Nieuws

"ING hackt geen telefoons"

maandag 10 oktober 2011, 11:01 door Redactie, 17 reacties

De ING hackt geen telefoons, zo laat de bank op de eigen website weten naar aanleiding van berichten in de media. Gebruikers die een nieuwe simkaart in hun telefoon plaatsen krijgen vaak meteen bericht dat ze 48 uur geen transacties via internetbankieren kunnen doen, ook al is er geen contact met de bank geweest. Sommige gebruikers vroegen zich af hoe de bank hun simwissel detecteerde.

Mobiele aanbieders lieten in eerste instantie weten dat er geen informatie werd verstrekt en ook de bank wilde zich vanwege beveiligingsredenen hier niet over uit laten. Uiteindelijk liet een woordvoerder van de bank tegenover Geenstijl weten dat ING geen telefoons hackt, maar dat het om een samenwerkingsverband met telecomproviders gaat.

"De ING en de telecomproviders hebben besloten samen te werken om identiteitsfraude met simwissels te voorkomen", zo stelt de bank. De telecomproviders zouden aan ING alleen het 'kale' mobiele nummer en het moment van de simwissel verstrekken, zonder overige informatie. De juridische basis voor het verstrekken van de informatie is artikel 8 sub f van de Wet Bescherming Persoonsgegevens.

Fraude
Doordat de telecomproviders de de bank over simwissels informeren, kan de ING het voor deze klanten gedurende 48 uur onmogelijk maken om TAN-codes te ontvangen. "Op deze manier wordt mogelijk misbruik en schade als gevolg daarvan voorkomen."

Deze procedure is enkele maanden geleden in gang gezet op verzoek van de ING. De bank benadrukt dat het gebruik van de informatie uitsluitend voor het voorkomen van fraude wordt gebruikt en niet voor commerciële doeleinden.

InfoSecurity Special: Interview met IPv6-expert

Duitse overheid ontkent gebruik politie-spyware

Reacties (17)

10-10-2011, 11:06 door Anoniem

"De telecomproviders zouden aan ING alleen 'kale' mobiele nummer en het moment van de simwissel verstrekken, zonder overige informatie."

Hebben providers hiervoor dan geen toestemming nodig van de klant ? Of heeft de klant hier in de algemene voorwaarden toestemming voor gegeven ? Zonder uitdrukkelijke toestemming vind ik het doorgeven van dit soort informatie erg raar, zelfs al wordt dat gedaan tbv fraudebestrijding.

10-10-2011, 11:40 door [Account Verwijderd]

[Verwijderd]

10-10-2011, 11:45 door Anoniem

Leuk dat zij besluiten samen te werken. Met *mijn* gegevens. Fijn dat mij ook nog wat gevraagd wordt...
Dus zelfs als ik geen klant bij ING ben (opgestapt toen de Postbank ING werd), weten ze dat ik een andere SIM kaart krijg.

'En we gebruiken het niet voor commerciële doeleinden'. Ik denk dat de boodschap niet overgekomen is: ik wil niet dat de ING die informatie heeft. Of ze het gebruiken of niet is niet van belang!

10-10-2011, 12:23 door RichieB

De juridische basis voor het verstrekken van de informatie is artikel 8 sub f van de Wet Bescherming Persoonsgegevens.

Van wetten.overheid.nl:

Artikel 8

Persoonsgegevens mogen slechts worden verwerkt indien:

f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

10-10-2011, 12:40 door Preddie

wtf ?

het doel waarvoor de gegevens bij de ING geregistreerd zijn is niet verenigbaar met het doel waarvoor zij ze nu gebruikt en daarmee overtreed de ING de wet WBP.

Ze hadden on z'n minst schriftelijk toestemming moeten vragen aan de betrokken .....

Buiten het bovengenoemde, wordt er nog meer informatie verstuurd/uitgewisseld. Anders kun je namelijk niet detecteren dat de simkaart is gewisseld in een telefoon of dat de telefoon gewisseld is met de simkaart. Dit is volgens mij niet de eerste keer dat de ING door dit soort dingen in het nieuws komt ....

edit: volgens mij gaan beide partijen tegen de wet in, de telecomproviders mogen namelijk jou gegevens niet verstrekken aan de bank terwijl de bank ze niet mag gebruiken omdat de gegevens niet verenigbaar zijn met het doel waarvoor ze zijn verkregen, namelijk het versturen van een TAN-code (definitie van de ING moet hiervoor worden nagetrokken)

Dit lijkt me een zaak voor het CBP .....

10-10-2011, 12:56 door Anoniem

Wat een ophef. Dit soort informatie is gewoon vrij opvraagbaar via het Home Location Register. Via zo'n HLR aanbieder kun je voor ongeveer 1 cent per query het IMSI nummer opvragen op basis van een 06 nummer. Een voorbeeld van zo'n aanbieder is http://www.routomessaging.com/SMS-services/sms-hlrlookup.pmx

Grote kans dus dat ze gewoon dit gebruiken bij ING.

10-10-2011, 14:01 door Anoniem

Twee scenarios, waarbij ik van mening ben dat ING en de telecombedrijven grof over de schreef gaan met het delen van informatie:
1) ING krijgt van iedere simwissel een mededeling van een telecombedrijf met daarin het telnummer en bericht dat en wanneer een simwissel heeft plaatsgevonden voor dat nummer. - Het gaat niemand anders dan de eigenaar van het nummer en het telecombedrijf wat aan dat de eigenaar een simwissel heeft gedaan. ING hoort dat niet te ontvangen voor ieder die geen relatie met ze heeft.

2) ING geeft aan de telecombedrijven een lijst met telefoonnummers (of nog erger - lijst met personen) waarvan ze willen weten dat er een simwissel heeft plaatsgevonden. Telecombedrijf geeft melding indien ze dat detecteren. - Telecombedrijf hoort niet te weten wie/welke nummers bij ING bekend zijn danwel hoort die gegevens niet te accepteren.

Hoe nobel de opzet ook, dit kan niet door de beugel omdat ING het niets aan gaat bij welk nummer een simwissel heeft plaatsgevonden.

10-10-2011, 14:28 door Preddie

Door Anoniem: Wat een ophef. Dit soort informatie is gewoon vrij opvraagbaar via het Home Location Register. Via zo'n HLR aanbieder kun je voor ongeveer 1 cent per query het IMSI nummer opvragen op basis van een 06 nummer. Een voorbeeld van zo'n aanbieder is http://www.routomessaging.com/SMS-services/sms-hlrlookup.pmx

Grote kans dus dat ze gewoon dit gebruiken bij ING.

Als dat zo was hadden ze de telecomprovider niet nodig ;)

10-10-2011, 14:36 door spatieman

sarcastische opmerking:
ik heb een sim wissel gedaan, en opeens kan ik geen ing banking doen.
wel apart, ik ben niet een ing klant..

10-10-2011, 15:11 door RichieB

Als we allemaal dit formulier invullen zal het CBP er vast wel voor ons achteraan gaan: http://www.mijnprivacy.nl/SIGNAAL/Pages/Signaal_geven.aspx

10-10-2011, 15:12 door musiman

ING moet gewoon helemaal afstappen van dat TAN systeem. Met de huidige Android virussen etc. is het toch al een flink compromissed systeem. Nu zie ik deze maatregel gewoon als een lapmiddel voor een lek systeem.

Bestrijd de oorzaak, niet het gevolg...

10-10-2011, 15:33 door WhizzMan

Onmiddelijk stop laten zetten. Bij herhaling vergunningen van Telco's en ING intrekken zonder rechtszaak en dikke boete opleggen *per SIMwissel die verstrekt is*. Dit lijkt me een vrij duidelijke zaak en het moet maar eens afgelopen zijn met de zachte heelmeesters.

10-10-2011, 20:03 door Anoniem

Door musiman: ING moet gewoon helemaal afstappen van dat TAN systeem. Met de huidige Android virussen etc. is het toch al een flink compromissed systeem. Nu zie ik deze maatregel gewoon als een lapmiddel voor een lek systeem.

Bestrijd de oorzaak, niet het gevolg...

Misschien dat één van de wannabe security architecten hier eens een beter systeem moet beschrijven.
Graag iets wat ook praktisch bruikbaar is, geen excessieve kosten heeft en ook tante truus nog een behoorlijke kans op veiligheid geeft.

Het SMS model heeft een paar voordelen die de paslezer/token systemen niet zo duidelijk hebben.
(en als je niet snapt welke voordelen dat zijn, snap je niet welk probleem een ebank systeem moet oplossen).

10-10-2011, 21:50 door Anoniem

TAN is redelijk veilig, alleen de gebruikers vaak niet....

TT

18-10-2011, 09:36 door Leen_T

Zouden de telco providers niet al weten bij welke bank je bankiert (bijvoorbeeld doordat je maandelijks automatisch
betaalt en dus een machtiging hebt afgegeven)?

18-10-2011, 09:38 door Leen_T

Het antwoord is ja. Zelfs als je alleen maar geld overmaakt (zie ibannl.org).

29-11-2011, 11:00 door Anoniem

En wat doen we er aan?
Juist.. Invullen die hap...
https://www.cbpweb.nl/signaal/signaal_nieuw.htm

Ome Joop ût Tilburg..

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer