'Hacker steelt gegevens miljoen ING-klanten' - update - IT Pro - Nieuws

Een hacker zou tussen juli 2011 en maart 2012 hebben ingebroken op servers van ING. Dat beweert persbureau ANP. Bij de inbraak zou de hacker de namen en rekeningnummers van ongeveer een miljoen ING-klanten hebben buitgemaakt.

Dat schrijft Nu.nl. Woordvoerder Harold Reusken van ING kan nog niet bevestigen dat het om een inbraak gaat. "We zijn nu bezig met uitzoeken wat de feiten zijn", zegt hij. ING belooft later meer duidelijkheid te geven.

Volgens het ANP heeft de hacker met behulp van de buitgemaakte rekeningnummers en namen bestellingen gedaan op naam van de gedupeerde ING-klanten.

De hacker, die uit Rotterdam zou komen, wordt ervan verdacht verder nog te hebben ingebroken bij een groothandel in alcohol en sigaretten. Ook zou hij hebben willen inbreken op computers van containeroverslagbedrijf ECT, maar die aanval was wellicht niet succesvol.

Update, 18:30: ING meldt dat de berichtgeving van ANP onjuist is; de systemen van de bank zouden niet zijn gehackt. De verdachte zou via de 'naam-nummer-controle', die standaard binnen Mijn ING beschikbaar is, handmatig 1280 namen en rekeningnummers hebben verzameld. Volgens ING kunnen criminelen met uitsluitend de combinatie van rekeningnummer en naam geen rekeningen plunderen.

IT-banen

Reacties (161)

Pikoe 13 juni 2012 16:58

Bij de ING zijn namen en girorekeningnummers toch sowieso openbaar?
Als ik tenminste een nummer verkeerd intoets bij het overmaken van geld krijg ik altijd te zien van wie dat rekeningnummer is.
Lees:
nieuws: Privégegevens alle ING-klanten zijn door ontwerpfout te achterhalen
nieuws: Minister ziet geen gevaar fraude in opvraagbare ING-klantgegevens

[Reactie gewijzigd door Pikoe op 23 juli 2024 00:23]

CUnknown @Pikoe • 13 juni 2012 17:18

Zoals ik verderop al zeg, denk ik dat het in theorie mogelijk is om voor alle rekeningnummers eigenaren op te zoeken met die feature. In de praktijk denk ik dat dat probleem met behulp van anomaly detection algorithms een heel eind opgelost wordt. Doe je te vaak een naam van de te begunstigen persoon verkeerd intypen dan wordt je geblokkeerd.

Tha_Butcha 13 juni 2012 18:29

Reactie van de ING

Op 13 juni berichtten de media dat een hacker 1 miljoen klantgegevens van de ING heeft gestolen. Dit is onjuist. De systemen van ING zijn niet gehackt. Klanten hoeven zich geen zorgen te maken. Iemand heeft handmatig 1280 namen en nummers bij elkaar gezocht. Dit is gedaan door middel van Naam Nummer Controle, een standaardfunctie binnen Mijn ING. Het gaat nadrukkelijk niet om de gegevens van 1 miljoen ING klanten.

Anoniem: 296939 13 juni 2012 18:33

ING heeft in een blogpost laten weten dat er NIET werd ingebroken:

Op 13 juni berichtten de media dat een hacker 1 miljoen klantgegevens van de ING heeft gestolen. Dit is onjuist. De systemen van ING zijn niet gehackt. Klanten hoeven zich geen zorgen te maken. Iemand heeft handmatig 1280 namen en nummers bij elkaar gezocht. Dit is gedaan door middel van Naam Nummer Controle, een standaardfunctie binnen Mijn ING. Het gaat nadrukkelijk niet om de gegevens van 1 miljoen ING klanten.

Ortixx 13 juni 2012 16:54

Een heel groep ICT experts voor zo'n gigantische bank kan een enkel hackertje niet stoppen? Doen ze lekker, die 'experts'. Maarja, je hoeft maar 1 exploit in je code te hebben en het gaat fout.

Hoezo zijn die gegevens niet gewoon afgeschermd? Bijvoorbeeld alleen toegangbaar maken door enkele IP's?

[Reactie gewijzigd door Ortixx op 23 juli 2024 00:23]

MrTheMan @Ortixx • 13 juni 2012 16:59

Dat er is ingebroken is, zoals te lezen, nog niet zeker.

Het zou me niet verbazen als de 'hacker' gebruik heeft gemaakt van deze eerder besproken ontwerpfout, gezien het gaat om rekeningnummers en naamgegevens:

nieuws: Privégegevens alle ING-klanten zijn door ontwerpfout te achterhalen

cariolive23 @MrTheMan • 13 juni 2012 22:27

Het zou me niet verbazen als de 'hacker' gebruik heeft gemaakt van deze eerder besproken ontwerpfout, gezien het gaat om rekeningnummers en naamgegevens:

Dit is geen ontwerpfout, het is een bewuste keuze geweest van de Postbank. Dit bestaat al sinds jaar en dag, en eigenlijk heel bijzonder dat er pas in 2010 onrust over is ontstaan. Dit is standaard functionaliteit bij het aanbieden van Clieop-bestanden.

Of het een verstandige keuze was, en of het vandaag de dag nog steeds een verstandige keuze is, dat is een ander verhaal. Maar het is geen ontwerpfout, het is ontworpen zoals toen is gevraagd.

real[B]art @cariolive23 • 14 juni 2012 13:57

Het is een min of meer noodzakelijk kwaad: aangezien de Postbank in haar oneindige wijsheid ooit heeft besloten om in tegenstelling tot zowat alle andere banken geen rekeningnummers met ingebouwde checksum te gebruiken. Bij de Postbank zijn ze begonnen bij 1 en elke volgende rekening is simpelweg +1.
Een tikfout in een rekeningnummer wordt dus niet opgemerkt als je niet ook checkt tegen de naam.
De rest van de banken hebben rekeningnummers die voldoen aan de elfproef: http://nl.wikipedia.org/w/index.php?title=Elfproef

mae-t.net @real[B]art • 14 juni 2012 14:39

Nou, toen ze het besloten was het een uitstekend systeem. Dat ze eraan vasthielden toen alle banken standaardrekeningnummers hadden ingevoerd is wat discutabel, maar een voordeel was wel dat je lekker korte nummers had die dus beter te onthouden waren en waar je ook minder snel een fout in maakt.

Maargoed, dat probleem is over een jaar ofzo toch wat kleiner; immers zit er in een IBAN-nummer wel enige vorm van controle.

TDeK

Beveiliging

@MrTheMan • 14 juni 2012 08:20

De methode die deze hacker gebruikt heeft bestaat (bij mijn weten) al sinds de Postbank tijd. Was super handig als je een Marktplaats pakketje niet gekregen had; je wist met het (giro)rekeningnummer binnen no time waar je verhaal kon gaan halen. In feite is het een controle om te voorkomen dat je geld overmaakt naar de verkeerde persoon, maar je kunt dus ook andere rekeningnummers invoeren en vervolgens de NW gegevens controleren. Voor mij was het iig een reden om bij de ING/Postbank weg te gaan (privacy issue).

Anoniem: 63628 @MrTheMan • 13 juni 2012 17:13

Het zal ook niet de eerste keer zijn dat er een idioot die niets van computers af weet, die waarschijnlijk nog zijn nieuws op papyrus indient, geschreven met een ganzenveer, moord en brand schreeuwt over zaken waar 'ie niets van weet.

Doet de consumentenbond ook 3x daags, dus waarom 't ANP niet.

[Reactie gewijzigd door Anoniem: 63628 op 23 juli 2024 00:23]

narotic @Ortixx • 13 juni 2012 17:02

Aangezien het slechts om rekeningnummers en namen gaat vraag ik me af of het hier wel echt om een inbraak is gegaan. Met de postbank en dus later ING was het sinds jaren mogelijk (2006 en eerder) om een girorekeningnummer in te vullen en de bijbehorende naam te achterhalen ('bedoelde u mr. J. de Vries te Amsterdam').

(zie bijv. http://www.webhostingtalk...aam-bij-bankrekening.html)

Het is kinderspel om een eenvoudig script te schrijven die gewoon een hele rits rekeningnummers afgaat en de bijbehorende naam opslaat. Het zou me eerlijk gezegd verbazen als dat niet al veel eerder gebeurd is.

[Reactie gewijzigd door narotic op 23 juli 2024 00:23]

Anoniem: 425494 @narotic • 13 juni 2012 18:52

Als je dat combineert met de wachtwoord gegevens die je van andere sites hebt, bijv. Linkin dan kan je toch leuk rekeningen plunderen, want sommige mensen gebruiken toch hetzelfde wachtwoord.

Een veilig systeem hoort mensen ook tegen zichzelf te beschermen. Namen opvragen bij rekeningnummers of andersom zou je beter ook per sms kunnen afhandelen.

Juist als kinderlijk eenvoudig is om zo een script te schrijven zoals hij claimt, vind ik dat de veiligheid van de bank ernstig te wensen overlaat. Iedereen weet toch dat wachtwoorden nimmer gekraakt worden, maar geraden. Waarom er van zoveel sites wachtwoorden gehackt, omdat je daarmee andere wachtwoorden kan raden. Dat soort informatie wordt op de zwarte markt doorverkocht.

[Reactie gewijzigd door Anoniem: 425494 op 23 juli 2024 00:23]

PdM2112 @Anoniem: 425494 • 13 juni 2012 19:15

Met alleen een wachtwoord ben je er ook nog niet.
Je moet de loginnaam nog hebben en een geldige TAN code om het geld over te maken.

Bonez0r @PdM2112 • 13 juni 2012 19:55

Helaas, de tan-beveiliging is te omzeilen, hoewel je inderdaad nog wel een loginnaam moet hebben. Een crimineel hoeft alleen maar een paypal account te openen en daaraan het rekeningnummer van het slachtoffer te koppelen. Paypal doet dan ter beveiliging een kleine transactie waarin een controlecode staat die de klant weer moet invullen bij paypal, waarna de twee gekoppeld zijn en dus aankopen gedaan kunnen worden. Geen tan nodig dus, loginnaam en wachtwoord zijn voldoende, omdat je met die twee gegevens al bij de afschriften kan bij de ING. Andere banken, die beveiliging wel op nummer één hebben, hebben dat beter geregeld (apparaatje nodig om in te loggen bijv), maar de ING stelt helaas gemak boven veiligheid en hele volksstammen trappen erin.

Cheetah @Bonez0r • 13 juni 2012 21:00

@Bonez0r

Helaas, de tan-beveiliging is te omzeilen, hoewel je inderdaad nog wel een loginnaam moet hebben. Een crimineel hoeft alleen maar een paypal account te openen en daaraan het rekeningnummer van het slachtoffer te koppelen. Paypal doet dan ter beveiliging een kleine transactie waarin een controlecode staat die de klant weer moet invullen bij paypal, waarna de twee gekoppeld zijn en dus aankopen gedaan kunnen worden. [...] Andere banken, die beveiliging wel op nummer één hebben

Dat wat er hier misgaat betreft geen probleem met de (tan) beveiliging van ING, maar met de manier waarop Paypal hun verificaties doet. Het beveiligingslek ligt bij Paypal en niet bij ING.

Paypal is degene die de betalingen autoriseren en afschrijven/incasseren.
Je zegt het feitelijk zelf al: PayPal doet hun verificatie door..... de issue zit dus bij: de verificatie door Paypal. Dit op basis van het feit dat zij aannemen een machtiging van de bankrekeningeigenaar te hebben ingeval de door hun verstuurde betaling/codes correct worden ingevoerd bij het koppelen van een bankrekening aan 1 van hun accounts. Dat Paypal denkt vervolgens gemachtigd te zijn tot afschrijven van bedragen is niet het probleem van ING!

Paypal controleert dus alleen of iemand zicht heeft op transacties op de bankrekening (ofwel inzage heeft in saldo-informatie), en dus niet - wat ze wel zouden moeten checken - of iemand ook geautoriseerd is om zelf transacties met de betreffende bankrekening uit te voeren! Deze check is heel makkelijk in te bouwen door iemand bijvoorbeeld te vragen het overgemaakte bedrag terug te storten vanaf het genoemde bankrekeningnummer.
Zoals het er nu voorstaat met de "verificatie" kan - afgezien van phishing etc - iedereen die toegang heeft tot de bankafschriften of die een (read-only) inzage-machtiging heeft (bijv op een bedrijfsrekening) ook op deze manier frauderen. Paypal maakt dus een fundamentele denkfout bij hun verificatie: Dat iemand een bankrekening mag/kan inzien wil absoluut niet zeggen dat diegene ook geautoriseerd is tot transacties.

Dit issue komt overigens ook volledig voor kosten van Paypal. Bedragen die - zeker zonder machtiging van de eigenaar - via (automatische) incasso van een rekening worden afgeschreven kunnen gewoon worden gestorneerd. En de bank haalt dat geld rucksichtlos terug bij degene die de (automatische) incasso gedaan heeft (in dit geval dus Paypal).
Dit is hoe het machtigingensysteem werkt: Paypal beweert een machtiging op de rekening te hebben, Paypal boekt het geld van de rekening af, dus het geld wordt ook bij Paypal teruggehaald. Zonder discussie. En Paypal moet vervolgens zelf maar zien dat ze het geld dat ze voor de fraudeur hebben geincasseerd terugkrijgen van die fraudeur.
Niet het probleem van de bank noch dat van de rekeninghouder. Had Paypal de machtiging maar beter moeten verifieren.

Er is hier dus sprake van: "Lekke Ontbrekende Paypal verificatie maakt fraude met bankrekening Paypal mogelijk".
Dit is immers ook geen ING-specifiek probleem. Iedereen met inzage in de af en bijschrijvingen van een bankrekening kan op deze manier met Paypal frauderen.

[Reactie gewijzigd door Cheetah op 23 juli 2024 00:23]

Haas_nl @Cheetah • 13 juni 2012 22:13

Maar het is zeker wel probleem van de gebruiker het is namelijk zijn geld wat verdwijnt.
Ik vind paypall een gevaarlijk bedrijf en heb mijn account al lang geleden opgezegd omdat ik het echt heel gevaarlijk vind.

[Reactie gewijzigd door Haas_nl op 23 juli 2024 00:23]

Maarten21

@Haas_nl • 14 juni 2012 05:00

Het gaat erom dat iemand anders een paypal account kan koppelen aan jouw rekening als ze inzage hebben in jouw afschriften.

Het maakt dus helemaal niet uit of jij een Paypal account hebt of hebt opgezegd.

blahhblaah @Cheetah • 14 juni 2012 00:59

Je hebt helemaal gelijk. Nog erger is het dat niet alleen PayPal zijn verificatie op deze manier heeft opgezet. ClickAndBuy doet het ook op deze manier, en zo zullen er vast en zeker meer zijn.

Anoniem: 316234 @Cheetah • 14 juni 2012 01:05

Hmm, lijkt het op de methode die ik al eerder op Tweakers beschreven had?

Anoniem: 316234 in 'nieuws: Veel bankensites kwetsbaar voor aanval op beveiligde verbinding'

Anoniem: 360198 @Cheetah • 14 juni 2012 14:59

Ja, het is ook ontzettend raar dat Paypal er maar vanuit gaat dat jouw bankrekening en de daarbij behorende gegevens en overzichten privé zijn, en niet met een paar simpele trucs openliggen voor de hele wereld...

Echt, in heel nederland en mogelijk over de gehele wereld, behalve bij ING, werkt de Paypal-manier van verificatie perfect... Ook niet zo vreemd, bij de andere banken heb je een fysiek apparaat nodig om een unieke code te genereren, iedere keer dat je wilt inloggen en niet alleen bij het moment dat je wilt gaan betalen... En zijn je overzichten dus echt privé... En heb je dus ook niet het probleem dat iedere crimineel zo even een Paypal account aan jouw bankrekening koppelt, omdat hij zonder enige moeite de verificatiecodes van Paypal kan inzien...

Maar het is een probleem van Paypal, hoor!!!!

't Is ook zo lastig, logisch inzicht... Het is namelijk wel een ING-specifiek probleem, er is geen enkele andere bank die inzage in rekeningoverzichten geeft zonder degelijke verificatie... Ik gok dat zelfs de Western Union Bank nog een beter systeem heeft...

Zelfs de ING zelf heeft nog beter in de gaten hoe het in elkaar steekt dan jij, maar vinden het gewoon niet belangrijk...

Maar, in jouw oneindige wijsheid, weet jij vast wel een betere manier voor Paypal om te verifiëren... Dus kom maar op: Handtekeningen??? Hoe willen zij controleren of deze echt van jou is??? Telefoonnummer??? Zelfde laken en pak... Kopie van ID??? .... Opsturen van een authenticator??? Naar wie stuur je die dan??? Fysieke kantoren openen, waar mensen met uittreksel van de gemeente, paspoort, 5 pasjes met naam en foto erop en de geboorteaktes van papa en mama kunnen bewijzen dat zij echt, echt, echt eigenaar zijn van die rekening???

Oh, bij de weg, het is de plicht van de bank om te controleren of een automatische incasso-opdracht in orde is, niet van degene die het geld afschrijft... Iedereen kan namelijk een machtigingskaart invullen, ondertekenen en opsturen, niet alleen Paypal...

z.jeroen @Bonez0r • 13 juni 2012 20:27

Maar op zich is er toch niets mis met gemak boven veiligheid, zolang de voordelen opwegen tegen de schade. Een bank kan zich verzekeren tegen fraude en de schade van de klant vergoeden. De klant heeft dan meer gemak en bijvoorbeeld (iets) minder spaarrente. Iedere klant moet die afweging zelf maken.

Haas_nl @z.jeroen • 13 juni 2012 22:11

Bij veel schade gaat de verzekerings premie omhoog.

Anoniem: 120539 @Bonez0r • 13 juni 2012 20:36

Dit principe werkt natuurlijk via alle banken waar incasso wordt toegestaan.
Jij geeft PayPal het recht om geld te incasseren vanaf je betaalrekening. Dit werkt inderdaad bij ING zo simpel als je beschrijft, maar kan bij andere banken ook.
De kunst zit hem alleen in de 1e validatie, daarna heb je genoeg aan het PayPal wachtwoord.

cobis taba @Bonez0r • 14 juni 2012 02:12

Je kunt al die automatische incasso's gewoon storneren, ook die van Paypal trouwens maar dan krijg je met hen gezeik

. Dus laat iemand mijn rekening maar plunderen via een incasso, ik storneer hem wel.

Ter info, om automatisch te mogen incasseren moet je een incassocontract tekenen. Dat moet de crimineel in kwestie dus ook faken. je krijgt bij een normaal contract ook beperkingen in zowel het aantal incasso's per batch, het totale bedrag per batch als het totale bedrag per jaar.

Als frauderen via automatische incasso's zo makkelijk was hadden meer mensen dat allang gedaan

.

Oh en ja ik besef me dat dit bovenstaande punt breder is dan jouw voorbeeld maar mijn punt is dat iedere vorm - dus ook paypal - van automatische incasso te storneren is en op te lossen.

johnkeates @Bonez0r • 13 juni 2012 20:22

Paypal doet dan ter beveiliging een kleine transactie

Via iDeal? Moet je TAN hebben. Via papier? Moet je weten waar papier is en handtekening vervalsen.

Als PayPal zomaar geld kan afschrijven heb je de controlegetallen inderdaad vrij makkelijk te pakken.

TheFes @johnkeates • 13 juni 2012 20:34

Paypal schrijft geen geld af voor deze controle, paypal schrijft geld over naar je rekening.

Mad-Monkey @TheFes • 14 juni 2012 09:14

en als we de 2 antwoorden samenvoegen wordt het een uitleg

Voor het koppelen schrijven ze 0,01cent over met een betalingskenmerk wat je dan weer in paypal moet invoeren om te bewijzen dat je toegang hebt tot die rekening.
Paypal beschouwt de rekening dan bewezen van jou, dit kan dus met alleen login wachtwoord.

alle afschrijvingen die paypal daarna doet worden gedaan via automatisch incasso en komt dus ook geen TAN aan te pas.

Herko_ter_Horst

@johnkeates • 13 juni 2012 20:33

Nee, via auomatische incasso.

ppl

Beveiliging

@Bonez0r • 13 juni 2012 21:26

Die code staat in de transactie dus moet je daar eerst voor inloggen op mijn.ing.nl met de juiste credentials. Die hele actie die je nu beschrijft is dus volkomen zinloos want wie kan inloggen met de juiste credentials kan alles en hoeft zichzelf dus niet via een raampje naar binnen te wurmen. Althans, zo werkte het toen ik mijn rekening aan Paypal koppelde. Zo werkt het overigens ook bij iets als Click'n Buy. Nou kan het zijn dat ze het inmiddels gewijzigd hebben...

[Reactie gewijzigd door ppl op 23 juli 2024 00:23]

DarkForce @Bonez0r • 13 juni 2012 21:32

Paypal doet dan ter beveiliging een kleine transactie waarin een controlecode staat die de klant weer moet invullen bij paypal, waarna de twee gekoppeld zijn en dus aankopen gedaan kunnen worden.

Je mist een stap .... hoe komt de crimineel in het bezit van het controlegetal die PayPal bij de 'bijschrijving' doet om het account te koppelen aan de bankrekening? Je moet bij Paypal namelijk het controlegetal invoeren, en om die te bemachtigen moet je nog altijd inloggen met loginnaam en wachtwoord en dat heeft de 'zogenaamde' hacker niet bemachtigd.

Overigens heb ik bijschrijving in bold gezet omdat paypal een controle doet met een bijschrijving op je bankrekening van x-cent onder vermelding van een controlegetal. De zoals jij genoemde afschrijving kan niet, want dat is machtigen en die heb je nog niet gegeven tot het moment dat je bevestigd hebt. Voor incasso (afschrijven) is een verbod als dit niet is overeengekomen.

Franckey @Bonez0r • 13 juni 2012 22:49

Dan maakt Paypal dus gebruik van een automatische incasso. Dat is voor de consument geen risico, want dat kan je altijd heel eenvoudig terugdraaien, met een paar muisklikken op de ING website.

mae-t.net @Bonez0r • 14 juni 2012 14:42

Dat is niet zozeer een beveiligingsprobleem van de ING maar vooral een forse fout in het fenomeen Paypal en ook een beetje een combinatie van Paypal, automatische incasso (het is nooit een goed idee om onbekende derde partijen toestemming te geven in je kas te grabbelen) en pas in de laatste plaats de ING.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 00:23]

stresstak @Anoniem: 425494 • 14 juni 2012 19:30

rekeningnummers of andersom zou je beter ook per sms kunnen afhandelen.

Hoera, dan krijg ik een sms-apparaat van ze

Altijd al willen hebben.

ik heb uiteraard geen mobieltje

nlitsme @narotic • 13 juni 2012 17:43

dit was zelfs al mogelijk toen het nog girotel heette, en via een inbel verbinding ging.

..bennie @Ortixx • 13 juni 2012 17:04

Ik heb eind vorig jaar nog een enorm beveiligingslek bij ze gevonden waarbij je de internetbankierensessie mbv een iDeal transactie kon overnemen. Puur bij toeval omdat m'n vriendin een bestelling bij een webshop deed op mijn laptop en ik het ING internetbankieren open had staan. Na de bestelling kreeg ik in mijn scherm ineens haar rekening...
Na die ervaring kijk ik hier alles behalve vreemd van op.

SED @..bennie • 13 juni 2012 17:08

dat zal ook wel browser afhankelijk zijn. Je vriendin logde bij haar ideal betaling namelijk in en daarbij is jouw sessie er waarschijnlijk uitgegooid. Op zich dus niet zo vreemd.
een moderne browser met scheiding van sessies had dat niet gehad.

Is dat "probleem"daarna opgelost?

..bennie @SED • 13 juni 2012 17:14

Dat zou uiteraard niet mogen, gezien ideal via een ander subdomein loopt. Dat mijn sessie dan wordt uitgelogd uit veiligheidsoverweging oke, maar dat ik in mijn sessie gewoon toegang krijg tot haar bankrekening ipv de mijne, dat kan uiteraard echt niet. Bovendien is internetbankieren een ander product dan ideal betalen. Bijvoorbeeld: in internetcafe's zou je op deze manier een paypal account aan een rekening van klanten die via ING een iDeal betaling doen kunnen koppelen en via die weg de rekening op een later moment kunnen misbruiken.
Dit probleem is inderdaad opgelost, ze schrokken er behoorlijk van (heb het overigens niet meer gecontroleerd).

[Reactie gewijzigd door ..bennie op 23 juli 2024 00:23]

DarkForce @..bennie • 13 juni 2012 21:36

Als jij een betaling uitvoert kom je vanaf de verkoper bij iDeal en vervolgens als nog de bank omgeving uit waar jij de betaling vanaf wilt verrichten. Tenminste, ik betaal nimmer een bedrijf/instantie als ik zie dat ik mijn bankrekening en codes moet invoeren op een iDeal-pagina die niet gelijk is aan een URL van mijn bank.

Of wel; de sessie is gewoon overschreven aangezien de iDeal betaling gewoon via de bank zelf is verricht.

/ Kleine aanvulling /
Internetbankieren en iDeal is geen aparte dienst. Je kunt internetbankieren niet zonder iDeal afnemen net zo min als je iDeal zonder internetbankieren kunt afnemen. Wie voor internetbankieren kiest, kiest dus ook direct voor alle andere mogelijkheden die erbij horen zo is dit bij alle banken iDeal maar bij banken als Rabobank ook wel Finbox, Minitix etc. etc. etc. al die diensten zijn op geen enkele wijze los van elkaar te verkrijgen.

[Reactie gewijzigd door DarkForce op 23 juli 2024 00:23]

..bennie @DarkForce • 13 juni 2012 23:16

Je begrijpt me niet. Ten eerste heb ik het over producten en niet over diensten.
In scherm 1 staat dus Internetbankieren open met mijn rekening. In scherm 2 wordt via een webshop een iDeal betaling gedaan met de bankgegevens van mijn vriendin. Vervolgens krijg ik in scherm 1 haar rekening te zien ipv de mijne. Wanneer je naar het domein kijkt zul je zien dat voor de ideal betaling een ander subdomein wordt gebruikt dan voor het internetbankieren. Dit is echt een groot security issue en gelukkig begrepen ze dat in ieder geval wel bij ING. Uiteraard had dit nooit zo mogen worden geïmplementeerd.

ViperXL @..bennie • 13 juni 2012 17:26

Dat kan wel kloppen, het laatste scherm van de sessie kun je wel vaker opvragen dit omdat de sessie en cache wordt opgevraagd maar verdere acties of bewerkingen zijn niet mogelijk op zo'n moment.

..bennie @ViperXL • 13 juni 2012 23:16

Dat kan wel kloppen, het laatste scherm van de sessie kun je wel vaker opvragen dit omdat de sessie en cache wordt opgevraagd maar verdere acties of bewerkingen zijn niet mogelijk op zo'n moment.

Die waren dus wel mogelijk, dat heb ik geprobeerd en het werkte allemaal tot mijn verbazing.

Franckey @..bennie • 13 juni 2012 22:52

En wat zei ING, want je hebt het daar neem ik aan wel gemeld?

..bennie @Franckey • 13 juni 2012 23:17

Dit probleem is inderdaad opgelost, ze schrokken er behoorlijk van (heb het overigens niet meer gecontroleerd).

Pixeltje

@Ortixx • 13 juni 2012 17:27

Omdat ING dan perse vaste IP adressen moet gebruiken voor die computers, ook dat is een beveiligingsrisico. Laten we eerst maar eens afwachten of er daadwerkelijk is ingebroken en zoja, hoe dat is gebeurd. Voor hetzelfde geld is dit gewoon opschepperij van desbetreffende hacker, dat het via ANP naar buiten komt zegt niet alles.

Goros @Ortixx • 13 juni 2012 17:29

Het zal geen digitale hack zijn geweest. Deze persoon Davy de V. liep stage bij een ICT bedrijf. Mogelijk is het diefstal van gevoelige informatie waarbij hij intern bij de ING bezig is geweest. Aldus bron http://www.nu.nl/internet...-rekeningnummers-ing.html

[Reactie gewijzigd door Goros op 23 juli 2024 00:23]

mxcreep @Ortixx • 13 juni 2012 20:49

Zulke experts zijn het niet hoor kan ik je uit eigen ervaring melden...

Graggor @Ortixx • 13 juni 2012 16:56

Zo'n grote groep ICT experts wil blijkbaar niks zeggen met al die storingen die ze een tijdje geleden hadden..

Anoniem: 181529 @Graggor • 13 juni 2012 16:58

QoS is een compleet ander gebied dan security

CodeCaster @Anoniem: 181529 • 13 juni 2012 17:06

En de hele boel platgooien omwille van iets security-gerelateerds en de klanten zeggen dat je bezig bent met het "verbeteren van de gebruikerservaring" is ook weer iets totaal anders.

wesjuhdabomb @CodeCaster • 13 juni 2012 17:45

Volgens mij is dat niet 100% bewezen. Don´t shoot me als dat wel het geval is.. Maar dan nog, dat valt niet te wijten aan de ICT´ers bij ING, die beslissing ligt waarschijnlijk hoger op

Nas T @wesjuhdabomb • 13 juni 2012 21:40

Zie update, bewering zal waarschijnlijk niet kloppen.

sygys @Nas T • 14 juni 2012 14:56

Ja wat wel raar is is dat de postbank niet ingrijpt nadat 1 malloot 1280 namen achter elkaar fout typt!

Fireshade @CodeCaster • 13 juni 2012 21:43

Het platgaan was niet security-gerelateerd. Switchen naar andere nieuwe systemen, nadat velen die erbij betrokken zijn weggeorganiseerd zijn. Loopt iets uit de hand, mogen gedetacheerden en nieuwkomers (want goedkoper) het gaan uitzoeken. Tja...

jvanhambelgium 13 juni 2012 16:55

Sinds wanneer kan ik bestellingen plaatsen met een naam en REKENING-nummer ? Ik geef graag m'n rekening-nummer aan iedereen die dat wilt hoor ...toch totaal onbruikbaar en helemaal niets geheim aan ?

...of bedoelen we hier crediet-card nummers ?

Graggor @jvanhambelgium • 13 juni 2012 16:58

Als jij bijvoorbeeld bij bol.com een bestelling plaatst dan geef jij je rekeningnummer in en dan kan je of kiezen voor automatisch incasso of voor een acceptgiro. Als ze dan bij bol.com alleen de naam en rekeningnummer van jou hebben, en ik heb alles besteld, dan komen ze dus achter jou aan (ik kan de producten ook gewoon ergens anders laten bezorgen dan op mijn thuis adres).

JAVE @Graggor • 13 juni 2012 17:14

Ja, en een automatische incasso mag dus niet zonder handtekening.
Maar omdat dat zo onhandig is (lees: dan haken impulsieve internet klanten af), laten ze het stukje bevestiging per post maar achterwege.

En de banken gaan erin mee, want die nemen aan dat je de handtekening hebt als je een incasso bij ze neerlegt.

De regels die je krijgt (en accepteert) als je een automatische incasso mogelijkheid bij een bank aanvraagt stellen duidelijk dat toestemming voor automatische incasso schriftelijk bevestigd moet zijn.

Iedereen weet het, maar het piep-systeem is makkelijker dan het naleven van hun eigen regels.

ViperXL @JAVE • 13 juni 2012 17:32

Ik vraag me af of dat klopt want volgens mij kun je tegenwoordig een auo-incasso laten uitvoeren door 2x toestemming te geven op 2 verschillende pagina's. Hou er rekening mee dat email ook schriftelijk is.

freedragon @ViperXL • 13 juni 2012 18:23

JAVE heeft gelijk: volgens de wet is dat helemaal niet geldig. Dit geldt ook voor het gebruik van een bandopname bij een telefoongesprek. machtigingen moeten wettelijk gezien altijd op papier - voorzien van een handtekening - vastgelegd worden. Dat hier op dit moment coulant mee wordt omgegaan, is een ander verhaal.

Vanaf 1 februari 2014 gaat dit echter veranderen bij de officiële invoering van SEPA: dan moeten voor niet-zakelijke klanten bij nieuwe contracten papieren machtigingen worden aangevraagd (en beheerd!). Zakelijke klanten (ook bestaande) moeten sowieso een nieuwe machtiging op papier afgeven.

Lees en huiver

Vooral bij Direct Debit

_{Tenzij de regels in de tussentijd natuurlijk weer worden aangepast.}

[Reactie gewijzigd door freedragon op 23 juli 2024 00:23]

Nextron @jvanhambelgium • 13 juni 2012 16:59

Sommige webshops bieden betaling via automatische incasso aan. Dan heb je aan een naam en rekeningnummer voldoende.

reefclaw

@Nextron • 13 juni 2012 17:03

officieel zou hier ook een handtekening voor nodig moeten zijn. Dus dit zou niet moeten kunnen werken.
De praktijk helaas...

cobis taba @reefclaw • 14 juni 2012 02:20

Natuurlijk werkt het wel, om de simpele reden dat de bank gewoon niet kan controleren of jij een handtekening hebt. Echter, jij moet dit altijd kunnen bewijzen en de klant kan 56 dagen (correct me if wrong in aantal dagen) storneren en dan heb je geld terug.

Ik zie het probleem niet? Bij meer dan 1% foute incasso's ben je de pineut bij ING.

Korben @reefclaw • 14 juni 2012 09:30

Dat is allang niet meer zo, om automatische incasso via webshops, postorder en callcenters te kunnen faciliteren.

Swoosh @jvanhambelgium • 13 juni 2012 16:59

Ik kan me herinneren dat je (vroeger) eenmalige machtiging tot afschrijving van het bedrag kon geven online als je iets bestelde bij sommige webshops, door je naam en rekeningnummer te geven dus.

stresstak @Swoosh • 14 juni 2012 19:42

Ik kan me herinneren dat je (vroeger) eenmalige machtiging tot afschrijving van het bedrag kon geven online

Dat kan nog, soms. Bij theaters bijvoorbeeld. Maar dan heb je ook een klantnummer en inlogcode nodig, zodat het wel duidelijk is dat jij het echt betn Zeker als er ook bevestigingsmail verstuurd wordt. Maar het kan wel en gaat goed.

.oisyn Moderator Devschuur®

Hackers
Beveiliging

@jvanhambelgium • 13 juni 2012 17:20

Ik herinner me een akefietje met Ron Brandsteder (geloof ik?) die precies exact hetzelfde riep als jij, en het daarom onzin vond dat mensen zo happig waren op het "geheim" blijven van het rekeningnummer. En die heeft, om zijn eigen punt te bewijzen, zijn naam en rekeningnr toen ook gepubliceerd. Waarna een grapjas middels wat social engineering bij een bank toch geld daar vanaf heeft kunnen schrijven.

Dit nog even naast het feit dat het vrij gemakkelijk is om een machtiging voor automatische incasso in te vullen op iemand ander's naam en rekeningnummer. De bank controleert de handtekening toch niet of nauwelijks.

[Reactie gewijzigd door .oisyn op 23 juli 2024 00:23]

D2D_Christiaan 13 juni 2012 16:55

Aan alleen een naam en een rekeningnummer heb je toch weinig?

Anoniem: 63628 @D2D_Christiaan • 13 juni 2012 16:56

Je kunt op rekening bestellen, al wordt dat meestal wel wat beter afgeschermd. En het is sowieso niet lastig om naam en rekeningnummer te vinden van mensen.

Nextron @Anoniem: 63628 • 13 juni 2012 17:01

Bij ING al helemaal niet, vul een willekeurig ING-rekeningnummer in met foute naam en je krijgt de correcte naam retour. Met een scriptje om dat te harvesten kun je hetzelfde bereiken lijkt me, zonder illegaal bezig te zijn.

Anoniem: 63628 @Nextron • 13 juni 2012 17:10

Ik bedoelde meer dat de bedrijven waarbij je op rekening besteld meer gegevens van je vragen dan zomaar een naam+rekeningnummer.

mae-t.net @Nextron • 14 juni 2012 14:46

Ik neem aan dat in hun voorwaarden staat dat je dat niet mag doen. Het kan wel, maar je bent mogelijk alsnog illegaal bezig.

Roland684 @Anoniem: 63628 • 13 juni 2012 17:04

Dat is maar gewoon wat een bedrijf je toestaat. Op rekening bestellen bij een klant die je nog nooit gezien hebt en die jou alleen een naam en rekeningnummer geeft... imho niet slim, maar het is gewoon een risico dat ze bewust nemen. gemak vs af en toe een verlies.

Naam-rekeningnummer-informatie is niet bepaald geheime informatie.

Korben @Roland684 • 14 juni 2012 09:29

Nou, dat lijkt me wel degelijk geheime informatie, want meer dan die informatie heb je eigenlijk niet nodig wanneer je een automatische incasso wilt accorderen.

D.oomah @Roland684 • 13 juni 2012 18:58

Op naam + rekeningnummer bestellen deden ze vroeger altijd. Tegenwoordig kun je vaak nog steeds voor die optie kiezen. Dan krijg je een klein geel briefje waarop je dan je rekeningnummer, naam en adresgegevens zet. Ze noemen het een acceptgiro.

Okee, je moet dan ook een handtekening invullen maar daar controleren ze pas op als het al te laat is. Ik heb vaak genoeg iets op de rekening van mijn ouders besteld met een willekeurige handtekening. Het lijkt op die van mijn ma maar als ze je naast elkaar legt zie je duidelijk grote verschillen. Dus na een tijdje ging ik gewoon mijn eigen handtekening gebruiken. Nooit wat van gehoord en de bank schrijft het netjes af.

Vlot @D.oomah • 14 juni 2012 09:33

Maar als je gewoon je betalingen in de gaten houdt, kun je dat gewoon weer storneren. Dus geen probleem imho...

Anoniem: 126717 @D2D_Christiaan • 13 juni 2012 16:58

Als het goed is niets. In mijn geval zou er in ieder geval niets moeten gebeuren, want ik krijg TAN codes op mijn telefoon.
En tussen juli 2011 en maart 2012.... Dan had mijn vrouw het wel gespot, daar maak ik me niet druk over.

donnie1992 @Anoniem: 126717 • 13 juni 2012 17:02

Dat maakt geen ene flikker uit, dat is alleen als je zelf de betaling uitvoert, niet als iemand op jou rekeningnummer besteld

Nibulez @donnie1992 • 13 juni 2012 17:09

ik heb nog nooit gezien dat je alleen met rekeningnummer en naam iets kan betalen. Je krijgt hiervan dan een acceptgiro BIJ de bestlling, die je met handtekening weer moet opsturen naar je bank. het is niet zo dat er automatisch geld afgeschreven wordt.

kmf @Nibulez • 13 juni 2012 18:30

Je kan je wel voordoen alsof je een (eenmalige) machtiging hebt van iemand en een betaling richting jou laten uitvoeren door een bank. Als je naam+rekeningnummer heb zal dit al voldoende moeten zijn.

TheekAzzaBreek @kmf • 13 juni 2012 19:17

Dat kan niet iedereen zo maar doen. Alleen bedrijven, en die moeten een contract ondertekenen er geen misbruik van te maken. Doen ze dat wel dan kan de mogelijkheid om met machtigingen te werken ingetrokken worden. Of dat ook echt gebeurt weet ik niet.

cobis taba @TheekAzzaBreek • 14 juni 2012 02:17

Ook verenigingen kunnen dit, bijvoorbeeld een studentenverenigingen voor incasso van hun contributie. Als meer dan 1% van de incasso's wordt gestorneerd heb je een probleem en kunnen ze je contract intrekken. Dat zijn in ieder geval de ING regels. Ook zijn er beperkingen op het aantal incasso's per dag en de bedragen per dag en jaar.

Stoney3K

Politiek en recht
Websites en community's
Hackers
Internet

@Nibulez • 13 juni 2012 17:26

ik heb nog nooit gezien dat je alleen met rekeningnummer en naam iets kan betalen. Je krijgt hiervan dan een acceptgiro BIJ de bestlling, die je met handtekening weer moet opsturen naar je bank. het is niet zo dat er automatisch geld afgeschreven wordt.

Je kan een andere partij machtigen om een automatische incasso te doen, dan wordt er wel "automatisch" geld afgeschreven.

Het is alleen ook zo dat je die incasso weer netjes kan terugboeken als je niet weet waar het om gaat. De verkopende partij gaat dan bij het ontvangende adres (meneer de hacker) om zijn geld lopen zeuren.

ViperXL @Nibulez • 13 juni 2012 17:30

Is wel mogelijk alhoewel veel ondernemingen dit niet ENKEL met reknr en naam toelaten. Vaak moet daarbij reknr, NAW en geboortedatum opgegeven worden en extra vinkje mbt automatisch incasso.

Anoniem: 126610 @ViperXL • 13 juni 2012 18:28

De vraag is dan wel of die naw-gegevens worden gecheckt.

..bennie @D2D_Christiaan • 13 juni 2012 17:05

Met naam en rekeningnummer kun je een automatische incasso laten uitvoeren, volgens mij kan dat bijvoorbeeld bij Wehkamp.

Anoniem: 382732 @..bennie • 13 juni 2012 18:21

Ja, maar dan nog. Wehkamp doet geen naam vs. rekening check dus kan je die truc ook uithalen door gewoon rekeningnummers te verzinnen/berekenen. En hoeveel schade kan je hier feitelijk mee aanrichten? Heel weinig maar.

bóòbó @D2D_Christiaan • 13 juni 2012 16:57

Precies, begrijp het ook niet helemaal.

Bovendien kan je een willekeurig gironummer invoeren bij een overschrijving op Mijn ING, en met één klikje krijg je de bijbehorende naam te zien.

findftp @bóòbó • 13 juni 2012 17:36

Dat zal vast wel aan een maximum verbonden zijn?

cobis taba @findftp • 14 juni 2012 02:16

Gezien de update controleren ze het maar een max. heb ik nooit ontdekt. Je kunt een betaalbatch aanmaken met allemaal random mensen en nummers. Die test je dan (per 500 bijvoorbeeld) en dat doe je regelmatig

. Scheelt je hoop handmatig werk want een betaalbatch kun je in 1 geheel importeren en laten testen.

bonus @D2D_Christiaan • 13 juni 2012 16:58

Ja ik zat ook een beetje "en dan" ? Maar schijnbaar toch genoeg om bestellingen te kunnen doen bij div. bedrijven. Of hij het ook heeft gekregen is vraag 2

En als dan vraag ik me af op wel adres hij het heeft laten bezorgen, toch zekere niet op zijn thuis adres...

jegelie @bonus • 13 juni 2012 20:19

Nee, op een proxy adres

z.jeroen @D2D_Christiaan • 13 juni 2012 17:04

Inderdaad, bovendien is het altijd mogelijk om op mijn.ing.nl de naam bij een rekeningnummer te vinden door bij een overboeking een nummer in te vullen: de site geeft dan zelf de naam die erbij hoort.

Maar als de gegevens verkregen zijn van binnenuit, dan is dat natuurlijk zorgelijk op zich.

Aramiss 13 juni 2012 16:54

Dat is goede reclame voor ECT als daar de aanval wellicht niet gelukt was en bij ING wel!

arjankoole

Beveiliging
Hackers

@Aramiss • 13 juni 2012 17:02

Dat is goede reclame voor ECT als daar de aanval wellicht niet gelukt was en bij ING wel!

Alleen zijn bij de ECT waarschijnlijk veel minder intressante gegevens te stelen, dan bij een bank.

De ECT slaat natuurlijk allemachtig veel data op die extreem relevant zijn voor een containeroverslag bedrijf, maar die zijn voor een hacker waarschijnlijk net zo boeiend als de wallstreet journal van 4 jaar geleden. Bankgegevens echter, daar kun je veel meer en veel engere dingen mee.

SED @arjankoole • 13 juni 2012 17:11

de exacte locatie en inhoud van een containerpark is ongetwijfeld goud waard.
In de haven wordt voor miljarden verscheept!
Kennis van de inhoud en het is gratis winkelen.

Franckey @SED • 13 juni 2012 22:56

Haha... je moet misschien alleen even 20 containers verplaatsen om bij jouw plasmaschermen te komen...

servies @arjankoole • 13 juni 2012 17:15

Het is toch altijd erg interessant voor een criminele organisatie wanneer en waar de containers met waardevolle inhoud de weg opgaan of opgeslagen staan... Dan kun je lekker gericht je slag proberen te slaan...

NLKornolio @arjankoole • 13 juni 2012 17:47

ECT heeft gewoon een stuk betere ICT medewerkers als de ING want aan het management daar kan het niet liggen.

ECT behoort tot het grootste havenbedrijf van de wereld die info die daar waardevol is vooral concurrerende data.
ECT houdt echt niet bij waar welke container staat als die het terrein verlaat. De data die ze hebben is bedrijfinformatie en container A gaat van Kade A naar kade B.
Het enige leuke wat er te doen is als je binnen ben, is om al die computer gestuurde wagens te laten bewegen

Gratis winkelen het is gewoon een terrein dat door de Douane beheert wordt je komt daar echt niet als beunhaas binnen. Kan je net zo goed zeggen laat ik schiphol hacken dan kan ik naar mensen hun koffers gaan winkelen.

Anoniem: 238498 13 juni 2012 16:57

Als dit te maken heeft met de storingen die er geweest zijn, of de eerdere (beperkte) berichtgeving over aanvallen bij de ING ben ik acuut weg bij deze toko.
Een fout kan altijd maar het verzwijgen ervan vind ik persoonlijk zeer kwalijk van een bedrijf die op mijn geld moet letten.

koelpasta @Anoniem: 238498 • 13 juni 2012 17:03

Mischien wisten ze het al maar wilden ze de hacker zn gang laten gaan i.v.m. politieonderzoek ofzo.
Als dat zo is dan zijn je centen waarschijnlijk nooit in het geding geweest.

210667 13 juni 2012 17:04

Beetje Televaag kop boven het artikel. Van Tweakers verwacht je toch wat anders.

Verder staat het vol met aannames. De hacker zou, volgens NU zou de hacker....

Assumption is the mother of all FuckUps.

CUnknown @210667 • 13 juni 2012 17:14

Ik ben het met je eens dat de titel veel te sterk is. Er is nog niets bevestigd maar toch wordt het al breed uitgemeten.

Maar ach, dat is media hè. ANP publiceert alleen maar kleine persberichten (een paar regels) en dan is het de bedoeling dat journalisten zelf onderzoek doen. Maar alles nét iets uitvergroten zorgt voor meer sensatie en is dus kassa!

TheekAzzaBreek @CUnknown • 13 juni 2012 19:28

We doen het toch zelf ook? Er worden in de reacties ook een hoop ferme conclusies getrokken op basis van bijna geen informatie.

DheeradjS @CUnknown • 14 juni 2012 15:28

Tweakers = Standaard Journalistiek aan het worden.... Wat verwacht je anders.

Korben @210667 • 14 juni 2012 09:34

De titel staat ook tussen quotes, daar aan zou te zien moeten zijn dat het om een uitspraak gaat.

EliteGhost 13 juni 2012 18:29

Nou, als het 'm daadwerkelijk is gelukt: inhuren. Kan ie meteen aan het werk om de schade ongedaan te maken en heeft de ING er een goede ICT beveiliger bij.

Anoniem: 398494 @EliteGhost • 13 juni 2012 19:24

Zulke criminelen moet je geen baan aanbieden, die zijn niet te vertrouwen.

EliteGhost @Anoniem: 398494 • 14 juni 2012 10:29

Maar je zult hun kennis toch moeten benutten. Kan je alleen maar ten goede komen.

Op dit item kan niet meer gereageerd worden.

'Hacker steelt gegevens miljoen ING-klanten' - update

Lees meer

IT-banen

Reacties (161)

Sorteer op:

Weergave: