"ING hackt geen telefoons"
De ING hackt geen telefoons, zo laat de bank op de eigen website weten naar aanleiding van berichten in de media. Gebruikers die een nieuwe simkaart in hun telefoon plaatsen krijgen vaak meteen bericht dat ze 48 uur geen transacties via internetbankieren kunnen doen, ook al is er geen contact met de bank geweest. Sommige gebruikers vroegen zich af hoe de bank hun simwissel detecteerde.
Mobiele aanbieders lieten in eerste instantie weten dat er geen informatie werd verstrekt en ook de bank wilde zich vanwege beveiligingsredenen hier niet over uit laten. Uiteindelijk liet een woordvoerder van de bank tegenover Geenstijl weten dat ING geen telefoons hackt, maar dat het om een samenwerkingsverband met telecomproviders gaat.
"De ING en de telecomproviders hebben besloten samen te werken om identiteitsfraude met simwissels te voorkomen", zo stelt de bank. De telecomproviders zouden aan ING alleen het 'kale' mobiele nummer en het moment van de simwissel verstrekken, zonder overige informatie. De juridische basis voor het verstrekken van de informatie is artikel 8 sub f van de Wet Bescherming Persoonsgegevens.
Fraude
Doordat de telecomproviders de de bank over simwissels informeren, kan de ING het voor deze klanten gedurende 48 uur onmogelijk maken om TAN-codes te ontvangen. "Op deze manier wordt mogelijk misbruik en schade als gevolg daarvan voorkomen."
Deze procedure is enkele maanden geleden in gang gezet op verzoek van de ING. De bank benadrukt dat het gebruik van de informatie uitsluitend voor het voorkomen van fraude wordt gebruikt en niet voor commerciële doeleinden.
Hebben providers hiervoor dan geen toestemming nodig van de klant ? Of heeft de klant hier in de algemene voorwaarden toestemming voor gegeven ? Zonder uitdrukkelijke toestemming vind ik het doorgeven van dit soort informatie erg raar, zelfs al wordt dat gedaan tbv fraudebestrijding.
Dus zelfs als ik geen klant bij ING ben (opgestapt toen de Postbank ING werd), weten ze dat ik een andere SIM kaart krijg.
'En we gebruiken het niet voor commerciële doeleinden'. Ik denk dat de boodschap niet overgekomen is: ik wil niet dat de ING die informatie heeft. Of ze het gebruiken of niet is niet van belang!
Persoonsgegevens mogen slechts worden verwerkt indien:
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
het doel waarvoor de gegevens bij de ING geregistreerd zijn is niet verenigbaar met het doel waarvoor zij ze nu gebruikt en daarmee overtreed de ING de wet WBP.
Ze hadden on z'n minst schriftelijk toestemming moeten vragen aan de betrokken .....
Buiten het bovengenoemde, wordt er nog meer informatie verstuurd/uitgewisseld. Anders kun je namelijk niet detecteren dat de simkaart is gewisseld in een telefoon of dat de telefoon gewisseld is met de simkaart. Dit is volgens mij niet de eerste keer dat de ING door dit soort dingen in het nieuws komt ....
edit: volgens mij gaan beide partijen tegen de wet in, de telecomproviders mogen namelijk jou gegevens niet verstrekken aan de bank terwijl de bank ze niet mag gebruiken omdat de gegevens niet verenigbaar zijn met het doel waarvoor ze zijn verkregen, namelijk het versturen van een TAN-code (definitie van de ING moet hiervoor worden nagetrokken)
Dit lijkt me een zaak voor het CBP .....
Grote kans dus dat ze gewoon dit gebruiken bij ING.
1) ING krijgt van iedere simwissel een mededeling van een telecombedrijf met daarin het telnummer en bericht dat en wanneer een simwissel heeft plaatsgevonden voor dat nummer. - Het gaat niemand anders dan de eigenaar van het nummer en het telecombedrijf wat aan dat de eigenaar een simwissel heeft gedaan. ING hoort dat niet te ontvangen voor ieder die geen relatie met ze heeft.
2) ING geeft aan de telecombedrijven een lijst met telefoonnummers (of nog erger - lijst met personen) waarvan ze willen weten dat er een simwissel heeft plaatsgevonden. Telecombedrijf geeft melding indien ze dat detecteren. - Telecombedrijf hoort niet te weten wie/welke nummers bij ING bekend zijn danwel hoort die gegevens niet te accepteren.
Hoe nobel de opzet ook, dit kan niet door de beugel omdat ING het niets aan gaat bij welk nummer een simwissel heeft plaatsgevonden.
Grote kans dus dat ze gewoon dit gebruiken bij ING.
Als dat zo was hadden ze de telecomprovider niet nodig ;)
ik heb een sim wissel gedaan, en opeens kan ik geen ing banking doen.
wel apart, ik ben niet een ing klant..
Bestrijd de oorzaak, niet het gevolg...
Bestrijd de oorzaak, niet het gevolg...
Misschien dat één van de wannabe security architecten hier eens een beter systeem moet beschrijven.
Graag iets wat ook praktisch bruikbaar is, geen excessieve kosten heeft en ook tante truus nog een behoorlijke kans op veiligheid geeft.
Het SMS model heeft een paar voordelen die de paslezer/token systemen niet zo duidelijk hebben.
(en als je niet snapt welke voordelen dat zijn, snap je niet welk probleem een ebank systeem moet oplossen).
Bestrijd de oorzaak, niet het gevolg...
TAN is redelijk veilig, alleen de gebruikers vaak niet....
TT
betaalt en dus een machtiging hebt afgegeven)?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.