kan storten, en met de rekening verder helemaal niets kan...

Edit: automatische incasso's dus, ja... :( Altijd al stomme dingen gevonden :P beetje geld afschrijven zonder dat je dat via je eigen account doet, en er dus geen controle is over wie die incasso heeft ingediend. Dat is wat mij betreft nog altijd een grotere ontwerpfout dan deze 'ontwerpfout' van ING. Rekeningnummers behoren nog altijd niet tot de strict geheime data net als alles wat in het telefoonboek staat.

Qua functionaliteit vind ik het wel erg handig, je kunt meteen zien of je het goede rekeningnummer hebt. Ik merk zelf toch altijd wel als er een gekke automatische incasso is.

[Reactie gewijzigd door bwerg op 2 december 2010 19:35]

Het staat dus boven beschreven wat je er mee kan. En daarbij komt dat je misschien even eens wat moet zoeken over mensen die iemand anders identiteit aannemen. Hoe populair dat tegenwoordig is en hoeveel schade daarmee aangericht kan worden.
Ongelooflijk dat je zo'n impulsreactie direct plaatst zonder je zelf in dit soort dingen te verdiepen.
Ja maar voor het aannemen van een identiteit heb je meer nodig dan alleen een rekeningnummer, naam en woonplaats.

Het enige dat je hier mee kan is eenmalige incasso's doen en dat is toch echt een fout van het automatische incassosysteem dat alle banken gebruiken en niet van het internetbankieren van de ING. Het is van de zotte dat je zonder enige vorm van beveiliging incasso's kan doen.

Deze naam opzoek functie zit er trouwens al in sinds Girotel van de jaren '90. En heeft me al een paar keer op fouten gewezen van rekeningnummers die verkeerd door waren gegeven. Maar ik vind wel dat ze er een dagelijkse limiet aan zouden morgen stellen. En je zou eenmalige incasso's moeten kunnen blokkeren op je rekening vind ik.

[Reactie gewijzigd door GekkePrutser op 2 december 2010 20:27]

Ongelooflijk dat je zo'n impulsreactie plaats dat je het ongelooflijk vind dat ik een impulsreactie plaats.

Het is toch zo dat het enige wat hiermee gedaan kan worden, het opgeven van een rekeningnummer is? En dat de enige manier om geld van iemand te krijgen met enkel zijn rekeningnummer, automatische incasso is, wat nou niet echt waterdichte fraude te noemen is? Zo kan je ook een telefoonboek gevaarlijk noemen want oei oei oei, iemand kan iemand bellen en zeggen dat 'ie pietje heet in plaats van zijn echte naam. Ik schrik me een hoedje. :P Je zult wel wat meer moeten doen dan alleen iemand zijn naam hebben, en als je dat wilt doen dan vind je deze niet-geheime informatie waarmee je fraude kan plegen toch wel. Dat ga je niet voorkomen door de autocorrect-functie van ING overschrijven te verwijderen. Nee, het feit dat je iemand zijn rekeningnummer kan zien is niet zo'n ramp dat elke nuancerende reactie een ongelooflijke impulsreactie genoemd hoeft te worden (sowieso vind ik dat nogal een stomme opmerking). Automatische incasso's zijn dan een stuk erger en potentieel schadelijker, evenals fraude in het algemeen, wat niet via de ING-autocorrect gaat. De meeste slachtoffers van fraude werken dit helaas nog altijd zelf in de hand (al zeg ik niet dat ze altijd te naïef zijn of zo), zij het via marktplaats of gewoon door aan te bellen en zeggen dat je even de meter komt opnemen.

Dit systeem wordt al jaren gebruikt en ik heb nog nooit iets over fraude d.m.v. rekeningen zoeken via de ING-controle gehoord, zo populair is het dus...

[Reactie gewijzigd door bwerg op 2 december 2010 23:50]

Elk gegeven is waardevol, iemand anders hier @tweakers wees me laatst op deze VPRO uitzending: http://weblogs.vpro.nl/pr...uliere-onderzoeksbureaus/ , eigenlijk niet heel onverwacht dat het zo makkelijk gaat, maar wel iets om rekening mee te houden.
En van lang niet iedereen is naam/adres/woonplaats/rekeningnr makkelijk te vinden op internet. Van mij verwacht ik inderdaad wel, maar ik zoek zelf ook wel eens wat mensen op (een leverancier wiens gezicht mij ergens bekend voorkomt, een sollicitant, een oude vriend waarvan ik mij afvraag wat hij uitspookt tegenwoordig), en dat is niet 100% hit.
Lekker boeiend :)
Inderdaad een reuze handige functie die zeker moet blijven.

Maar ik kan met de beste wil van de wereld geen GOEDE reden vinden waarom de ING geen maximum aan het aantal aanvragen zou moeten stellen van pak 'm beet 25 per uur. Foute reactie van ING dus!
Idd erg handig, vooral als je via Vraag en aanbod wel eens handeld of helemaal als het via MP gaat. Persoonlik zie ik het meer als een stukje zekerheid en niet als een bug of te kortkoming. Deden alle banken dat maar dan had je denk ik een stuk minder oplichters praktijken.
Controle ben ik het wel mee eens, maar je kan ook weigeren de overboeking te maken als de boel niet klopt

ipv alles tonen
Eensch met Bonus. Mijn vrouw koopt nog weleens een boek via MP. Schrijf ik het over naar een foutieve rekening dan ben ik mn geld voorlopig kwijt en krijg ik vooralsnog geen boek toegestuurd. Nu kan ik zien of de getoonde naam er op lijkt.
Even in 'programmeertaal': ontwerpkeuze != ontwerpfout
Vermoedelijk ten overvloede "!=" betekent "is ongelijk aan" ;)

Dat iemand een andere mening is toegedaan over de eventuele privacy implicaties hiervan maakt deze servicegerichte designbeslissing nog niet plotseling tot een ontwerpfout. Daarnaast is dit ook niet echt nieuws inderdaad, de Postbank deed dit al jaren, en het Postbanksysteem is zo goed als integraal overgenomen door ING.

Daarnaast, afgezien van privacy, zie ik a.t.m. niet echt in hoe dit in de praktijk zou kunnen worden misbruikt: Je kunt dus aan de hand van een rekeningnummer iemands initiaal + achternaam achterhalen... en dan heb dus naam + rekeningnummer. En toen?
Privacy is een belangrijk issue, ik zal 1 van de eersten zijn die dat erkent, maar ik denk dat we met dit artikel en dan m.n. de (nogal tendentieuze) toonzetting ervan toch echt een beetje doorschieten...

[Reactie gewijzigd door Cheetah op 2 december 2010 17:14]

Ja ik vind het ook erg handig!
Maar, waarom laat ing de straat en alles niet weg?
voorletters, achternaam en gemeente geven na mijn idee altijd genoeg informatie om te bedenken of je het rekeningnummer wel goed hebt ingevoerd :)
De feature van ING is juist handig, dit voorkomt fouten tijdens overmaken. JE bent dan je geld kwijt als de ontvanger het niet terugstort.

Je naam en rekeningnummer is niet geheim, dat is ook het probleem niet.
Het probleem is het systeem van de incasso. Dit is jaren geleden (hier, 1997) al aangetoont, en er is nog niets mee gedaan. Iedere jan l*l kan een incasso doen van een willekeurige andere rekening, hierop wordt niet/nauwelijks gecontroleerd door het betalingssysteem.
Inderdaad, wat een ontzettend non-nieuws is dit zeg :O.
Daarbij boeit het totaal niet, met alleen een rekeningnummer en een woonplaats kan je om precies te zijn helemaal niets, behalve geld overmaken naar die rekening. Dus iedereen die het van mij wil weten mag het, graag zelfs.
Van mij mogen ze dit ook gewoon uitbreiden naar niet ING-klanten, dan weet je dat je naar de juiste persoon overmaakt. Mocht ik per ongeluk mijn rekeningnummer onjuist intikken, kan die persoon mij vertellen dat die rekening niet op mijn naam staat, i.p.v. dat het geld overgemaakt is, maar ik nog steeds niets op mijn rekening zie staan.

Ik snap niet waarom dit echt "prive-gegevens" zijn. Dat mijn rekening-nummer aan mij gekoppeld is, zegt nog niets over het prive stuk over mij - het zegt niet wat ik verdien bijvoorbeeld, of waar ik werk, wat voor werk, hoe laat ik daarmee klaar ben, etc.
Heb ik het mis, of overdrijven we dat "prive" stuk volledig? en ik bedoel niet tweakers.net, maar in het algemeen.

Om het dubieus te laten klinken, mijn buren weten ook waar ik woon, ook mijn school/universiteit, de bank medewerken natuurlijk, de postbode. Daar kunnen ze verder niets mee. Of gaat het hier echt om de link met mijn rekeningnummer? Ik zie dan niet wat ze er verder mee kunnen en waarom die informatie zo belangrijk zou kunnen zijn. Die geef ik immers al te makkelijk af bij V&A op tweakers.net
Voor het geven van een eenmalige machtiging heb je een rekeningnummer, een naam en een woonplaats nodig, precies de 3 gegevens die je met zo'n script kunt ophalen.
En een handtekening. Krijg jij die ook uit je script?
who cares?? in de loop der tijd is mijn handtekening stukje bij beetje veranderd niemand die ik daar over heb gehoord, kortom wees een beetje creatief en krabbel iets neer en ze accepteren t.
Mijn handtekening is niet veranderd maar toch vond ing hem laatst niet overeen komen en moet dus binnenkort naar bank toe om me verhuizing te regelen. Eerste keer dat me handtekening echt uitmaakte had ik het idee :P
ik heb zelf nog ooit een smilie in het handtekening vakje getekend nog nooit iets over gehoord :X zo goed werkt dat
oftewijl in90% van de gevallen gewoon niet, net zoals bij een creditcard, als er maar inkt onder term "signature" zit
Soms merken ze het wel. Ik heb wel eens een rekening beheerd voor een studentenvereniging en acceptgiro's getekend terwijl mijn inschrijving als gemachtigde nog niet doorgevoerd was. En die werden dus netjes retour gestuurd met de (automatische) melding dat de handtekening niet geldig was. Ging om de Postbank destijds. Was dus wel een acceptgiro, geen machtiging. Maar dat zouden ze met incasso's ook moeten doen.

In bepaalde gevallen merken ze het dus wel degelijk.

[Reactie gewijzigd door GekkePrutser op 2 december 2010 20:19]

Inderdaad ...
Dat hele gedoe met die handtekeningen vind ik kolder!
Mijn handschrift is zo slecht en slordig dat elke handtekening van mij weer een uniek kunstobject is ... mensen die wat handiger zijn met een pen kunnen mijn handtekening beter namaken dan ik zelf! |:(
En een handtekening. Krijg jij die ook uit je script?
Je TAN-code is dan je handtekening... ;)
Het gaat hier om automatische incasso's, niet om TAN code's. En ik heb zelf inderdaad ook gemerkt dat de ING er wel degelijk op controleert, ik heb zelf alleen afgelopen jaar al 2 keer gehad dat ik naar de ING moest om mn handtekening opnieuw te zetten omdat ze m niet mooi genoeg vonden.
Maar goed, incasso's kunnen natuurlijk altijd worden teruggestort als je t er niet mee eens bent:D
Ik kom van de postbank, dus zit nog niet heel lang bij de ING. Bij de postbank worden deze brieven er 'random' uit gestuurd. Toen ik zo'n brief kreeg en er achteraan ging bellen, omdat ik het vreemd vond gezien mijn handtekening hetzelfde is kreeg ik te horen dat dit steekproefgewijs wordt gedaan. Stukje schijnveiligheid denk ik.
ING en Postbank zijn en waren gewoon dezelfde organisatie. Er is dus niks veranderd.
En dat is juist laatst in het nieuws geweest..
De OK knop bij webwinkels is de vervanger van de handtekening.
Juridisch is het niet echt perfect, maar het werkt.. nogsteeds.

dus ja, dit is toch wel degelijk een risico.
Hou jij je afschriften niet bij dan? Die machtiging kun je zo weer ongedaan maken.
stel dat je om een of andere reden er een keer een mist? kan gebeuren maak je niet druk - de bank is toch wel te vertrouwen (toch?) - nu dus niet meer. nu moet je elke regel verplicht dubbelchecken, en waarom? omdat de ing te lui is om het systeem tegen 'commercieel interessante exploits' te wapenen...
ahja, en jij zit te wachten op alle rompslomp die dat met zich meebrengt?

Want de procuten zijn wel zoek, en de winkel wil wel zn geld, dus mag jij aangifte gaan doen van fraude van jouw bankgegevens. En mag jij een dag vrij nemen om je verhaal te gaan doen bij de bank en de politie.
Ooit je handtekening gezet onder een online machtiging?

:)
Dat is precies waarom een online machtiging niet rechtsgeldig is. Een webwinkel die op basis van online machtiging incasseert heeft geen poot om op te staan, tenzij ze op een andere manier aannemelijk kunnen maken dat jij daadwerkelijk degene bent die besteld heeft. Bijvoorbeeld als de incasso knop achter een login zit waar alleen jij bij kunt. Maar dat is bij een webwinkel niet zo. Kortom, bij een geschil zal het geld altijd teruggestort moeten worden.
Er zijn genoeg voorbeelden van "bedrijven" die bestaan door automatische afschrijvingen te doen bij veel mensen waarvan nooit alles wordt gestorneerd.
Voorheen vroeg ik mij dan af hoe ze aan die gegevens kwamen, dat is nu voor ING gedupeerden dus duidelijk.
Ik ben al bij ze weg maar wanneer dat niet het geval zou zijn, vond ik dit de druppel!

Wat betreft figuren die dit nieuws niet spannend vinden, wacht maar tot je de lul bent met zo'n scam en ineens moeite moet gaan doen om je geld terug te krijgen.

Dat ING hier niets aan gaat doen vind ik zelf gewoon schandalig!
Deels ben ik t met je eens, dat ze er niks aan doen vind ik redelijk belachelijk.

Maar vaak krijg je wel je geld terug, banken zijn als de dood voor spookverhalen dat de bank onveilig wordt omdat iemand zijn geld niet terug heeft gekregen.

Maargoed ik denk dat ik mijn tegoed op die ING rekening maar eens wat omlaag ga doen en ergens anders een rekeningnummer open.

Gelukkig kan je nog net niet zien hoeveel op de rekening staat.

Zou ik wel eens willen weten van ing rekeningnummer 1 :D. Hahaha staan heel wat 0'tjes op :D.
Zolang er geen verificatie van die handtekening mogelijk is, is het X-je ook een handtekening. Achteraf kan het wel gecontroleerd worden en desnoods met handschriftdeskundigen bepaald worden of een 'handtekening' wel of niet door jou is gezet. Maar dat is achteraf, dan is het kwaad al geschied.

[Reactie gewijzigd door robb_nl op 2 december 2010 17:37]

Volgens mij is dit uitstekend te misbruiken voor het innen van acceptgiro's. Je opent een rekening bij een andere bank, moet dan misschien wel enige tijd wachten totdat je acceptgiro's mag innen, en daarna sla je je slag, boekt het geld door naar een buitenlandse rekening of neemt het cash op, en foetsie...
Dat kan niet want de eigenaar van de rekening moet toestemming voor de overschrijving via een TAN geven. Als hij dat niet doet krijg jij geen geld.
Zie mijn commentaar hier boven; voor incasso's is geen tancode nodig, slechts een handtekening, en wat ik uit de comments begrijp, via internet zelfs geeneens meer een handtekening.
Mocht ik per ongeluk mijn rekeningnummer onjuist intikken, kan die persoon mij vertellen dat die rekening niet op mijn naam staat, i.p.v. dat het geld overgemaakt is, maar ik nog steeds niets op mijn rekening zie staan.
rekeningnummers hebben (in belgie althans) een controle-getal op het einde, waardoor je al minstens 2 fouten moet maken. tegenwoordig moet je bij ons zelfs het internationale formaat gebruiken zijnde IBAN en BIC. Zit je fout, dan krijg je gewoon de melding dat je een onbestaand rekeningnummer hebt ingegeven
Het is eigenlijk vooral een probleem omdat je op deze wijze incasso's kunt doen op het rekeningnummer van die persoon, aangezien daar 0,0 controle op is en het vaak nog zeer moeilijk is om in het geval van een onterechte incasso je geld terug te krijgen (ik heb ooit bij een spookincasso uiteindelijk gewoon aangifte moeten doen voordat de postbank/ing mn geld wilde teruggeven)
echt niet een incasso kan je altijd binnen 30 dagen terug boeken. gewoon via internet of telefoon.
en ja het is waar dat je als je het heb aangevraagd zomaar incasso kan gaan doen. Maar er wordt wel degelijk gecontroleerd of de incasso batch geen rare afwijkingen vertoont. Dus zomaar bij 100 duizend rekeningen een 10- 20 euro afschrijven gaat niet lukken.
Klopt, maar het bedrijf kan het vrolijk weer afboeken. Daar heb ik nu last van
En bedrijven blokkeren gaat niet :( :(
In dat geval zou ik even met je bank gaan praten. Ik denk dat die wel contact kunnen opnemen met de bank van dat bedrijf om ze eens op de vingers te tikken.
Klopt, maar het bedrijf kan het vrolijk weer afboeken. Daar heb ik nu last van
En bedrijven blokkeren gaat niet :( :(
Het gat nu niet om een bedrijf maar om boefjes die dat zouden kunnen doen.

Datt jij problemen hebt met een bedrijf doet daar niets aan af. auto-incasso is super makkelijk. moet er niet aan denken om al die rekeningen elke maand weer opnieuw door te spitten.
Bovendien zijn er ook vele die terug boeken terwijl ze wel horen te betalen. al denken ze daar zelf anders over.

[Reactie gewijzigd door trisje op 3 december 2010 00:58]

Incasso's kan je gewoon storneren. Niets moeilijks aan. Bovendien krijg je ook niet zomaar een incasso contract.
@ Polster

Het is echter wel mogelijk om een vreemde incasso op je rekening te krijgen. Ik heb laats op mijn zakelijke rekening een vreemde incasso gehad. Je moet dan maar toevallig zien binnen 30 dagen dat de incasso onterecht is.

Zou het niet zo moeten zijn dat ik eerst akkoord moet geven voor deze incasso???
mja ik zou daar toch mee oppassen hoor. Zo zag ik overlaatst een overschrijving voorbij gaan die ik niet had gemaakt.

Eerder op de maand zag ik dat mijn brievenbus was opengebroken maar had daar nooit bij stil gestaan omdat alle brievenbussen in het gebouw waren opengebroken. Ik dacht vandalisme.

maar wat er toen is gebeurd is dat men mijn afschriften heeft gebruikt om een overschrijving te maken. Dat de handtekening niet de mijne is en er zelfs niet op leek was onder geen beding een probleem voor de bank.

Nog straffer: Ik dacht ha dat is wel stom want ik heb de bank gegevens van die persoon. Zei de politie dat de kans klein was dat ze hem zouden vinden :?
Maar 1 telefoontje daarna naar de bank lost het ook weer op, dus niet echt een probleem lijkt mij.
Het lijkt me logisch dat de bank voor kleine bedragen (onder de 1000 euro ofzo) niet de handtekening controleerd. Even een verkeerde transactie terug zetten is makkelijker lijkt mij..
Het gebeurt echter wel degelijk. Een vriendin van mij had jaren geleden nog geen mogelijkheid tot electronisch overboeken en gebruikte dus acceptgiro's (of wat die dingen maar zijn). Kreeg op een gegeven moment een herinnering omdat een overschrijving was tegengehouden, bij navraag omdat de handtekening niet genoeg overeen kwam.

En dat was haar eigen handtekening nog wel.. :)
ING-klant controleert de bank of naam en rekeningnummer overeenkomen. Zo niet, dan verschijnt boven in beeld een melding met de vraag of het inderdaad de bedoeling is dat naar die persoon geld wordt overgemaakt. Daarbij staan veelal voorletters, achternaam en woonplaats vermeld.

Goed lezen he, rekeningnummer, bijna volledige naam en woonplaats en jij denkt dat mensen daar niks mee kunnen?
Iets wat bewust, als service, aanwezig is, is geen ontwerpfout. Het is een bewuste keuze, en dit betitelen als "ontwerpfout", omdat 'iemand' een andere mening is toegedaan over de afweging service <--> privacy, is behoorlijk tendentieus.
Absoluut mee eens.

Dit is een gewenste feature en stond kennelijk in het ontwerp.
Het werkt zoals ze willen.. dus simpelweg geen fout.

Dit soort berichten maken een product zwart, en levert in mijn ogen onterecht schade op alleen al door de manier waarop een bericht gebracht wordt. (met name de titel van het bericht)
Dus als er in een "gewenste" feature zoals bijvoorbeeld bestellen met creditcard bij een webshop geen rekening is gehouden met beveiliging, vind jij dat geen fout omdat bestellen bij een webshop met een creditcard op zichzelf gewenst is? Als na de introductie van die feature blijkt dat iedereen bij jouw bestelhistorie en creditcardgegevens kan, is dat kennelijk geen fout volgens jou...

Er zit een fout in het ontwerp van de feature.

[Reactie gewijzigd door Herko_ter_Horst op 2 december 2010 21:06]

(...) geen rekening is gehouden met beveiliging, (...)
Dat is een óntwerpfout, ja. Als er gevraagd is om een webshop zonder beveiliging, zal de ontweper vást de risico's uiteengezet hebben. Als de opdrachtgever vasthoud aan het "gemak" van aankopen doen zonder beveiliging, zit er een fout in de redenatie, maar niet in het ontwerp.
Het is zeker wel een ontwerpfout als een bedachte feature onbedoelde bij- en neveneffecten heeft.

Bedachte feature:
- waarschuwing +tonen vermoedelijk correcte gegevens bij verkeerde handmatige invoer

Ontwerpfouten:
- het tonen van meer informatie dan strikt noodzakelijk
- het toestaan van ongelimiteerd gebruik van het systeem

Dus het bestaan van de feature is niet noodzakelijkerwijs een ontwerpfout, maar de functionaliteit van de feature bevat wel degelijk ontwerpfouten.

[Reactie gewijzigd door Herko_ter_Horst op 2 december 2010 21:07]

En wie zegt dat dat onbedoeld is? Dat is toch al ontkracht door ING? Dit wordt enorm opgeblazen, volkomen onterecht (en jaren te laat).
De een vind het een ontwerpfout, de ander een service.
Het mag allebei, het is maar waar je het mee eens bent. ;)
Hoe kan het nou een ontwerpfout zijn als er bewust voor deze toepassing is gekozen.
Dan ben het niet eens is met de ontwerpkeuze is begrijpelijk, maar kan nooit als ontwerpfout betitelt worden.

Ik zelf als ING Rekeninghouder, vind het verdomd makkelijk.
Heeft me al een aantal keer gecorrigeerd en in dit geval vind ik dat belangrijker dan de privacy overwegingen.
Jongens, dit is al jaren bekend. Klopt dat dit privacygevoelig is, maar bedenk wel dat de ING een van de weinige banken is die bij een overboeking ook daadwerkelijk de tenaamstelling controleert, waardoor een foute overboeking zo kan worden onderschept.

[Reactie gewijzigd door Rick2910 op 2 december 2010 16:55]

Maar dat is eigenlijk alleen gedaan omdat ze geen fatsoenlijke rekeningnummers hebben bij ING. Ze zijn niet te controleren op typefouten d.m.v. een 11-proef, dus moet je de naam wel controleren... Daarnaast geeft de ING weer geen toegang tot deze gegevens aan andere banken.

[Reactie gewijzigd door man-o-script op 2 december 2010 17:14]

Daarnaast geeft de ING weer geen toegang tot deze gegevens aan andere banken.
Klopt, maar ze ketsen een betaling met foute credentials wel af, ipv andere banken die alleen checken of een rekeningnummer bestaat.
Bij die andere banken kun je dan gewoon weer op rekeningnummer een betaling doen, de naam doet er niet toe. En sinds ze het rekeningnummer checken, zitten de meeste gebruikers 90% van de tijd goed denk ik zo..
En sinds ze het rekeningnummer checken, zitten de meeste gebruikers 90% van de tijd goed denk ik zo..
Dan denk ik dat de gebruikers bij de ING op een veel hoger percentage goed zitten, als zowel rekeningnummer als naam wordt gechecked.
De ING geeft er geen toegang toe, maar als naam en nummer niet overeen komen krijg je het geld een paar dagen later teruggestort met als melding "NAAM/NUMMER KOMEN NIET OVEREEN".
Ik heb ING dit al eens verteld in het verleden dat dit niet veilig is. Ik typ al jaren altijd rare letters en dan druk ik op verzenden. Dan corrigeert het systeem het netjes.
Mag je mij inhoudelijk vertellen wat er niet veilig aan is? Wat kan men beginnen als ze mijn naam, reknr. en woonplaats hebben? Eventuele kwaadwillenden zouden hier trouwens al jaren eerder zijn achtergekomen en pikken dit nu echt niet op van tweakers.net die hier claimen een grote ontdekking gedaan te hebben.
Volgens mij heeft nog niemand 'last' gehad van dit systeem anders was het wel een keer in het nieuws geweest.
Je moet is weten hoeveel mensen een automatische incasso over het hoofd zien.

Ik zelf vind het ook geen probleem, maar je kan nu wel iemand zijn gegevens achterhalen. Dus het is meer een privacy ding dan een veiligheid issue.

De combinatie van rekeningnummer en naam is ooit ingevoerd om zo geen fouten te maken. Zeg maar een extra controle. Echter vraag me af of er nog gecontroleerd wordt.

Mijn achternaam is namelijk neijenhuijs, maar als iemand mij geld stort met neyenhuys via een andere bank, lukt het gewoon.

lees laatste topic antwoord hier: http://forum.www.trosradar.nl/viewtopic.php?t=49728

ook leuk om te lezen: http://www.geldenrecht.nl...en-de-rekeningnummers-wel

[Reactie gewijzigd door isomis op 3 december 2010 12:53]

1 2 3 ... 16

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True