Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 128 reacties

Minister De Jager van Financiën ziet er geen gevaar in dat mensen via Mijn ING gegevens van alle andere ING-klanten kunnen opvragen. Volgens hem gaat er nu niet op grotere schaal gefraudeerd worden doordat iedereen de gegevens kan opvragen.

Mochten er toch maatregelen nodig zijn, dan zal De Jager nieuwe regels invoeren om fraude te voorkomen, zegt de minister in antwoord op Kamervragen van Groen-Links-parlementariër Bruno Braakhuis. Met de opgevraagde gegevens - naam, woonplaats en rekeningnummer - kan een kwaadwillende op naam van iemand anders bij bepaalde webwinkels afrekenen. Die gegevens moeten worden ingevuld bij een eenmalige incasso.

Volgens De Jager is de kans op fraude klein, omdat bij deze betalingswijze het risico bij de webwinkelier ligt. Als de klant betwist dat hij de machtiging heeft gegeven, krijgt hij altijd gelijk. Bij andere betaalmethoden, zoals iDeal, is de beveiliging strenger en ligt het risico ook deels bij de klant.

De zaak kwam aan het rollen, toen Tweakers.net meldde dat de functie, die ervoor moet zorgen dat mensen bij het internetbankieren geen geld overmaken naar een verkeerde begunstigde, maakt dat de hele database van de 8,9 miljoen Nederlandse ING-klanten achterhaald kan worden. De functie, die door veel mensen wordt gewaardeerd, is inmiddels iets aangepast, waardoor de woonplaats niet meer wordt getoond. ING weigerde andere maatregelen te nemen, zoals het limiteren van het aantal klantgegevens dat per sessie of per dag bekeken kan worden. De functie bestaat naar verluidt al sinds de jaren '80, toen de toenmalige Postbank begon met Girotel. Diverse klanten trokken sindsdien al bij de bank aan de bel over de kwetsbaarheid in de functie.

Melding privé-gegevens bij internetbankieren ING

Moderatie-faq Wijzig weergave

Reacties (128)

Ik geef de minister op zich gelijk dat hier niet gelijk wetgeving voor nodig is.
Het risico voor de klant is klein en ING draagt het grootste deel van het risico.

Ik ben het echter niet eens met de stelling dat blijkbaar het enigste alternatief om dit veiliger te maken is, om het maar helemaal weg te halen.

In mijn ogen is dit ook makkelijk veiliger te maken zonder veel gebruiks gemak op te offeren.
Waarom niet de validatie doen nadat de TAN code is ingevoerd als bevestiging van de verzendlijst?
Je kan dan nog steeds de validatie tonen en net zo als nu vragen of de gegevens die gevonden zijn gebruikt moeten worden, door te gaan met de gegevens die de gebruiker heeft in gevoerd of om die overschrijving te cancelen. (Dus geen optie om iets handmatig aan te passen.)

Op zich blijft dan het lek bestaan maar je maakt het wel veel moeilijker om het te misbruiken. Zo heb je dan heel veel TAN codes nodig om tot een redelijke lijst van adressen te komen, kan je daardoor eventueel een security flag op zetten na x codes per x minuten, zijn login gegevens alleen niet meer genoeg om een lijst te maken, etc...

(Ik ben geen Netwerk of security expert, dus dit is puur geredeneerd vanuit de gebruikers flow. Natuurlijk blijft een vorm van risico bestaan, en is ook dit een afweging van kosten/baten en technische mogelijkheden.)
Op mijn android heb ik een rabo bankieren app waar exact hetzelfde gebeurd als bij de ING. Dus ook rabo maar zich hier "schuldig" aan (terwijl in een vorig nieuwbericht alleen ing naar voren komt).

Of het echt zon groot probleem is valt te discussiëren, maar ik denk dat het wel degelijk kwaad kan persoonsgegevens op deze manier vrij te geven.
Volgens hem gaat er nu niet op grotere schaal gefraudeerd worden doordat iedereen de gegevens kan opvragen.

Mochten er toch maatregelen nodig zijn, dan zal De Jager nieuwe regels invoeren om fraude te voorkomen
Zijn deze twee regels niet met elkaar in tegenspraak? Waarom zouden er ooit maatregelen nodig zijn, als de minister nu al zeker weet dat er niet meer gefraudeerd zal gaan worden?

Overigens, hoe weet hij dat zo zeker? Hij heeft toch geen kristallen bol, of wel soms? Dat het risico weliswaar bij de winkelier ligt, en niet bij de klant, is mooi, maar wil nog niet zeggen dat er niet gefraudeerd kan worden. Hooguit dat niet de klant, maar de winkelier van de fraude de dupe zal worden...
Volgens hem gaat er niet op grote schaal gefraudeerd worden. Implicitiet zegt hij dus (op politieke slinkse wijze) dat er weldegelijk gefraudeerd gaat worden, maar dat dat binnen de marge valt. Mocht er nou toch teveel gefraudeerd worden, dan zal hij nieuwe regels invoeren.

De fraude lijkt mij trouwens best lastig nog, als je iets wilt bestellen bij een webwinkel met eenmalige incasso dan gaat dat prima op rekening van iemand anders, maar je moet dan alsnog wel je eigen (aflever-)adres opgeven..
of een aflever-adres, waarvan je weet dat de bewoners overdag afwezig zijn/met vakantie zijn. Vervolgens via track/trace kijken wanneer geleverd wordt en die dag rond levertijd rond dat huis lopen....
Bij voorkeur in de tuin en doen alsof je in de tuin werkt... Als er al getekend moet worden voor het pakket, wanneer heb jij voor het laatst je paspoort moeten laten zien bij ontvangst/tekenen anders dan op een postkantoor?
Je hoeft maar één frauduleus individu hebben om zwaar geimpacteerd te worden.
Voor persoonlijke gegevens bestaat een zwarte markt, waar veel geld word geboden voor elke detail dat men kan verzamelen. er zijn dus mensen die hun financiele inkomsten baseren op het verzamelen van gegevens.
Daar zijn alweer nieuwe trucjes voor uitgevonden: Je verkoopt wat (bijvoorbeeld via MP oid) en laat een dergelijke frauduleuze bestelling van een webwinkel er voor in de plaats afleveren. :)
Of om iemand te pesten zijn adres bij allerlei aflleverdiensten op te geven als besteladres. die bestellingen zelf gedaan te hebben. (volgens QI, eens in Londen gebeurt)

Met rekeningnummer wordt het door die persoon nog lastiger niet gedane estellingen te ontkennen
Waarom is het mooi dat de winkelier het risico draagt? Waarom wordt er van overheidswege niet gewoon een keer de tandjes in gezet? Niets makkelijker dan het IP log van de providers om te zien van welke machine de opdracht is gegeven. En dan de machine fysiek nakijken. Klopt het? Onderzoekskosten, product en boete betalen. Klopt het niet? Dan gaat de huidige regeling in werking. Risico winkelier. Maar *niet* zomaar zonder meer. En *zeker niet* met een minister die vind dat er geen verandering nodig is omdat hij wereldvreemd is. O, kan wel hoor... maar dan moet hij de daaruit voortvloeiende kosten wel even uit eigen zak betalen. Kijken of hij er dan nog zo over denkt. Deze minister is gewoon ff lekker gelobbied door mensen van ING en heeft zich in laten pakken.
omdat de winkelier kiest om zonder handtekening een automatische incasso te doen.
Maar ik kies er klant niet voor om dat mogelijk te maken met mijn rekening. Ik vind het vervelend dat ik constant in de gaten moet houden of er onterecht wordt afgeschreven, en dat ik vervolgens de actie moet nemen om het geld terug te krijgen.

Schaf toch gewoon af die handel, of zorg in elk geval voor actieve notificatie en bevestiging zodra het gebeurd. SMS-je van je bank wat je met "ja" moet beantwoorden o.i.d. zou al een hoop schelen.
Ja, maar de winkelier bied deze betaalmethode aan en weet dat je er mee kan frauderen.

Daar in tegen is de kans klein op fraude gezien het product op een locatie word bezorgd,
hierdoor zal niet iedereen er fraude mee gaan plegen, misschien kunnen ze ook nog wel de IP gegevens van een klant bewaren om later terug te zien waar hij vandaan werkte.

De winkelier moet dus zelf maar beslissen of ze hier van gebruik willen maken.
er zijn andere oplossingen zoals iDeal etc.

[Reactie gewijzigd door bamboe op 15 januari 2011 10:26]

Wat vaak met de machtigingen gebeurd is dat de bestelling afgeleverd wordt bij een belhuis of cadeaushops. De rekening gaat naar de verkeerde, die uiteraard een storno laat plegen en de webwinkelier kan naar zijn producten en het geld fluiten.

Wat mij betreft mogen ze het hele incasso systeem weggooien en geheel overstappen op iDEAL.
Als dit regelmatig gebeurt, dan verdwijnt de eenmalige incasso vanzelf. Problem solved.
dat is dan gewoon een slechte controle van de webwinkel:
een beetje webwinkel kan controleren wat er op welk adres is gevestigd en kan dus redelijk makkelijk zien of er mogelijk een fauduleuze transactie plaats vindt..
Dat is een domme opmerking. Bij de meeste webshops kun je een bezorgadres opgeven dat afwijkt van het factuuradres. Wat heeft het voor de webshop dan voor zin om te gaan zitten Googlen naar wat er op het bezorgadres gevestigd is? Nog even afgezien van het feit dat het een onrendabele hoeveelheid manuren zou vragen om op die manier al je bestellingen na te lopen.
Webshops weten dat het risico bij hen ligt en maken een afweging; hoeveel % van de "eenmalige incassao" bestellingen verloopt goed, hoeveel boeken we af op fraude, maken we dan netto nog steeds winst? Zoja, prima, zonee, dan bieden we die bestelmogelijkheid niet meer aan.
Denk je echt dat dat gebeurt? Dream on! Geen een webshop gaat kijken wie er op welk adres woont. En ook een belhuis kan een legale bestelling doen.
Overigens, hoe weet hij dat zo zeker? Hij heeft toch geen kristallen bol, of wel soms?
Hij heeft geen kristallen bol nodig, aangezien deze feature al meer dan 20 jaar bestaat, zoals in het artikel staat.
Dat het risico weliswaar bij de winkelier ligt, en niet bij de klant, is mooi, maar wil nog niet zeggen dat er niet gefraudeerd kan worden. Hooguit dat niet de klant, maar de winkelier van de fraude de dupe zal worden...
Deze service van ING is gewoon handig, het is de automatische incasso die fraude gevoelig is (staat in het artikel). Als winkeliers dat toch per se willen gebruiken dan is het hun eigen schuld.
"Tweaker ziet geen intelligentie in minister"

Dit slaat natuurlijk nergens op. Misschien lopen betalingen geen risico, maar privacy wel.

[Reactie gewijzigd door necessaryevil op 15 januari 2011 10:12]

De fout ligt niet bij de ING die een handig controle functie heeft ingebouwd, maar bij het fraude gevoelige eenmalige incasso systeem.
De fout ligt WEL bij de ING. Die geeft anno 2011 nog steeds rekeningnummers uit zonder controlegetal. Als er een controlegetal in het rekeningnummer zou zitten, dan zou de kans op typefouten nihil zijn. Bij de ING moeten ze alle girorekeningnummers omzetten naar echte bankrekeningnummers!
Nee, de fout lig niet bij de ING.

Moeten we nu echt de hele discussie van een paar weken geleden toen T.net hier mee kwam volledig opnieuw doen?

De situatie is heel simpel:
De gegevens die de ING versterkt zijn per definitie NIET geheim.
Iedereen die geld naar een ander wil overmaken heeft die gegevens nodig, en als jij geld wilt ontvangen moet je die gegevens bekend maken.

De fout ligt zuiver en alleen bij het incasso systeem. Aangezien bovenstaande gegevens niet geheim zijn (en bij zeer grote aantallen mensen bekend) MAG het dus nooit zo zijn dat je op basis van alleen die gegevens een incasso kan doen. Dáár ligt de fout!

Het zou een mooie janboel worden als je die gegevens geheim moet houden. Dat betekend dan het einde van de accept giro. Je krijgt ook geen salaris meer binnen.
Je kan nooit meer geld overmaken naar een bedrijf, ook niet via iDEAL. Dan moet je elke maand naar de energiemaatschappij om daar te pinnen, vervolgens naar je verzekeraar om daar te pinnen etc etc etc.


En dat controlegetal helpt geen zier. Als je een typefout maakt is de kans gigantisch groot dat het rekeningnummer gewoon bestaat en je je geld kwijt bent. Daar is die bescherming van ING juist voor.
Als het rekeningnummer niet bestaat is er sowieso niets aan de hand, want dan kan je geld immers niet overgemaakt worden. Dat controlegetal helpt je dus alleen in een situatie waarbij er al geen risico was!

En tegen fraude helpt dat controlegetal al helemaal niet!

Samenvattend:
De fout ligt niet bij ING.
De fout ligt bij het incasso systeem
Controlegetallen helpen daar niets bij.
Oneens. Wie zegt dat mijn bankgegevens niet geheim zijn :?

Ik geef mijn rek. nr. enkel aan partijen die ik goedkeur en waartoe het een doel dient.
Mijn burgerservicenummer zet ik toch ook niet openbaar- als je wilt, kun je daarmee iemands identiteit overnemen (geen grap, of overdrijven).

Dat bedrijven vaak publiceren wat hun rek. nr. is net als hun btw en KvK-nummer, moet men zelf weten, maar per definitie openbaar zijn deze gegevens in eerste instantie niet, daarmee maak je toch echt een denkfout imo (no offense).

Ik denk dat je de verdeling van open, half gesloten en gesloten niet kent.
Die geldt ook voor publieke- en semi-publieke plaatsen danwel bouwwerken.
In de semi toestand, mag je onder bepaalde voorwaarden naar binnen of aanwezig zijn, maar je bepaalt niet zelf de condities. Dat geldt voor het rek. nr. idem.

Echter, nu ben ik de partij die bepaalt wie dat nummer mag zien en wanneer onder welke conditie. Mijn werkgever bijv. mag dit wel. Een klant van marktplaats krijgt hem ook. Maar openzetten naar de gehele buitenwereld, zonder verder doel- dat niet.

Begrijp je wat ik bedoel?

Edit: was er ook niet een heel debacle over bankgegevens van de EU naar de US?
Een expat uit de US kan hier een rekening openen, een script in elkaar draaien, alle coherente gegevens binnen hengelen en men heeft al een deel van haar doel bereikt- nog geen inzage, maar wel wie welke rekening bezit/gebruikt.
Lijkt mij geen gewenste situatie. :N

Edit2: Misschien een mooie test om even de ING te bellen en willekeurig rek. nrs. op te gaan vragen? Kijken of zij die zo makkelijk telefonisch meegeven? Waarschijnlijk zal je geb. data moeten doorgeven of wordt je helemaal afgeserveerd? Of niet natuurlijk... :)

[Reactie gewijzigd door johncheese002 op 15 januari 2011 13:29]

Oneens. Wie zegt dat mijn bankgegevens niet geheim zijn :?
Dus waneer ik geld aan jou wil overmaken, dan heb jij het gevoel dat jij geheime gegevens moet prijsgeven aan mij?
Wat zul jij slecht slapen zeg...

Het grappige is dat GroenLinks die daar vragen over stelde, ook gewoon hun bank gegevens op hun website heeft staan.
Als zij dus werkelijk denken dat het geheime gegevens zijn die niet publiekelijk bekend mogen zijn, dan hebben ze daar een flinke blunder begaan.
Dat bedrijven vaak publiceren wat hun rek. nr. is net als hun btw en KvK-nummer, moet men zelf weten,
Wat betreft KvK ligt meestal in de wet vast dat ze het nummer moeten publiceren. Daar hebben ze geen enkele keus in. (zo moet het bedrijf waar ik werk verplicht het KvK nummer in een disclaimer onder elke Email zetten)

En wat het rekeningnummer betreft. Hoe ga jij rekeningen innen zonder dat je klanten jouw rekeningnummer kennen?
Vertel eens welke andere keus de Nuon of UPC of iets dergelijks hebben? Ze hebben geen andere keus dan miljoenen mensen die vermeende geheime gegevens te geven.
Echter, nu ben ik de partij die bepaalt wie dat nummer mag zien en wanneer onder welke conditie. Mijn werkgever bijv.
Nee dat bepaal jij niet.
Zodra jij geld overmaakt naar iemand worden die gegevens bij de andere partij bekend. Het is niet zoals bij een geheim telefoonnummer dat jij anoniem geld overmaakt.
Als ik mij gevoel uitspreek.
Dus waneer ik geld aan jou wil overmaken, dan heb jij het gevoel dat jij geheime gegevens moet prijsgeven aan mij?
Ja, het is informatie waar je zorgvuldig mee omgaat. Zeker nu heel veel instanties c.q. bijna ieder bedrijf de mogelijkheid om zelfstandig te innen zonder dat er een machtig gecontroleerd hoeft the worden. dat hoeft pas bij klachten.
Het grappige is dat GroenLinks die daar vragen over stelde, ook gewoon hun bank gegevens op hun website heeft staan.
Als zij dus werkelijk denken dat het geheime gegevens zijn die niet publiekelijk bekend mogen zijn, dan hebben ze daar een flinke blunder begaan.
IMO een flauwe opmerking je kunt een professioneel bedrijf en een consument niet met elkaar vergelijken.

Zo goed als ieder bedrijf heeft de betaling gegevens publiekelijk bekend gemaakt.

Er zijn consumenten (vooral ouderen die in zo'n geval slachtoffer worden) die niet zo goed hun rekening bijhouden omdat ze verwachten of weten dat er ongevraagd geld afgeschreven kan worden.

Ik vind dit eerlijk gezegd te gek voor woorden. Ik zou veel liever hebben dat je expliciet moet aangeven dat je een machtiging aangaat of dat de bank het afhandelt via de machtigingsbriefjes en niet dat je dit via een protest moet afhandelen.
Echter, nu ben ik de partij die bepaalt wie dat nummer mag zien en wanneer onder welke conditie. Mijn werkgever bijv.

Nee dat bepaal jij niet.
Zodra jij geld overmaakt naar iemand worden die gegevens bij de andere partij bekend. Het is niet zoals bij een geheim telefoonnummer dat jij anoniem geld overmaakt.
Een consument maakt nog steeds uit aan wie hij geld overmaakt en met wie hij een financiële overeenkomst aangaat. In fysieke koop kun je hel vaak over gaan tot een contante betaling.
mjtdevries wil gewoon graag gelijk krijgen en spreekt daarom met non-argumenten tegen...beetje huilie-huilie achter de puter imo... :N Grow up!
Dus het is alleen maar een probleem als rekeningnummers van particulieren misbruikt kunnen worden door die domme incasso methode, maar het is ineens helemaal niet erg als dat met nummers van bedrijven of stichtingen kan????

Dat vind ik een hele vreemde redenatie.
Maakt dit het ook makkelijker om iemand te pesten door zijn rekening op de wanbetalerslijst te zetten?
je hebt maar half gelijk...

het controlegetal brengt wel degelijk soelaas op het gebied van typefouten... de bijhorende gegevens hoeven dan niet meer kenbaar worden gemaakt te worden uit die database...

en een enkele (en in 99/100 gevallen ook een dubbele) typefout levert wel degelijk een fout rekeningnummer op... en dan krijgen we hier in belgie al op voorhand de melding dat het rekeningnummer foutief is ...

wij kunnen dus overschrijven met enkel het rekeningnummer; de rest hebben we niet nodig.

de fout ligt inderdaad bij jullie systeem volgens mij; want het is naar mijn weten nog steeds het beste dat zoveel mogelijk mensen mijn rekeningnummer weten; ze kunnen er toch enkel maar geld op STORTEN en niks afhalen....

indien dat wel kan zonder goedkeuring (mijn pincode + controle met de kaart), dan is er wel degelijk iets mis en denk ik dat ik eens snel een paar oosteuropeanen onder de arm ga nemen... (grapje éh)
en een enkele (en in 99/100 gevallen ook een dubbele) typefout levert wel degelijk een fout rekeningnummer op..
Uit persoonlijke ervaring kan ik je meedelen dat dat niet waar is.

Ik had met een simpele typefout meteen bij de eerste keer dat mij dat overkwam een bestaand rekeningnummer te pakken.
Aangezien je vindt dat rekeningnummers geen privacy-gevoelige info zijn, welke nummers waren dat dan? Zo'n anomalie heb je toch bij gehouden, hopelijk? Dat zou het hele rekeningnummersysteem in België onderuit halen...
Ik heb het (uiteraard) over Nederland, en het is bovendien 15 jaar geleden. Dus nee, dat nummer heb ik niet bewaard.
En dat controlegetal helpt geen zier. Als je een typefout maakt is de kans gigantisch groot dat het rekeningnummer gewoon bestaat en je je geld kwijt bent. Daar is die bescherming van ING juist voor.
Als het rekeningnummer niet bestaat is er sowieso niets aan de hand, want dan kan je geld immers niet overgemaakt worden. Dat controlegetal helpt je dus alleen in een situatie waarbij er al geen risico was!
Controlegetallen helpen absoluut wel, omdat bij één enkele typfout het rekeningnummer gegarandeerd niet bestaat en je daar (dat kan in principe zelfs nog voor het doorsturen van de betaling) op attent gemaakt wordt.

Uiteraard ben ik het helemaal eens met je opmerkingen over die eenmalige incasso.
De kans op typfouten is dan wel uitgesloten, maar nog steeds niet de kans dat je een verkeerd rekeningnummer invult en dus geld naar de verkeerde overboekt. Ik ben althans erg blij met deze functie.

Bovendien lijkt me de kans op grootschalig misbruik uitgesloten. Ik neem toch aan dat ING elke opvraging ergens logt, dus als iemand meer dan 100 banknummers probeert zou er toch ergens een alarmbel moeten afgaan.

[Reactie gewijzigd door PhilipsFan op 15 januari 2011 11:18]

De kans op typfouten is dan wel uitgesloten, maar nog steeds niet de kans dat je een verkeerd rekeningnummer invult en dus geld naar de verkeerde overboekt. Ik ben althans erg blij met deze functie.
Ik weet niet hoe jij normaal geld overmaakt, maar ik maak normaal geld over naar iemand die ik ken (en die in mijn web-bankieren door mij bewaard is met naam en al), ofwel betaal ik een factuur en typ ik die gegevens rechtstreeks over van het bijgevoegde overschrijvingsformulier. Ik kan bij dat laatste een typfout maken, maar het moet al heel erg tegenzitten om twee typfouten te maken waarbij het controlecijfer blijft kloppen (enkel in dat geval kan ik geld naar de verkeerde persoon overmaken).

Ik denk dat met gebruik van een controlecijfer (bij alle nationale Belgische nummers (pre-IBAN) is dat de rest bij deling van de eerste 10 cijfers door 97 (het grootste 2-cijferig priemgetal) en 97 als die rest 0 is) de kans op overschrijven naar de verkeerde persoon in combinatie met het bijhouden van je 'favoriete' rekeningnummers in je web-bankier-applicatie behoorlijk verwaarloosbaar is.
dat controlegetal staat er nog altijd in hoor; ook bij IBAN ...

trouwens om compleet te zijn;

belgische rekeningnummers bestaan uit 3 delen;

AAA-BBBBBBB-CC

A = bankcode (nummer vd bankinstelling, een bank kan meerdere nummers hebben bv voor zicht én spaarrekeningen))
B = het eigenlijke rekeningnummer
C = controlenummer (AAA-BBBBBBB gedeeld door 97 en daar de restwaarde van)

zo bestaan bij ons dus die rekeninnummers niet van 'stort nu op giro 1212' ...
de post heeft A-code 000; dus wij kunnen wel storten op 000-0000012-12 (ja, 12/97=0 rest 12)
De bank die het geld binnenkrijgt kan de rekening met de naam vergelijken,], en als het niet klopt de transactie blokkeren. Dit zou gewoon wettelijk te regelen moeten zijn. (Wat is anders de functie van het naamveld?)
Eh, simpelweg voor je eigen administratie? Als je het veld zo ziet, dan snap je waarom de bank het niet kan controleren: de naam "Opa henk" is wel nuttig voor mijn administratie, maar totaal onzinnig voor de bank.
Bovendien lijkt me de kans op grootschalig misbruik uitgesloten. Ik neem toch aan dat ING elke opvraging ergens logt, dus als iemand meer dan 100 banknummers probeert zou er toch ergens een alarmbel moeten afgaan.
Dat zijn wel erg veel aannames. Ik hoop dat het gebeurt, maar wie zegt dat het zo is? Het zou me niets verbazen als er niets mee gedaan wordt.
IK vind de domheid van een fout rekeningnummer intiepen (kijk dan twee keer) minder zwaarwegend dan dit beveiligingsrisico ...
Ligt er aan hoe je het bekijkt.

Bij andere banken kan je een willekeurige naam opgeven, er wordt alleen maar naar het rekening nummer gekeken. De ING controleert tenminste ook op naam, dus als die fout is gaat er ook geen betaling uit.

Controle nummer is dus niet nodig.

* BabyXL realiseert zich dat er een fout knopje ingedrukt is, deze reactie had voor ncoesel moeten zijn.

[Reactie gewijzigd door Cybergamer op 15 januari 2011 17:08]

Fout. De ING controleert NIET op naam. Daarom gaat het nog steeds fout als je een verkeerd nummer invult.
Eigenlijk was ING/Postbank de eerste die niet controleerde op de naam. Bij andere banken kreeg je een foutmelding (als je via internet deed) of als je gewoon met de hand overschreef mislukte de overschrijving als de naam niet klopte. Dat is nu niet meer zo geloof ik.
Het was ook wel vervelend maar zorgde wel ervoor dat je zekerder wist of je geld naar de juiste rekening ging.
Ik moest een keer 80.000 Eur overmaken. Reken maar dat je blij bent dat je dan van te voren krijgt te horen bij wie het rekeningnummer hoort dat je net intikte...
Ja precies en dat de privacy in gevaar is, is ook gelul. Dat je naam aan een nummer gekoppeld is, verteld helemaal niets over de rekeninghouder. Wat zou je met de gegevens willen doen?
Je weet dat 123 bij Piet Puk hoort. Oh dan ga ik eens lekker geld naar hem overmaken, dat zal hem leren!

De mensen die hier bang voor zijn, hebben meestal zelf een enorm gat geslagen in hun eigen "privacy", door van alles op facebook en twitter te plaatsen.
In het artikel:
Met de opgevraagde gegevens - naam, woonplaats en rekeningnummer - kan een kwaadwillende op naam van iemand anders bij bepaalde webwinkels afrekenen. Die gegevens moeten worden ingevuld bij een eenmalige incasso.
In het artikel:

[...]
Ergo: het incasso systeem is fout, dat op basis van dusdanig weinig gegevens een transactie gedaan kan worden. Er wordt geen moment een verificatie gedaan dat de besteller bevoegd is voor die rekening. Dat is gewoon belachelijk.
Volledig met je eens, echter dit is veel makkelijker voor de commerciële partijen (telefonische verkopers, webwinkels e.d) en aangezien commercie hier de voorkeur krijgt boven veiligheid en men consumentenbescherming aanvankelijk ook enkel heeft ingevoerd omdat consumenten dan eerder bereid zijn tot aankoop, zal men het niet snel veranderen. Commercie is inkomsten (ook voor de staat, nl via belastingen).

In het verleden verkochten we zelfs wapens aan onze vijanden omdat het zo lekker opleverde. Dat vervolgens onze eigen soldaten met die wapens werden afgeslacht was een onbelangerijk detaïl dat er nu eenmaal bij hoorde.
Ja precies en dat de privacy in gevaar is, is ook gelul. Dat je naam aan een nummer gekoppeld is, verteld helemaal niets over de rekeninghouder. Wat zou je met de gegevens willen doen?
Je weet dat 123 bij Piet Puk hoort. Oh dan ga ik eens lekker geld naar hem overmaken, dat zal hem leren!
:D Precies mijn gedachte
na 10 keer meerdere rekening nummers invoeren kan je natuurlijk ook de functie van wegen brute forse redenen de functie tijdelijk uitgeschakelen.
Mee eens. Zolang je een script kan runnen, waarmee je (zonder limiet dus schijnbaar) alle gegevens kunt opvragen, geef je imo aanleiding tot of steun aan fraude.

Of die gegevens nu worden gebruikt om bij webwinkels te gaan shoppen of voor een ander doel, het feit dat je überhaupt gegevens kunt verkrijgen op een manier die normaliter niet publiekelijk toegankelijk is, steekt mij.

NAW-gegevens kun je makkelijk uit de telefoongids halen, maar daar staan geen rekeningnummers bij. Ook uit het oogpunt terrorisme (waar ik verder niets mee heb) lijkt dit mij een aandachtspunt voor de Ntcb. De woonplaats staat er niet bij, weliswaar, maar op grote schaal verifiëren wie welk nummer heeft, wordt op deze wijze mogelijk.
Wellicht een tool voor het managen van illegale geldstromen.
Vreemd dat 'zwartspaarder'-jager De Jager (hij doet zijn naam iig eer aan :D) zo makkelijk met deze situatie omspringt.
Ook uit het oogpunt terrorisme (waar ik verder niets mee heb) lijkt dit mij een aandachtspunt voor de Ntcb. De woonplaats staat er niet bij, weliswaar, maar op grote schaal verifiëren wie welk nummer heeft, wordt op deze wijze mogelijk.
Ja, als we even doorzoeken kunnen we er misschien nog wel het magische kinderporno-toverwoord op plakken!

Breng ze nou niet op ideeën, een terrorismedreiging hiermee in verband brengen is volstrekt belachelijk. Kom op zeg.
Als je ergens commentaar op geeft, moet je het wel goed doen natuurlijk.

Ik heb het over het managen van illegale geldstromen en ja, het magische kipo-woord zou je hier ook aan kunnen verbinden, die was ik nog even vergeten, dank je! :)

(Breng ze nou niet op ideeën, die pedo's!)
Rekeningnummer/naam is geen privacygevoelige data. Je geeft die combinatie (en de woonplaats) aan iedereen die geld aan je moet overmaken, en niemand kan geld overmaken van jou af met die gegevens.

Dit is echt een ontzettende storm in een glas water.
Rekeningnummer is een persoonsgegeven, dus is het privacy gevoelige informatie.

Dat ik die informatie aan verschillende mensen geef is _mijn_ keuze, want het is aan mij gebonden. De bank heeft niet het recht om die informatie aan een ieder te geven.
ohhh, en jij denkt dat dat zo makkelijk is? yeah right..
Nog wel een grappig detail van dit hele verhaal. ING heeft nl de woonplaats er vanaf gehaald als compromis. Helaas lijkt het erop dat ze zijn vergeten dat óók bij de verzendlijst, waar dus de woonplaats gewoon nog achter staat. Das trouwens nog niet bevestigd door een onafhankelijke derde. :P

Verder lijkt me dit een goed argument om het incasso systeem eens onder handen te nemen.

Ik ben het overigens met ncoesel eens dat een controlegetal verstandig zou zijn want dat zou deze 'handig controle functie' onnodig maken.
Tot die tijd mag ING van mij gewoon deze functie houden, maak ik me niet echt druk over.
Dat eenmalige incasso systeem moet gewoon worden afgeschaft. En automatische incasso zou alleen mogelijk moeten zijn wanneer er bv een speciale acceptgiro komt, waarop staat dat er voorlopig geld mag worden afgeschreven naar die rekening.

De enige manier waarop je bv wel nog eenmalige incasso kan toestaan is als:
1. mensen kunnen internet bankieren.
2. mensen een mobiele telefoon hebben.
3. mensen aangeven bij de bank dat te willen.

Je begint dus met 3. Daarna krijg je bij overboeking (kosten voor degene die geld wil hebben) een sms. Je hebt dan 3 dagen om via internet bankieren aan te geven dat je dat onterecht vind. (de bank houd dus 3 dagen (72 uur na sms) dat geld of op hun rekening, of op de rekening van de klant).
Ik zou het liever omgekeerd zien. Ik zou een systeem willen waarbij iedere incasso in een wachtrij komt te staan, waarna ik een waarschuwing krijg (per sms of email) en dan zelf alles bevestig. Daarbij zou ik bepaalde instanties die ik vertrouw permanente automatische toestemming kunnen geven.
ik begin al niet te snappen wat vandaag de dag nog het nut is van eenmalige incasso.
tegenwoordig heeft bijna 99% van onze bevolking toegang tot internet - dat lijkt me toch genoeg om ideal als DE nieuwe standaard in te stellen.

als alternatief zou je dan nog een tele(foon) bankier optie kunnen overwegen, waarbij je dus bij een incasso een smsje krijgt, je belt dan vervolgens met je bank, de bank checkt of jouw telefoon geregisteerd staat als access device, vraagt je dan een woord uit te spreken (na te zeggen) om met stem herkenning te kijken of jij het echt bent. - (als alternatief zou je een pincode (maar dat is niet heel erg veilig) kunnen gebruiken.

en dan na dat alles krijg je "er staan >2< incasso's open, druk *3 om deze te controleren en goed te duren.
De functie bestaat al meer dan 10 jaar. Toen ik pas Girotel had, heb ik het wel eens geprobeerd. Rekeningnummer 1 is bijvoorbeeld de schatkist, weet ik nog. Ik denk dat je je pas zorgen hoeft te maken als blijkt dat de informatie wordt gebruikt voor fraude. Een beperking van het aantal op te vragen gegevens lijkt mij geen slecht idee.
Lekker goed over nagedacht door de ING idd. Je kunt wel zien dat ze erg grondig te werk gaan daar :N
@ roelof
ik vind dat het geen fout is van INg maar een handig hulpmiddel. wel kunnen ze het wat minder gevoelig maken door een max van 5 per dag door een natuurlijk persoon en voor bedrijven meer dan dat (maar ook gelimiteerd).

gezien de weigering hierin mee te gaan duidt dat er eerder op dat het gewoon technisch niet kan (of te duur is).
Ja of ze willen misschien klanten niet beperken als ze in korte tijd een hoop overschrijvingen moeten doen? En terecht, deze paniek is pure onzin.
Deze tweaker ziet die zeker wel.

Er moet vrijwel altijd een afweging gemaakt worden tussen veiligheid en gebruiksgemak: 100% makkelijk te gebruiken betekent geen beveiliging en 100% veilig betekent gewoon niet gebruiken (wat zeker een optie is aangezien er zat andere banken zijn).

Deze afweging heeft de ING gemaakt, het gevaar van misbruik ligt bij de ING en de "onveilige" feature is blijkbaar zeer nuttig voor klanten van ING. Zeker zolang er nog andere banken zijn waar klanten die dit een probleem vinden heen kunnen hoeft een minister zich hier niet mee te bemoeien, we hebben al veel te veel regels voor vanalles en nog wat in Nederland.
De minister denkt te oppervlakkig. Dit kan heel makkelijk grootschalig misbruikt worden door eenmalige incasso's te doen bij een groot aantal ING klanten.
Dan is dus niet iemand die bestelt bij een webwinkel de dader, maar degene die de incasso doet. Er zijn al 'bedrijven' die op deze manier hun geld verdienen.
Een percentage laat het bedrag storneren, maar de rest heeft het niet in de gaten omdat het dan om een klein bedrag gaat.
Nee, dit is absoluut een zeer ernstig lek en het valt mij tegen dat een minister die zelf pretendeert tegen fraude te knokken, dit op deze manier ziet.
Is dat omdat het in dit geval om de portemonnee van de burger gaat ipv die van de staat?
"Tweaker is paranoïde"

Die functie bestaat al heel lang (zoals vermeld in het artikel). Als je je privacy wilt waarborgen neem je een Zwitserse bankrekening met bijbehorende creditcard. Neem ook vooral géén internet! Je gegevens zwerven nu al overal op het net, als je maar weet waar je moet zoeken.
Er is een nederland spreekwoord voor dit gedrag

Wat baten kaars en bril and de uil niet zien' wil

Persoonlijke gegevens moeten op elk moment afgeschermd worden tegen elke vorm van misbruik.

Uit persoonlijke ervaring weet ik dat elke data exposure misbruikt zal worden.

Deze minister moet maar eens een cursus risico beheer volgen.
kennelijk heb je het toch bij het verkeerde eind, anders zou het allang weggehaald zijn (als het inderdaad flink misbruikt werd)
Het is: "wat baten condoom en pil als de griet niet neuken wil".
Wat denk je van die telefoon colportage firma's.

Uw naam is: *** , klopt?
Uw adres is: *** klopt?
Uw rekening nummer is: *** klopt?

Ik denk dat meer dan 50 van de ouderen in Nederland dit bevestigend zullen beantwoorden.

En dat op een bandje is voldoende als aanvaarding van een contract.

Ze staan daarbij waarschijnlijk niet in een bel niet register.

Ik denk inderdaad dat minister de Jager niet veel verder kijkt dan zijn neus lang is.
Dat is dus niet waar.

Er moet wel degelijk ook een akkoord met een bepaalde deal op de band staan, alleen de verificatie van je gegevens is absoluut niet genoeg.

Wel zijn er bedrijven die vervolgens toch gaan innen, ook al hebben ze geen echte deal gesloten, maar dat is een ander verhaal. Er is dan geen contract.
Dat is dus niet waar.

Er moet wel degelijk ook een akkoord met een bepaalde deal op de band staan, alleen de verificatie van je gegevens is absoluut niet genoeg.
Kun je a.u.b. een link geven om dit te onderbouwen?

Heb je programma's als kassa en radar gezien? Daar laten ze andere zaken zien en bespreken deze.

Dit is een link met de informatie dat de naam en ja voldoende zijn. Dat is ook vaak gezegd bij Radar en/of kassa.

En nog een paar links:
http://www.consumentenbon...telefonische-verkooptrucs
http://www.consuwijzer.nl...e_verkopen_Mag_dat_zomaar

[Reactie gewijzigd door worldcitizen op 16 januari 2011 00:40]

Lees je eigen link nog eens door.

Naam en JA-woord zijn nodig.
M.a..w. Jasper heeft gelijk, dat verificatie van je gegevens niet genoeg is, maar dat ook jouw akkoord met de deal op de band moet staan.
Ik snap al die heisa niet helemaal.... De functie bestaat inderdaad al heel lang en het lijkt misschien een "service", maar is gewoon een must.

Omdat er geen controle op de geldigheid van het rekeningnummer mogelijk is, zoals bij de 9 cijferige bankrekeningnummers via de 11 proof is de Naam-Nummer controle gewoon nodig om vergissingen te voorkomen. Je wil immers niet dat je betaling naar de Belastingdienst, KPN, NUON of wat voor belangrijke begunstigde dan ook op de rekening van een particulier terecht komt...

Of dat het weer teruggestort wordt met de melding "Naam nummer stemmen niet overeen", je weer overnieuw kan beginnen en je te laat bent met betalen...

Dus laat ze die "functie" maar gewoon behouden lijkt me zo ;)
Heeft iemand hier toevallig kennis over hoe zo'n 11 proef in z'n werk gaat? Bij het BSN (oude SoFi nummer) zit toch ook zo'n proef ingebakken?
http://lmgtfy.com/?q=elfproef
De elfproef (11-proef) is een test die in het Nederlandse elektronische betalingsverkeer wordt uitgevoerd op negen- en tiencijferige Nederlandse bankrekeningnummers, om te controleren of het nummer een geldig rekeningnummer kan zijn. Varianten van de elfproef die gebruikmaken van een controlecijfer, worden toegepast bij andere belangrijke nummers, zoals het burgerservicenummer en het betalingskenmerk op een acceptgiro. Het gebruik van de elfproef berust, evenals van de negenproef, op de relatieve eenvoud van het berekenen van de rest bij deling door 11 of 9 in het decimale stelsel.
Betalen mensen die niet bij de ING bank zitten dan geen belasting?

Ik zit bij een andere bank en ik kan deze veilige/onveilige controle niet uitvoeren. Het probleem ligt hoe dan ook bij de ING. Andere banken kunnen dit niet oplossen.
ING (voorheen postbank) doet dit werkelijk al minstens tien jaar en het is eenvoudigweg een geweldige functie. Snap sowieso niet waarom t.net hierover ophef maakt. Iedereen was er allang mee bekend en dat werd ook meer dan duidelijk in de reacties, maar de tien jaar oude 'scoop' moet worden uitgemolken.
Ik zweer; als ING deze functie straks moet verwijderen houd ik t.net aansprakelijk! :P

serieus; ik zie hier werkelijk geen probleem in en ben blij dat de minister zo verstandig is dat ook in te zien. Als mensen zo bang zijn voor hun privacy zijn er belangrijker dingen om je druk over te maken dan functionaliteit die ervoor zorgt dat je niet per ongeluk verkeerd overboekt.
Ik vraag me af waarom dit een "fout" genoemd wordt?
Het is een goed systeem om te zorgen dat je niet per ongeluk overmaakt naar een verkeerde rekening. Een tikvout is zo gemaakt in 9 cijfers.
Wat eerder een fout is, is dat de eenmalige incasso zo simpel werkt. Hef dat op, en verstuur een acceptgiro via email, zodat je via Ideal het geld overmaakt. Risico bij de klant, handig, snel en vertrouwd.
Ik ben ING klant en ik waardeer deze functie echt enorm. Via deze weg weet ik tenminste zeker dat ik het geld naar de juiste persoon overmaak, zekerder dan met controlegetallen ed. Het risico ligt bij de bedrijven, oke prima dat je nog steeds automatische incasso accepteert, maar kijk niet gek op als er af en toe gefraudeerd wordt (aan het aantal bedrijven die nog steeds automatische incasso accepteert te zien valt de fraude nog wel mee). Het is toch heel gek dat jij iets duurs kan kopen met enkel een naam rekeningnummer en woonplaats. Op hoeveel andere manieren is dit te doen? Verkoop iets op marktplaats, kijk welk rekeningnummer geld naar jou overmaakt en voila, weer gegevens rijker. (al dan niet met enkele aanvullingen van telefoongids.nl)

BTW, als men ontkent dat men toestemming heeft gegeven voor een automatische incasso, kan het bedrijf toch nog nagaan waar het pakketje heen is gestuurd?
Hoi Paul,

Even een hersenspinsel:

Je besteld een nieuwe computer online op iemand anders zijn rekening nummer en dit pakket laat je opsturen naar een leegstaand of gesloten bedrijfspand

Nadat de order verwerkt is, kan je met track en trace zien wanneer het pakket wordt afgeleverd (soms tot op het uur).

Rij naar de locatie en ga buiten voor de deur een peuk staan roken > TNT arriveert met pakketje en drukt op de bel... geen reactie > Jij zegt "Is dat een pakketje voor Koffiedik b.v? Dan teken ik wel even voor ontvangst, ze zijn aan het vergaderen". > TNT geeft het pakketje en jij tekent een smily op zijn computer > Een gratis computer

Geloof mij, dit werkt 99 van de 100x. TNT heeft maar een doel: Het pakketje zo snel mogelijk lozen. Het feit dat de banken hier ook niets aan doen, heeft ermee te maken dat het meestal jou probleem is en niet dat van de bank. Die willen alleen maar makkelijk geld verdienen.


Misschien is dit bericht niet helemaal on-topic, maar het is wel belangrijk om te weten.

[Reactie gewijzigd door 316234 op 15 januari 2011 18:14]

TNT bezorgd de hele dag als ik jou was zou ik een camper meenemen en daar in gaan wachten
De zaak kwam aan het rollen....
Het is toch wel van een bedenkelijk Telegraaf niveau deze "Tweakers Exclusive". Miljoenen mensen in Nederland kennen de functie en weten wat het kan, ING heeft hem bewust zo gelaten, en er zijn geen gevallen bekend van misbruik op kleine schaal laat staan grote schaal. Zelfs ING geeft aan dat voor hun het gemak de mens dient en dat als er eventueel wat gebeurt, de schade gewoon voor hun rekening komt.

Dit is echt nieuws proberen te maken van niets. Wellicht is er een nieuwe wind op de redactie die er voor zorgt dat er een soort scoringsdrift is ontstaan, maar ik hoop dat in het vervolg bij dit soort verhalen waarbij groot wordt uitgepakt, er ook echt iets staat.

[Reactie gewijzigd door PWM op 15 januari 2011 10:14]

dit was al mogelijk toen het nog postbank heten, ik gebruikte het om naam - rekening te controleren. dat was 5j geleden. Dus dat ze er nu pas mee komen.., is voor mij een raadsel
Volgens mij is het zo dat ING de aangeleverde gegevens van hun klanten alleen mogen gebruiken waarvoor het geleverd is.
Dus ze mogen het bijvoorbeeld niet gebruiken om ongevraagd de gegevens aan derden te verstrekken.

DAt heeft mijn inziens niets te maken met fraude gevoeligheid, maar gewoon met inbreuk maken op iemands privacy.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True