Privacy - Wat niemand over je mag weten

Banken en privacy

08-09-2014, 15:22 door Anoniem, 9 reacties
Blijkbaar nemen banken het niet zo nauw met security / privacy.
Laatst kwam ik op een bankkantoor om iets te laten wijzigen. Om het een en ander uit leggen, draaide de medewerkster haar scherm om.
Bij ons heeft het kantoor een lange, rechte balie (heeft iets weg van de bar in een kroeg), waar klanten overheen kunnen leunen of op de krukjes plaats kunnen nemen. Je raadt het al: andere klanten kunnen duidelijk meekijken / meeluisteren met jou.
Privacy is dus ver te zoeken. Anderen hoeven helemaal niet te weten wat ik op mijn rekening heb staan!

Maar wat nog veel grotere zorgen baart: die medewerkster kon blijkbaar zonder enige authenticatie bij mijn rekeningen komen en transacties uitvoeren... Niet te geloven! Misschien dat ze vooraf haar eigen wachtwoord gebruikte, maar aangezien ze ook bij een tweede rekening iets moest wijzigen, merkte ik op, dat er te weinig toetsaanslagen waren voor een mogelijke authenticatie (om bij die tweede rekening te komen). Die twee rekeningen zijn overigens onafhankelijk van elkaar.
Dus als dat bankkantoor een keer "gehijackt" wordt, kunnen overvallers alle rekeningen leegplunderen zolang de medewerkster is ingelogd op het systeem...
Krankzinnig toch?
Reacties (9)
08-09-2014, 17:26 door [Account Verwijderd]
Bij de bank waar ik werkte kon je met single signon overal bij waar je voor geauthenticeerd was.

Gebruikersgemak naar het baliepersoneel is óók belangrijk.

Zodra personeel wegloopt trekken ze de token uit het toetsenbord en het scherm gaat op zwart.

Als ik op mijn huidige werk gehijacked wordt kunnen ze óók overal bij, dus wat is je punt precies ?

En rekeningen leegplunderen is moeilijk; de transacties komen in een queue die door een 2e medewerker geaccordeerd moet worden. Maar ja, "als de bank gehijacked is" kan álles, niet ?
08-09-2014, 17:31 door Anoniem
Maar wat nog veel grotere zorgen baart: die medewerkster kon blijkbaar zonder enige authenticatie bij mijn rekeningen komen en transacties uitvoeren..
Iedereen kan geld van jouw rekening plukken, als ze maar een KvK inschrijving hebben. De groene kaart is alleen bij problemen achteraf. Nee, jouw rekening is niet van jou. :)
08-09-2014, 19:00 door [Account Verwijderd] - Bijgewerkt: 09-09-2014, 08:10
Door Anoniem 08-09-2014 15:22:
Bij ons heeft het kantoor een lange, rechte balie (heeft iets weg van de bar in een kroeg), waar klanten overheen kunnen leunen of op de krukjes plaats kunnen nemen. Je raadt het al: andere klanten kunnen duidelijk meekijken / meeluisteren met jou.
Privacy is dus ver te zoeken. Anderen hoeven helemaal niet te weten wat ik op mijn rekening heb staan!

Aparte kantoren zouden misschien beter zijn in plaats van een lange rechte balie waar iedereen zou kunnen mee luisteren en kijken.
08-09-2014, 19:15 door Anoniem
Door Anoniem: Blijkbaar nemen banken het niet zo nauw met security / privacy.
Ze verkopen de waan, maar die is ondertussen flinterdun geworden. Deels ook omdat dat moet van de wet. De echte schade aan je privacy ligt dan ook niet bij de bankmedewerkster. Die ligt in de makkelijk opvraagbare archieven van al jouw financieele doen en laten. Voorzover verschillende (buitenlandse) overheidsdatabanken die niet al lang te pakken hebben. En hoe meer je pint en electronisch bankiert, hoe gedetailleerder die archieven worden.

Privacy is dus ver te zoeken. Anderen hoeven helemaal niet te weten wat ik op mijn rekening heb staan!
Je hebt gewoon niet genoeg geld om een priveconsult te krijgen. Jammer joh.

Maar wat nog veel grotere zorgen baart: die medewerkster kon blijkbaar zonder enige authenticatie bij mijn rekeningen komen en transacties uitvoeren...
Zoals al opgemerkt, wellicht SSO. Ook haar baas wil niet dat ze de hele dag wachtwoorden typt.

Toch kan het wel beter. Je zou wellicht een kaartlezer op de balie kunnen zetten en alleen toegang tot de rekening geven als zowel de medewerkster ingelogd is als dat die kaart in de lezer zit.

Maar het gros van de beveiliging lag altijd in de betrouwbaarheid van de medewerkers alsook de procedures eromheen, en de garantie dat als de bank iets verkeerd doet dat ze jou dan schadeloos stellen. Dat is er langzaamaan allemaal uit aan het gaan, wegens "te duur". Je kan het bijvoorbeeld zien in slinks afschuiven van verantwoordelijkheid richting klant, zoals dat je alle twee weken moet inloggen en transacties uitpluizen anders is fraude jouw eigen schuld en dus wordt je niet schadeloos gesteld.

Net als dat betrouwbare postbodes te duur zijn en er dus regelmatig postbodes wegens achterhouden van de post ontslagen worden. Voorlopig houden de banken het nog stil... maar hoe lang kunnen ze dat nog?
10-09-2014, 02:01 door Anoniem
Mijn punt is de laagdrempeligheid.
Ik snap ook wel dat een bankmedewerk(st)er zijn / haar werk moet kunnen uitvoeren, zonder te veel moeite. Maar ik werd een beetje zenuwachtig van de openbare ruimte.
Dat ze met een token werken, wist ik niet. En daarmee zou de helft van mijn vraag beantwoord zijn.
Ik moet er trouwens ook even bij vertellen dat dit pas mijn eerste bezoek was aan het bankkantoor op dit adres. Voorheen zat het in een veel groter pand en daar waren (soort van) loketten (met scheidingswanden ertussen), waardoor je veel meer privacy had. Bovendien konden klanten niet achter de balie komen. In het huidige kantoor staan klanten die geholpen worden op elkaars lip en kan men eenvoudig achter de balie komen. Ik heb daar geen goed gevoel bij.

Je hebt gewoon niet genoeg geld om een priveconsult te krijgen. Jammer joh.
Nee, maar een paar scheidingswanden ertussen doet al wonderen.

Iedereen kan geld van jouw rekening plukken, als ze maar een KvK inschrijving hebben. De groene kaart is alleen bij problemen achteraf. Nee, jouw rekening is niet van jou. :)
Tja, automatische incasso is ook zoiets.
Ik verbaas me nog altijd over het feit dat incasso's zonder goedkeuring van de rekeninghouder uitgevoerd kunnen worden. En een handtekening is allang niet meer van deze tijd. Net als betalingen zou er eigenlijk om een TAN-code gevraagd moeten worden (bij de allereerste incasso-opdracht die een bedrijf uitvoert).
Goed, je kunt (de meeste) incasso's wel terugboeken, maar dat is pas achteraf.
Dat kan wat security betreft toch veel beter?!
12-09-2014, 13:02 door Anoniem
OP heeft gelijk
12-09-2014, 14:15 door Anoniem
Door Anoniem: Iedereen kan geld van jouw rekening plukken, als ze maar een KvK inschrijving hebben. De groene kaart is alleen bij problemen achteraf. Nee, jouw rekening is niet van jou. :)

Niet enkel een KvK inschrijving, je moet een Nederlands bankrekening nummer (bedrijfsrekening) hebben. Deze krijg je enkel met een geldig ID bewijs e.d. Wanneer er meerdere klachten binnen komen annuleert de bank gewoon de overeenkomst, zo fraude gevoelig zijn de automatische incasso's niet.

Je kunt alle incasso's achteraf terugboeken als er sprake is van fraude. De incasso's die niet terug te boeken zijn (enkel zakelijke transacties) moeten schriftelijk zijn overeengekomen degene die incasseert moet dit binnen 7 dagen aan zijn bank kunnen overhandigen.

Met het IBAN systeem kun je tegenwoordig vooraf zien dat er een incasso aankomt en deze eventueel ook annuleren/rapporteren.
12-09-2014, 15:06 door Anoniem
Door Anoniem: Mijn punt is de laagdrempeligheid.
Ik snap ook wel dat een bankmedewerk(st)er zijn / haar werk moet kunnen uitvoeren, zonder te veel moeite. Maar ik werd een beetje zenuwachtig van de openbare ruimte.
Dat ze met een token werken, wist ik niet. En daarmee zou de helft van mijn vraag beantwoord zijn.
Ik moet er trouwens ook even bij vertellen dat dit pas mijn eerste bezoek was aan het bankkantoor op dit adres. Voorheen zat het in een veel groter pand en daar waren (soort van) loketten (met scheidingswanden ertussen), waardoor je veel meer privacy had. Bovendien konden klanten niet achter de balie komen. In het huidige kantoor staan klanten die geholpen worden op elkaars lip en kan men eenvoudig achter de balie komen. Ik heb daar geen goed gevoel bij.

Je hebt gewoon niet genoeg geld om een priveconsult te krijgen. Jammer joh.
Nee, maar een paar scheidingswanden ertussen doet al wonderen.

Iedereen kan geld van jouw rekening plukken, als ze maar een KvK inschrijving hebben. De groene kaart is alleen bij problemen achteraf. Nee, jouw rekening is niet van jou. :)
Tja, automatische incasso is ook zoiets.
Ik verbaas me nog altijd over het feit dat incasso's zonder goedkeuring van de rekeninghouder uitgevoerd kunnen worden. En een handtekening is allang niet meer van deze tijd. Net als betalingen zou er eigenlijk om een TAN-code gevraagd moeten worden (bij de allereerste incasso-opdracht die een bedrijf uitvoert).
Goed, je kunt (de meeste) incasso's wel terugboeken, maar dat is pas achteraf.
Dat kan wat security betreft toch veel beter?!
Tegenwoordig (Sinds SEPA is ingevoerd) duurt het wanneer een bedrijf een incasso aanvraagt minimaal 4 dagen tot deze doorgevoerd is. Ik krijg deze gewoon in mijn internet bankieren te zien en heb de mogelijkheid op "Weigeren" te klikken.
12-09-2014, 15:24 door Anoniem
Als er een soort organisatie is waar je zonder authenticatie niets kan doen, dan is het wel een bank. En in tegenstelling tot veel andere organisaties worden audit trails daar zeer goed bijgehouden, om mogelijke fraude door personeel te kunnen detecteren. Als een bankmedewerker op eigen houtje ongeoorloofd zaken gaat uitvoeren, dan staat deze binnen no time op straat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.