Nieuws

Britse bank Monzo bewaarde pincodes klanten in logbestanden

maandag 5 augustus 2019, 16:20 door Redactie, 8 reacties

De Britse bank Monzo heeft door een fout de pincode van zo'n half miljoen klanten in logbestanden bewaard. Dat heeft de bank via een blogpost bekendgemaakt. Klanten van de bank moeten bij het uitvoeren van transacties of andere gevoelige zaken hun pincode opgeven.

Vorige week ontdekte Monzo dat de pincode van een half miljoen klanten onbedoeld in logbestanden werden opgeslagen, waar ze door engineers van de bank konden worden ingezien. Volgens de bank hebben externe partijen geen toegang tot de pincodes gehad en zijn er geen aanwijzingen van fraude ontdekt. De informatie in kwestie is inmiddels verwijderd en er zijn nieuwe versies van de bank-app uitgebracht.

Alle gedupeerde klanten zijn daarnaast geïnformeerd en hebben het advies gekregen om hun pincode uit voorzorg bij een geldautomaat te veranderen. Tevens zijn klanten gevraagd om ongewone transacties te melden. In eerste instantie ondersteunde Monzo pincodes van acht cijfers, maar besloot dat terug te draaien omdat deze pincodes volgens de bank op de meeste geldautomaten niet worden ondersteund.

Firefox voor Android ondersteunt inloggen via vingerafdruk

Onderzoekers vinden 60 kwetsbare Nederlandse SCADA-systemen

Reacties (8)

05-08-2019, 19:00 door Anoniem

Hoe kan een bank een ontsleutelde PIN-code lezen? Deze verlaat het PIN-pad altijd encrypted, waarbij deze aan de bank-kant in een HSM terechtkomt, waar deze vervolgens gecontroleerd wordt. Dan gaat er alleen een NOK of OK terug.

Als een bank een ontsleutelde PIN kan lezen klopt er iets niet aan de infrastructuur/inrichting, of mis ik iets aan mijn redenering?

05-08-2019, 21:25 door Anoniem

Door Anoniem: Hoe kan een bank een ontsleutelde PIN-code lezen? Deze verlaat het PIN-pad altijd encrypted, waarbij deze aan de bank-kant in een HSM terechtkomt, waar deze vervolgens gecontroleerd wordt. Dan gaat er alleen een NOK of OK terug.

Als een bank een ontsleutelde PIN kan lezen klopt er iets niet aan de infrastructuur/inrichting, of mis ik iets aan mijn redenering?

Het gaat om de pincode voor de bank app.

06-08-2019, 03:58 door Anoniem

De bank-app is vernieuwd dus waarschijnlijk vereiste deze de pincode welke vervolgens ergens plaintext in logging terecht kwam.

06-08-2019, 08:27 door [Account Verwijderd]

Internetbankieren (waarvoor hetzelfde zou moeten gelden, maar ja, dat hebben ze dus verkloot).

06-08-2019, 09:10 door Anoniem

Je kan natuurlijk ook even het bron artikel lezen. https://monzo.com/blog/2019/08/05/weve-fixed-an-issue-storing-some-customers-pins
Daar staat namelijk letterlijk in de eerste paar regels:
We ask for your PIN whenever you want to make a payment, or do anything else that's sensitive on your Monzo account.
Het gaat You can do this by putting your Monzo card into the cash machine, entering your old PIN and choosing ‘PIN services’. Then choose ‘Select a new PIN’ and change it to a new number.

Wat wel interessant is You can do this by putting your Monzo card into the cash machine, entering your old PIN and choosing ‘PIN services’. Then choose ‘Select a new PIN’ and change it to a new number.
De pincode van de applicatie is dus het zelfde als je pin code op de bankpas. Wat de veiligheid van de app een beetje omzeep helpt. Je moet eigenlijk password niet hergebruiken, maar pincodes wel?

06-08-2019, 09:32 door Anoniem

Door Anoniem: De bank-app is vernieuwd dus waarschijnlijk vereiste deze de pincode welke vervolgens ergens plaintext in logging terecht kwam.

het lijkt ING wel. Wat een geblunder.

06-08-2019, 12:24 door Anoniem

Door Anoniem:

Door Anoniem: De bank-app is vernieuwd dus waarschijnlijk vereiste deze de pincode welke vervolgens ergens plaintext in logging terecht kwam.

het lijkt ING wel. Wat een geblunder.

Waarom ING?

06-08-2019, 15:27 door Anoniem

het lijkt ING wel. Wat een geblunder.

Nooit gehoord van soortgelijk probleem bij ING, let eens uit ?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Britse bank Monzo bewaarde pincodes klanten in logbestanden

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren