Vijf ING-klanten kregen door systeemfout toegang tot rekening andere klanten - update
Een klant van ING heeft door middel van een systeemfout toegang tot de rekening van een andere klant gekregen. De klant logde door middel van Face ID in op de ING-app, maar kreeg daarbij niet zijn eigen rekeninggegevens te zien, maar die van een andere klant. De klant maakte screenshots en informeerde de bank. Tegenover het Financieele Dagblad deed hij zijn verhaal. ING bevestigt het voorval en stelt dat het door een ‘fout in het systeem’ is veroorzaakt.
"Tot mijn grote verbazing zag ik daar álle financiële gegevens van deze persoon. Zijn uitgaven, zijn inkomsten, zijn hypotheek, de spaarrekeningen van de kinderen, alles. Ik kon zelfs diens gegevens wijzigen of de rekening opzeggen. Dat zoiets mogelijk was, voelde heel ongemakkelijk", zo laat de klant aan de krant weten. ING stelt dat het probleem is opgelost. Over de oorzaak is niets bekendgemaakt, alsmede of dit soort incidenten vaker voorkomen.
De Autoriteit Persoonsgegevens zegt vaker melding van dergelijke situatie te krijgen. "Het komt af en toe voor dat bij digitaal inloggen er verkeerde klantgegevens verschijnen. Dat beperkt zich overigens niet tot banken maar het kan bijvoorbeeld ook bij een pensioenverzekeraar gebeuren", aldus een woordvoerder aan het FD.
Update
ING liet in eerste instantie weten dat het om een uniek geval ging waarbij een klant de rekening van een andere klant kon zien en geld overmaken. Dat blijkt niet zo te zijn. De bank laat nu tegenover de NOS weten dat vijf klanten slachtoffer van dezelfde systeemfout werden. "Het kwam door een verandering die we hebben doorgevoerd in het systeem en we nu hebben teruggedraaid," aldus een woordvoerder van ING. "We voeren continu veranderingen door, allemaal technische zaken aan de achterkant van het systeem, waar de klanten helemaal niets van zien." Details zijn niet door de bank gegeven. Ook doet de bank geen uitspraken of er misbruik van de fout is gemaakt.
Reacties (57)
16-10-2023, 12:24 door
Anoniem
Die reactie van Autoriteit Persoonsgegevens laat het lijken dat ze het maar prima vinden dat het gebeurd?!
16-10-2023, 12:31 door
Anoniem
Ze moeten echt uitleggen hoe dit mogelijk was en hoe dit is opgelost anders voorzie ik een forse uittocht want dit is ongehoord.
Als men dit weigert kunnen we gevoeglijk aannemen dat er nog meer ernstige systeemfouten in zitten.
Als men dit weigert kunnen we gevoeglijk aannemen dat er nog meer ernstige systeemfouten in zitten.
16-10-2023, 12:40 door
Anoniem
Ik neem aan dat de Face ID plaatsvindt in de smartphone zelf, en niet in het datacenter van ING? In de TPM dus, en niet dat je gezicht het internet over gaat elke keer dat je inlogt?
Bij Microsoft en Google gaan je vingerafdrukken en gezichtsscans ook niet het internet over. Dat zou een privacy issue zijn. Je vingerafdruk zou dan bijvoorbeeld afgevangen kunnen worden en ergens anders (bij een andere dienst) gebruikt kunnen worden.
Dat is hoe ik het snap, ik heb geen smartphone.
Bij Microsoft en Google gaan je vingerafdrukken en gezichtsscans ook niet het internet over. Dat zou een privacy issue zijn. Je vingerafdruk zou dan bijvoorbeeld afgevangen kunnen worden en ergens anders (bij een andere dienst) gebruikt kunnen worden.
Dat is hoe ik het snap, ik heb geen smartphone.
16-10-2023, 12:47 door
Anoniem
je vraagt je af hoe zoiets kan gebeuren.. technisch gezien is dat natuurlijk geen probleem.. een pointer wijst verkeerd en je krijgt geautoriseerde toegang tot een ander account.. maar administratief gezien, hoe krijg je het voor elkaar dat je zoiets toestaat in een bankomgeving? dan is toch vertrouwen 100% weg?
Tis niet dat bank apps zo klein en snel zijn dat het een oepsie is?
kan me niet voorstellen dat de autorisatie niet werkt met sleutels waarbij er nog eens een dubbelcheck komt dat de key van app matched met de key van het account, zodat een correcte autorisatie op het foute account GEEN gegevens zou moeten weergeven.
Tis niet dat bank apps zo klein en snel zijn dat het een oepsie is?
kan me niet voorstellen dat de autorisatie niet werkt met sleutels waarbij er nog eens een dubbelcheck komt dat de key van app matched met de key van het account, zodat een correcte autorisatie op het foute account GEEN gegevens zou moeten weergeven.
16-10-2023, 13:01 door
Anoniem
De app is veilig.......
en prive vooral
en prive vooral
16-10-2023, 13:03 door
Anoniem
Wanneer leren ze nu eens dat biometrische gegevens alleen maar wat zeggen over je gebruikersnaam? En volledig ongeschikt zijn voor authenticatie only!
16-10-2023, 13:14 door
Anoniem
En wat gebeurt er als zo'n klant de rekening van de ander plundert, is de bank dan ook niet thuis? Moet je dan naar het kifid en weer met een kluitje in het riet gestuurd worden?
16-10-2023, 13:22 door
Anoniem
Aiaiai, dat doet me gelijk aan die foute wapenhandel van oa. de ING denken:
https://www.oxfamnovib.nl/nieuws/ing-abn-amro-en-van-lanschot-in-foute-wapenhandel
en:
https://radar.avrotros.nl/nieuws/item/ing-en-abn-amro-investeren-nog-steeds-miljoenen-in-foute-wapenhandel/
https://www.oxfamnovib.nl/nieuws/ing-abn-amro-en-van-lanschot-in-foute-wapenhandel
en:
https://radar.avrotros.nl/nieuws/item/ing-en-abn-amro-investeren-nog-steeds-miljoenen-in-foute-wapenhandel/
16-10-2023, 13:31 door
Anoniem
Ging het hier fout omdat de klant inlogde dmv Face ID?
Of kan het ook fout gaan als je met een code inlogt?
Of kan het ook fout gaan als je met een code inlogt?
16-10-2023, 13:35 door
Anoniem
En ze beweren dat die bank app heel veilig is, hoe kunnen ze dat nu nog verkopen.
16-10-2023, 13:36 door
Power2All
Klinkt als een caching probleem.
Of de koppeling intern met een login ID werd verkeerd behandeld, of zo.
Naja, zullen ze nooit prijs geven wat precies de oorzaak was.
Of de koppeling intern met een login ID werd verkeerd behandeld, of zo.
Naja, zullen ze nooit prijs geven wat precies de oorzaak was.
16-10-2023, 14:00 door
Anoniem
Want digitaal is zooooooooooooooooooo veilig!
16-10-2023, 14:36 door
Anoniem
Daarom moet je ook geen telefoon gebruiken om je bankzaken mee te doen. Alle extra techniek die je inzet voegt kwetsbaarheden toe. Gewoon Internetbankieren via de browser en betalen met je pas. Is voor de luie donders onder ons een extra belasting van hun tere zieltje maar wel een stuk veiliger. Ik zie mensen bij kassa's altijd kloten om te betalen met hun telefoon of een not so smartwatch terwijl je met je pas binnen een paar seconden klaar bent. Vind het nog asociaal en arrogant ook om een hele rij mensen te laten wachten omdat jij niet in staat bent om je telefoon te gebruiken of zo een achterlijke smarwatch. Het liefst betaal ik contant maar soms heb je net niet voldoende cash bij je en moet je of een flappentapper zoeken of pinnen.
16-10-2023, 14:47 door
Anoniem
Door Anoniem: Ik neem aan dat de Face ID plaatsvindt in de smartphone zelf, en niet in het datacenter van ING? In de TPM dus, en niet dat je gezicht het internet over gaat elke keer dat je inlogt?
Precies. Dit hele artikel triggert natuurlijk "zie je wel dat gezichtsherkenning niet betrouwbaar is, ik kan zomaar de rekening van iemand te zien krijgen die toevallig op mij lijkt!" maar dat is HELEMAAL NIET wat er hier aan de hand is.De gezichtsherkenning is alleen om de app op je telefoon toegang te geven tot de rekening die daar al in geconfigureerd is, en dat dit nu fout gegaan is heeft niets te maken met fouten in de gezichtsherkenning, het kan net zo goed fout gaan met een pincode.
16-10-2023, 14:47 door
Anoniem
Door Anoniem: Ik neem aan dat de Face ID plaatsvindt in de smartphone zelf, en niet in het datacenter van ING? In de TPM dus, en niet dat je gezicht het internet over gaat elke keer dat je inlogt?
Bij Microsoft en Google gaan je vingerafdrukken en gezichtsscans ook niet het internet over. Dat zou een privacy issue zijn. Je vingerafdruk zou dan bijvoorbeeld afgevangen kunnen worden en ergens anders (bij een andere dienst) gebruikt kunnen worden.
Dat is hoe ik het snap, ik heb geen smartphone.
Bij Microsoft en Google gaan je vingerafdrukken en gezichtsscans ook niet het internet over. Dat zou een privacy issue zijn. Je vingerafdruk zou dan bijvoorbeeld afgevangen kunnen worden en ergens anders (bij een andere dienst) gebruikt kunnen worden.
Dat is hoe ik het snap, ik heb geen smartphone.
Dat klopt.
13:36 speculeert in dezelfde richting als ik.
Waarschijnlijk was de app nog open (maar suspended), en is de 'refresh' sessie van die app vanwege 'systeem fout' gekoppeld aan een sessie van iemand anders. Die of ook bezig was, of bezig geweest was maar als 'state' nog bestond .
16-10-2023, 14:51 door
Anoniem
Door Anoniem: Ze moeten echt uitleggen hoe dit mogelijk was en hoe dit is opgelost anders voorzie ik een forse uittocht want dit is ongehoord.
Als men dit weigert kunnen we gevoeglijk aannemen dat er nog meer ernstige systeemfouten in zitten.
Als men dit weigert kunnen we gevoeglijk aannemen dat er nog meer ernstige systeemfouten in zitten.
Tip : prima moment om je voorspellend vermogen te ijken .
Ik verwacht :
1) GEEN diepe uitleg, alleen melding 'probleem is opgelost'
2) Totaal geen merkbare uittocht .
Laten we maar kijken wiens voorspelling uitkomt.
Probeer dat vaker te doen, voor je zelf - dan leer je een beetje hoe goed dingen die jij 'voorziet' in de praktijk uitpakken - en dus hoe goed je op je inschatting kunt vertrouwen.
16-10-2023, 14:52 door
Anoniem
Door Anoniem: Daarom moet je ook geen telefoon gebruiken om je bankzaken mee te doen. Alle extra techniek die je inzet voegt kwetsbaarheden toe. Gewoon Internetbankieren via de browser en betalen met je pas. Is voor de luie donders onder ons een extra belasting van hun tere zieltje maar wel een stuk veiliger. Ik zie mensen bij kassa's altijd kloten om te betalen met hun telefoon of een not so smartwatch terwijl je met je pas binnen een paar seconden klaar bent. Vind het nog asociaal en arrogant ook om een hele rij mensen te laten wachten omdat jij niet in staat bent om je telefoon te gebruiken of zo een achterlijke smarwatch. Het liefst betaal ik contant maar soms heb je net niet voldoende cash bij je en moet je of een flappentapper zoeken of pinnen.
Wat een onzin. Totaal niet relevant. Deze glitch kan zich ook voordoen via het webprotaal. Ergens is een intern ID verkeerd gekoppeld. Allen het gebruik van papierenafschriften en overschijfkaarten kan dit voorkomen, maar die hebben weer andere problemen.
16-10-2023, 14:59 door
Anoniem
Door Anoniem: Want digitaal is zooooooooooooooooooo veilig!
Ik krijg zo af en toe een papieren brief voor de achterburen in de bus, idioot.
Een stuk vaker dan dat het digitaal misgaat.
16-10-2023, 15:04 door
Anoniem
Mooi om te lezen dat mensen geen idee hebben hoe bancaire systemen werken. Nee het is niet 100% perfect geregeld, nee data-integriteit is een groot probleem (ook vanwege de aanwezige legacy) bij de meeste grote financiële instellingen, ja er worden wel eens verkeerde koppelingen gemaakt in systemen, ook doordat beheerders niet zelden wijzigrechten in prod hebben en wijzigingen doorvoeren vanwege batches die kapot lopen etc.
Dit soort incidenten gebeurt vaker. Zelf meegemaakt, alleen ging het over het inzien van te downloaden documenten. Laten we vooral niet doet alsof bij de financiële organisaties de beste mensen werken die nooit fouten maken. Pijnlijk incident en ieder incident is er een teveel, maar hoeveel klanten heeft ING? Een snelle Google search geeft een aantal van een kleine 9 miljoen. En dan komt dit incident naar voren? Niet schokkend, vervelend, en weer door.
Dit soort incidenten gebeurt vaker. Zelf meegemaakt, alleen ging het over het inzien van te downloaden documenten. Laten we vooral niet doet alsof bij de financiële organisaties de beste mensen werken die nooit fouten maken. Pijnlijk incident en ieder incident is er een teveel, maar hoeveel klanten heeft ING? Een snelle Google search geeft een aantal van een kleine 9 miljoen. En dan komt dit incident naar voren? Niet schokkend, vervelend, en weer door.
16-10-2023, 15:11 door
Anoniem
Grove fout, geef mij de bankkantoren maar weer terug.
16-10-2023, 15:14 door
Anoniem
Door Anoniem:
Ik krijg zo af en toe een papieren brief voor de achterburen in de bus, idioot.
Een stuk vaker dan dat het digitaal misgaat.
Ik krijg zo af en toe een papieren brief voor de achterburen in de bus, idioot.
Een stuk vaker dan dat het digitaal misgaat.
Inderdaad! Van de week stond er nog een buur bij me voor de deur met een envelop van de huisarts die bij hen in de bus gegooid was terwijl die voor mij bedoeld was.
Die envelop was niet open gemaakt maar dat kan ook zomaar gebeuren, mensen maken vaak de post open en zien dan pas dat die niet voor hen is.
Nou maak ik me niet zo druk als sommige mensen hier (het was een oproep voor de griepprik) maar dit komt dus gewoon voor ondanks dat het een brief via de post is. Met een e-mail was dit niet fout gegaan.
16-10-2023, 15:14 door
Anoniem
Door Anoniem:
Ik krijg zo af en toe een papieren brief voor de achterburen in de bus, idioot.
Een stuk vaker dan dat het digitaal misgaat.
Maar in die brief staan niet hun volledige bankgegevens, en ook geen optie om geld op te nemen. Wel dat ze (bijna) vijf miljoen gewonnen hebben bij de Postcodeloterij. Ze moeten alleen nog even een lot kopen.Door Anoniem: Want digitaal is zooooooooooooooooooo veilig!
Ik krijg zo af en toe een papieren brief voor de achterburen in de bus, idioot.
Een stuk vaker dan dat het digitaal misgaat.
16-10-2023, 15:16 door
Anoniem
Door Anoniem:
Ik krijg zo af en toe een papieren brief voor de achterburen in de bus, idioot.
Een stuk vaker dan dat het digitaal misgaat.
Ik heb wel een tijdje post van mij met rekening van iemand anders ontvangen, op papier, want begin jaren 90 kon je nog helemaal niets met een mobiele telefoon. Het is van alle tijden dat er iets fout gaat.Door Anoniem: Want digitaal is zooooooooooooooooooo veilig!
Ik krijg zo af en toe een papieren brief voor de achterburen in de bus, idioot.
Een stuk vaker dan dat het digitaal misgaat.
16-10-2023, 15:21 door
Anoniem
Door Anoniem:
De gezichtsherkenning is alleen om de app op je telefoon toegang te geven tot de rekening die daar al in geconfigureerd is, en dat dit nu fout gegaan is heeft niets te maken met fouten in de gezichtsherkenning, het kan net zo goed fout gaan met een pincode.
Door Anoniem: Ik neem aan dat de Face ID plaatsvindt in de smartphone zelf, en niet in het datacenter van ING? In de TPM dus, en niet dat je gezicht het internet over gaat elke keer dat je inlogt?
Precies. Dit hele artikel triggert natuurlijk "zie je wel dat gezichtsherkenning niet betrouwbaar is, ik kan zomaar de rekening van iemand te zien krijgen die toevallig op mij lijkt!" maar dat is HELEMAAL NIET wat er hier aan de hand is.De gezichtsherkenning is alleen om de app op je telefoon toegang te geven tot de rekening die daar al in geconfigureerd is, en dat dit nu fout gegaan is heeft niets te maken met fouten in de gezichtsherkenning, het kan net zo goed fout gaan met een pincode.
Technisch kan het wel zo zijn dat er een verkeerde link wordt gelegd, met name als er sprake is van een race condition, die kan plaatsvinden doordat threads en geheugen op een server niet afdoende beschermd zijn en de pointer naar een ander stuk geheugen wijst dan de bedoeling is. Maar ik zie daar hier geen enkel bewijs voor.
ING toont hier wel aan dat ze een duimzuigende PR fabriek hebben. Niks van wat ze zeggen is betrouwbaar.
16-10-2023, 16:07 door
Anoniem
Op Tweakers.net (waar de reacties meestal iets genuanceerder zijn) gaat het gerucht dat de rekening(en) waar deze klant in kon kijken die van zijn kinderen waren. Dat zou het verhaal iets plausibeler maken, want ouders hebben meestal ooit toegang gehad tot de rekening van hun kinderen, terwijl een willekeurige koppeling met een random andere klant niet erg voor de hand liggend lijkt...
We gaan het zien.
We gaan het zien.
16-10-2023, 17:01 door
Anoniem
Door Anoniem: Op Tweakers.net (waar de reacties meestal iets genuanceerder zijn) gaat het gerucht dat de rekening(en) waar deze klant in kon kijken die van zijn kinderen waren. Dat zou het verhaal iets plausibeler maken, want ouders hebben meestal ooit toegang gehad tot de rekening van hun kinderen, terwijl een willekeurige koppeling met een random andere klant niet erg voor de hand liggend lijkt...
We gaan het zien.
We gaan het zien.
Hi - hier de daadwerkelijke ING klant die de rekening van een volslagen onbekende kon inzien afgelopen donderdag ochtend - en nee, ik zag niet de rekening van mijn kinderen. Maar zijn rekening, en/of rekening en de spaar rekening van ZIJN kinderen. Oh ja - de volledige hypotheel gegevens van hem waren ook te zien. Op tweakers heb ik op verschillende vragen gereageerd.
16-10-2023, 17:28 door
Anoniem
Door Anoniem: Technisch kan het wel zo zijn dat er een verkeerde link wordt gelegd, met name als er sprake is van een race condition, die kan plaatsvinden doordat threads en geheugen op een server niet afdoende beschermd zijn en de pointer naar een ander stuk geheugen wijst dan de bedoeling is. Maar ik zie daar hier geen enkel bewijs voor.
Ik verwacht ook helemaal niet van ING dat ze het grote publiek van bewijzen gaan voorzien voor wat er gebeurd is. ING toont hier wel aan dat ze een duimzuigende PR fabriek hebben. Niks van wat ze zeggen is betrouwbaar.
Ik heb me zeker wel eens groen en geel geërgerd aan hoe ING sommige dingen presenteerde, maar niet deze keer. Dat informatie summier is maakt hem nog niet onbetrouwbaar. Het kan gewoon waar zijn dat er een storing was en dat die is opgelost.Jij en ik weten wat een race condition is. Ik snap wat je daar schrijft. Maar kan jij in net zo weinig woorden uitleggen wat er aan de hand is aan een groot publiek? Veruit de meeste mensen hebben echt geen begin van een flauw benul van hoe computers en computerprogramma's eigenlijk werken. Dat moet je overbrengen, en ook nog dat processen parallel kunnen lopen en wat er dan met gedeelde data mis kan gaan, en dan moet je dat ook nog eens in de context van een webserver met gebruikerssessies plaatsen. Je kan het in een paar woorden aan mensen uitleggen die de hele technische achtergrond goed onder de knie hebben, niet aan mensen die er nog helemaal niets van weten en waarvan velen ook nog eens geen talent voor technische dingen hebben. Het enige wat je gaat produceren is totaal onbegrijpelijke abracadabra voor verreweg de meeste mensen. Inclusief de meeste PR-mensen die hem weer aan anderen zouden moeten overbrengen, trouwens.
Dan is de mededeling dat er een storing in de systemen was en dat die is opgelost veel beter. Dat kan namelijk iedereen snappen en goed doorvertellen.
16-10-2023, 17:29 door
Anoniem
"Dat beperkt zich overigens niet tot banken maar het kan bijvoorbeeld ook bij een pensioenverzekeraar gebeuren", aldus een woordvoerder"
Hiermee zegt ING dat het gebruik van DigiD dus ook onveilig is. Privacy-onvriendelijk was het sowieso al.
Hiermee zegt ING dat het gebruik van DigiD dus ook onveilig is. Privacy-onvriendelijk was het sowieso al.
16-10-2023, 17:31 door
Anoniem
Door Anoniem: Op Tweakers.net (waar de reacties meestal iets genuanceerder zijn) gaat het gerucht dat de rekening(en) waar deze klant in kon kijken die van zijn kinderen waren. Dat zou het verhaal iets plausibeler maken, want ouders hebben meestal ooit toegang gehad tot de rekening van hun kinderen, terwijl een willekeurige koppeling met een random andere klant niet erg voor de hand liggend lijkt...
We gaan het zien.
Tweakers is DPG Media; die staan niet echt bekend om het uitgeven van journalistieke hoogstandjes.We gaan het zien.
16-10-2023, 17:47 door
Anoniem
is al vaker gebeurt, iets vergelijkbaars
https://tweakers.net/nieuws/187014/ing-maakt-creditcardoverzicht-in-de-app-weer-beschikbaar-na-kleinschalig-datalek.html
https://tweakers.net/nieuws/187014/ing-maakt-creditcardoverzicht-in-de-app-weer-beschikbaar-na-kleinschalig-datalek.html
16-10-2023, 18:26 door
Briolet
Door Anoniem: Ik neem aan dat de Face ID plaatsvindt in de smartphone zelf, en niet in het datacenter van ING? In de TPM dus, en niet dat je gezicht het internet over gaat elke keer dat je inlogt?
Dit probleem zal los staan van de Face ID. Ik denk zelfs dat de bankapp de validatie niet zelf doet. Ik heb geen face ID, maar bij vingerafdruk controle vraagt de bank app aan het OS of die de vingerafdruk wil controleren. Die meld vervolgens aan de bankapp terug dat de controle geslaagd is. Face ID zal net zo werken.
Het probleem zal dus bij elke inlogmethode gebeuren. Er zit gewoon een algemene bug in hun systeem die de ID van de inloggende telefoon/gebruiker aan een verkeerd account koppelt.
16-10-2023, 18:49 door
Anoniem
Door Power2All: Klinkt als een caching probleem.
Of de koppeling intern met een login ID werd verkeerd behandeld, of zo.
Naja, zullen ze nooit prijs geven wat precies de oorzaak was.
Of de koppeling intern met een login ID werd verkeerd behandeld, of zo.
Naja, zullen ze nooit prijs geven wat precies de oorzaak was.
Moest ik ook aan denken. Al zal caching op niet statische content wel uit staan.zijn vaak hardnekkige problemen die lastig te reproduceren zijn. Deze case haalt t nieuws, staat hoogstwaarschijnlijk niet alleen. Gelukkig vragen gevoelige transacties een tweede authenticatiestap. En de kans dat het twee keer op dezelfde wijze fout gaat is hier (gok ik) klein.
16-10-2023, 19:31 door
Anoniem
Niet één, maar vijf ING-klanten konden bankgegevens van een vreemde inzien
https://nos.nl/artikel/2494313-niet-een-maar-vijf-ing-klanten-konden-bankgegevens-van-een-vreemde-inzien
https://nos.nl/artikel/2494313-niet-een-maar-vijf-ing-klanten-konden-bankgegevens-van-een-vreemde-inzien
16-10-2023, 21:36 door
Anoniem
Face ID zou ook kunnen zijn... Beste OS, hoe herken je deze Face ID? OS: ik zie die Face ID als XYZ. Bank: oh, die ken ik, alsjeblieft, hierbij de gegevens van XYZ. Mens: maar ik ben niet XYZ, in ben ABC.
Toegegeven, de kans dat je een Face ID uit je OS krijgt die matched met iemand anders is klein (groter naarmate er meer Face ID's komen), maar je zal maar een puist op je neus heus, slecht geschoren, geen make-up, helemaal brak zijn, wat dan ook, en een match krijgen?
Waarom enkel Face ID? MFA/2FA iemand? Toegegeven, het betreft slechts mutatie toegang tot al je bankgegevens en tot aan financiële transacties van je hele hebben aan toe, maar dat staat toch niet in verhouding met je ID moeten tonen om een pakketje van EUR 10 van een of andere bezorgdienst op te halen? *kuch*
Toegegeven, de kans dat je een Face ID uit je OS krijgt die matched met iemand anders is klein (groter naarmate er meer Face ID's komen), maar je zal maar een puist op je neus heus, slecht geschoren, geen make-up, helemaal brak zijn, wat dan ook, en een match krijgen?
Waarom enkel Face ID? MFA/2FA iemand? Toegegeven, het betreft slechts mutatie toegang tot al je bankgegevens en tot aan financiële transacties van je hele hebben aan toe, maar dat staat toch niet in verhouding met je ID moeten tonen om een pakketje van EUR 10 van een of andere bezorgdienst op te halen? *kuch*
16-10-2023, 22:07 door
Anoniem
Door Briolet: Dit probleem zal los staan van de Face ID. Ik denk zelfs dat de bankapp de validatie niet zelf doet. Ik heb geen face ID, maar bij vingerafdruk controle vraagt de bank app aan het OS of die de vingerafdruk wil controleren. Die meld vervolgens aan de bankapp terug dat de controle geslaagd is. Face ID zal net zo werken.
Klopt, het is precies dezelfde API die de app gebruikt. Die kan een "policy" meegeven die aangeeft wat gebruikt moet worden, waarbij biometrie de sterkste variant is, maar de app kan geen onderscheid maken tussen verschillende soorten biometrie. De API geeft simpelweg terug of de authenticatie wel of niet geslaagd is, met bij mislukking een foutmelding.https://developer.apple.com/documentation/localauthentication/logging_a_user_into_your_app_with_face_id_or_touch_id/
16-10-2023, 22:31 door
Anoniem
Ik werk altijd met een scanner (fysiek apparaatje van de bank) via de website van de bank, werkt prima, betalen in fysieke winkels doe ik met mijn pinpas en contanten, betalen op webwinkels doe ik eveneens met de scanner+website.
Opzich is dat best privé, totdat ze dat soort dingen gaan uitfaseren.
Vrijwel alle bankapps bevatten Google firebase analytics, dus daar begin ik liever niet aan.
Helaas zullen de websites ook wel Google trackers e.d. hebben vrees ik, maar ik moet toch mijn bankzaken kunnen doen, dit is dan de "minst erge" manier, lol.
Dat met die systeemfout is wel raar, dat hoort niet te gebeuren, het diet me denken aan die cloud-synchronisatie glitch van de Swift-keyboard app van Microsoft, ook daar ontdekten mensen de typsels van anderen (waaronder E-Mail adressen) via de bibliotheek van het toetsenbord, wat blijkbaar online werdt opgeslagen en waarschijnlijk de metadata verkocht, heel vreemd.
Opzich is dat best privé, totdat ze dat soort dingen gaan uitfaseren.
Vrijwel alle bankapps bevatten Google firebase analytics, dus daar begin ik liever niet aan.
Helaas zullen de websites ook wel Google trackers e.d. hebben vrees ik, maar ik moet toch mijn bankzaken kunnen doen, dit is dan de "minst erge" manier, lol.
Dat met die systeemfout is wel raar, dat hoort niet te gebeuren, het diet me denken aan die cloud-synchronisatie glitch van de Swift-keyboard app van Microsoft, ook daar ontdekten mensen de typsels van anderen (waaronder E-Mail adressen) via de bibliotheek van het toetsenbord, wat blijkbaar online werdt opgeslagen en waarschijnlijk de metadata verkocht, heel vreemd.
16-10-2023, 22:40 door
Anoniem
Door Anoniem: Face ID zou ook kunnen zijn... Beste OS, hoe herken je deze Face ID? OS: ik zie die Face ID als XYZ. Bank: oh, die ken ik, alsjeblieft, hierbij de gegevens van XYZ. Mens: maar ik ben niet XYZ, in ben ABC.
Nee, zo gaat het niet. De app zegt tegen het OS: gebruik biometrie om te kijken of het de eigenaar van de smartphone is die me nu gebruikt. Het OS antwoordt met een simpel ja of nee, niet met iets waaraan meerdere personen herkend kunnen worden. Waarom enkel Face ID? MFA/2FA iemand?
Maar er zijn twee factoren: iets dat je hebt (de smartphone) en iets dat je bent (je gezicht). De combinatie geeft toegang tot je bankgegevens. Je krijgt geen toegang met een willekeurige smartphone van iemand anders en het gezicht van een willekeurige andere persoon op jouw smartphone geeft ook geen toegang. Het is 2FA.
16-10-2023, 22:41 door
Anoniem
Door Anoniem: Hi - hier de daadwerkelijke ING klant die de rekening van een volslagen onbekende kon inzien afgelopen donderdag ochtend - en nee, ik zag niet de rekening van mijn kinderen. Maar zijn rekening, en/of rekening en de spaar rekening van ZIJN kinderen. Oh ja - de volledige hypotheel gegevens van hem waren ook te zien. Op tweakers heb ik op verschillende vragen gereageerd.
Leuk dat je je even meldt en uitleg geeft. Dank!
16-10-2023, 23:14 door
Anoniem
Door Anoniem: "Dat beperkt zich overigens niet tot banken maar het kan bijvoorbeeld ook bij een pensioenverzekeraar gebeuren", aldus een woordvoerder"
Hiermee zegt ING dat het gebruik van DigiD dus ook onveilig is. Privacy-onvriendelijk was het sowieso al.
Zegt niks over de veiligheid van DigiD maar alles over de administratieve puinhoop van de pensioenverzekeraar.Hiermee zegt ING dat het gebruik van DigiD dus ook onveilig is. Privacy-onvriendelijk was het sowieso al.
16-10-2023, 23:22 door
Anoniem
AVG is ook al jaren niet op orde bij de bank...
16-10-2023, 23:54 door
Anoniem
Gelukkig hebben we de banken die ons allemaal veilig houden zodat we niet allemaal dat gevaarlijke decentrale crypto spul gaan gebruiken. Stel je voor dat zo'n systeemfout optreed in Bitcoin, dan zijn de rapen gaar. /s
16-10-2023, 23:56 door
Anoniem
Beleg je dan staat op het portefeuille overzicht voor je naam HOUDERS gevolgd door je naam
Wanneer wordt deze taalfout
Wanneer wordt deze taalfout
17-10-2023, 03:11 door
Anoniem
Misschien had de persoon in kwestie gewoon een heel generiek gezicht?
Een soort grey man, die overal naar binnen komt :)
Wel aardig dat hij aan de bel trekt. Ik wist het we'll..
Een soort grey man, die overal naar binnen komt :)
Wel aardig dat hij aan de bel trekt. Ik wist het we'll..
17-10-2023, 06:09 door
Anoniem
Door Anoniem: Ze moeten echt uitleggen hoe dit mogelijk was en hoe dit is opgelost anders voorzie ik een forse uittocht want dit is ongehoord.
Als men dit weigert kunnen we gevoeglijk aannemen dat er nog meer ernstige systeemfouten in zitten.
Als men dit weigert kunnen we gevoeglijk aannemen dat er nog meer ernstige systeemfouten in zitten.
En als ze er 5 toegeven, net als met muizen, zijn het er 500.
17-10-2023, 07:35 door
Anoniem
Jij en ik weten wat een race condition is. Ik snap wat je daar schrijft.
En dan nog een heel verhaal... wat allemaal hout snijdt.Feit blijft dat het gewoon niet voor mag komen. Punt.
17-10-2023, 09:07 door
Anoniem
Door Anoniem: Ze moeten echt uitleggen hoe dit mogelijk was en hoe dit is opgelost anders voorzie ik een forse uittocht want dit is ongehoord.
Als men dit weigert kunnen we gevoeglijk aannemen dat er nog meer ernstige systeemfouten in zitten.
De toezichthouder eist dit letterlijk van financiële instellingen. Ze moeten aantoonbaar een RCA uitvoeren en daarbij ook de oplossing benoemen om herhaling te voorkomen.Als men dit weigert kunnen we gevoeglijk aannemen dat er nog meer ernstige systeemfouten in zitten.
17-10-2023, 09:21 door
Anoniem
Tijd voor de ING om hun software eens goed onder de loep te nemen,
in plaats van de klant bij het internet bankieren voortdurend lastig te vallen
met irrelevante berichten dan wel reclame voor hun eigen producten.
in plaats van de klant bij het internet bankieren voortdurend lastig te vallen
met irrelevante berichten dan wel reclame voor hun eigen producten.
17-10-2023, 09:37 door
Anoniem
Door Anoniem: Face ID zou ook kunnen zijn... Beste OS, hoe herken je deze Face ID? OS: ik zie die Face ID als XYZ. Bank: oh, die ken ik, alsjeblieft, hierbij de gegevens van XYZ. Mens: maar ik ben niet XYZ, in ben ABC.
Nee dat kan niet, omdat Face ID zo niet werkt. Net zo de min de vingerafdruk scanner van de telefoon, en niet zo min de pincode (of patroon-veeg) van een telefoon .
17-10-2023, 09:48 door
Bitje-scheef
Door Anoniem: Want digitaal is zooooooooooooooooooo veilig!
Jaaa...... Dit is als vervoer van alles de schuldgeven van de fietsongelukken.
17-10-2023, 12:59 door
Anoniem
Dus gaat ING dit oplossen en vervolgens weer de tarieven verhogen vanwege de kosten van digitale dienstverlening. Toch fijn dat je de clienten kunt laten betalen voor de problemen die je zelf hebt veroorzaakt.
17-10-2023, 13:11 door
Anoniem
Door Bitje-scheef:
Jaaa...... Dit is als vervoer van alles de schuldgeven van de fietsongelukken.
Door Anoniem: Want digitaal is zooooooooooooooooooo veilig!
Jaaa...... Dit is als vervoer van alles de schuldgeven van de fietsongelukken.
Er bestaan ook niet-digitale betalingsmethodes. Maar daar willen ze van af. Dat is als autovervoer afschaffen omdat iedereen van hun met de helikopter moet omdat dat "sneller, makkelijker en goedkoper" is.
17-10-2023, 14:19 door
linuxpro
Ik heb niets met de ING maar als er 5 van deze gevallen zijn op alle miljoenen keren inloggen op een dag.. dat valt t nogal mee..
17-10-2023, 17:33 door
gbrugman
Absoluut onacceptabel dat iemand anders toegang krijgt tot mijn rekening. Er is een MFA voor je account bij de bank, dat kan niet mis gaan ook niet na miljoenen keren. ING moet de systeemfout aantonen en ons verzekeren dat dit nooit meer gebeurt.
17-10-2023, 22:14 door
Anoniem
Door Anoniem: Mooi om te lezen dat mensen geen idee hebben hoe bancaire systemen werken. Nee het is niet 100% perfect geregeld, nee data-integriteit is een groot probleem (ook vanwege de aanwezige legacy) bij de meeste grote financiële instellingen, ja er worden wel eens verkeerde koppelingen gemaakt in systemen, ook doordat beheerders niet zelden wijzigrechten in prod hebben en wijzigingen doorvoeren vanwege batches die kapot lopen etc.
Dit soort incidenten gebeurt vaker. Zelf meegemaakt, alleen ging het over het inzien van te downloaden documenten. Laten we vooral niet doet alsof bij de financiële organisaties de beste mensen werken die nooit fouten maken. Pijnlijk incident en ieder incident is er een teveel, maar hoeveel klanten heeft ING? Een snelle Google search geeft een aantal van een kleine 9 miljoen. En dan komt dit incident naar voren? Niet schokkend, vervelend, en weer door.
Dit soort incidenten gebeurt vaker. Zelf meegemaakt, alleen ging het over het inzien van te downloaden documenten. Laten we vooral niet doet alsof bij de financiële organisaties de beste mensen werken die nooit fouten maken. Pijnlijk incident en ieder incident is er een teveel, maar hoeveel klanten heeft ING? Een snelle Google search geeft een aantal van een kleine 9 miljoen. En dan komt dit incident naar voren? Niet schokkend, vervelend, en weer door.
probleem is niet meteen dat zoiets kan gebeuren bij hoge uitzondering, probleem is dat klant, bij malheur, de schade voor rekening gaat krijgen en bank niet thuis geeft en klant hier niet om gevraagd had toen ie 10j geleden een rekeing geopened had. oftwel op kosten en risico van klant je zakken vullen.
18-10-2023, 08:30 door
Anoniem
Door linuxpro: Ik heb niets met de ING maar als er 5 van deze gevallen zijn op alle miljoenen keren inloggen op een dag.. dat valt t nogal mee..
Ja tenzij jij de sigaar bent, dan valt het weer niet meeEigenlijk kan zoiets dus niet...want ze beweren zelf dat het bankieren met de appveilig is
18-10-2023, 08:42 door
Anoniem
Door linuxpro: Ik heb niets met de ING maar als er 5 van deze gevallen zijn op alle miljoenen keren inloggen op een dag.. dat valt t nogal mee..
Inderdaad ja en zeker niet als het jou overkomt, en die bank systemen hoeven helemaal niet waterdicht te zijn.
18-10-2023, 14:37 door
Briolet
Door Anoniem:
Eigenlijk kan zoiets dus niet...want ze beweren zelf dat het bankieren met de appveilig is
Door linuxpro: Ik heb niets met de ING maar als er 5 van deze gevallen zijn op alle miljoenen keren inloggen op een dag.. dat valt t nogal mee..
Ja tenzij jij de sigaar bent, dan valt het weer niet meeEigenlijk kan zoiets dus niet...want ze beweren zelf dat het bankieren met de appveilig is
Dit zal niets met de app te maken hebben, maar met hun interne authenticatie. Vroeger toen ik aan de balie mijn geld haalde, was er zelfs geen pasje nodig. In het ergste geval werd er even aan een collega gevraagd of ik het wel was.
Als ik bij een ander bankfiliaal geld haalde moest ik wel mijn pasje en paspoort laten zien. Dat was zeker ook niet waterdicht, want echt goed werd er niet naar zo'n (mogelijk vervalst) paspoort gekeken. Dus een 100,00% veiligheid was nooit het streven van banken. Het uitsluiten van het laatste risico jaagt juist mensen weg. Zie sommige reacties op het blokkeren van rekeningen na verdachte handelingen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.