NRC: bunq-werknemers keken stiekem in rekeningen van klanten
Bunq-medewerkers keken stiekem in rekeningen van klanten, bijvoorbeeld om een date te controleren of te zien wat collega's verdienen, zo meldt NRC. Volgens de krant heeft de bank geen systeem waarbij werknemers actief worden gecontroleerd op privacyschendingen en weigeren sommige medewerkers uit angst te worden bekeken om een bunq-rekening te openen.
NRC sprake met verschillende huidige en voormalige medewerkers. Eén daarvan zegt sinds een maand bij de bank in dienst te zijn, maar heeft de in de sector verplichte bankierseed om 'integer en zorgvuldig' te werken nog niet afgelegd. Nieuwe werknemers zouden die pas maanden nadat ze in dienst zijn getreden afleggen. Waar andere banken principes als 'zero trust' en 'least privilege’ hanteren, en zo wordt beperkt tot welke gegevens men toegang heeft, geeft bunq medewerkers brede toegang tot bankrekeningen en transacties van klanten.
"De systemen van de bank bieden de mogelijkheid om te controleren wie wat bekijkt, maar daar komt in de praktijk weinig van terecht", aldus NRC. Intern zijn er zorgen over de vergaande toegang die medewerkers hebben. Sommige medewerkers willen dan ook geen bunq-rekening openen, bijvoorbeeld uit angst dat managers vervolgens kijken of ze wel echt ziek zijn.
Bunq stelt in een reactie dat het wil dat (vrijwel) alle medewerkers, van de ceo tot de bedrijfsjurist, klanten kunnen helpen met hun vragen, waarvoor toegang tot gebruikersgegevens nodig is. Daarnaast zegt de bank de bevoegde autoriteiten inmiddels te hebben ingelicht op basis van de bij de bank bekende informatie.
Dat kan in een klein MKB-bedrijfje prima, dat je iedereen overal toegang geeft, en de directie op Teams een klein afgeschermd hoekje heeft samen met HR.
Fijn ook dat mijn zonnepaneel-installateur in mijn App kan meekijken om te zien of paneel #3 nog wel goed werkt, en dat dat voor alle monteurs geldt, maar een hele bank met al haar medewerkers ongecontroleerd inzage geven in alle rekeningen?
wat een prutsers.
Dat het nog zo lang heeft kunnen doorgaan...
Hopelijk wordt er nu wat aan gedaan.
https://nos.nl/artikel/2526294-bunq-medewerkers-gluurden-in-rekeningen-van-klanten
Je komt ze overal tegen. In ziekenhuizen, bij banken, de GGD, de politie, de belastingdienst en ga zo maar door.
Onbetrouwbare, zwakke broeders.
Ik was ooit ontwikkelaar bij een bank en had zelf absoluut zelf geen toegang tot de gegevens van klanten. Maar toch kon ik storingen oplossen waarvoor ik toch toegang tot die gegevens nodig had om te kunnen zien wat er nou eigenlijk aan de hand was, en dat kon door het samen te doen met iemand die weer wel toegang daartoe had. En ik ben in uitzonderlijke gevallen ook rechtstreeks in contact geweest met klanten en zelfs bij zakelijke klanten over de vloer geweest om uit de eerste hand te horen en zelf te kunnen zien hoe erg ongrijpbare storingen zich nou bij hun manifesteerden.
Dat kan allemaal prima zonder dat iedereen overal voor geautoriseerd is, je moet er simpelweg voor samenwerken met anderen, en die anderen heb je typisch niet zelf voor het kiezen. Dat werpt een moeilijk te nemen drempel op tegen misbruik en fraude, zeker in een organisatie waarin het taboe daarop groot is. Het is een vorm van het vier ogen-principe, met andere woorden.
Dit klinkt alsof dat soort dingen bij Bunq niet zo goed zitten als je van een bank zou verwachten.
App:
https://reports.exodus-privacy.eu.org/en/reports/com.bunq.android/latest/
Website:
https://themarkup.org/blacklight?url=https%3A%2F%2Fwww.bunq.com%2Fnl-nl%2F&device=mobile&location=us&force=false
Daar hoor je dan weer niemand over.
- alleen een beperkte groep medewerkers zou toegang moeten hebben tot deze informatie
- ten 2e zou alle raadplegingen en acties, per medewerker gelogd moeten worden. ,Mij is onbekend of dit wel voldoende geregeld. Dit zijn standaard verplichtingen.
En kennelijk toch een telefonische helpdesk.
Dit in tegenstelling tot wat gedupeerden van bankhelpdeskfraude beweren.
Bunq stond bij mij al op het lijstje van toko's waar ik niets mee te maken wil hebben en blijft daar (vermoedelijk) tot in eeuwigheid opstaan.
Beschaving wordt zeldzaam.
Hufterig gedrag dat volgens mij voortvloeit uit een uit de hand gelopen welvaart en hebzucht.
Het eigenbelang staat voorop.
Plichtsbesef bestaat niet meer en men denkt overal recht op te hebben.
En kennelijk toch een telefonische helpdesk.
Dit in tegenstelling tot wat gedupeerden van bankhelpdeskfraude beweren.
Ja precies, daarom vroeg ik het ook.
Ik hoor de hele tijd alleen maar "je kunt bij Bunq geen mensen te spreken krijgen, het is allemaal internet en computers" en nou blijkt er ineens dat ze wel medewerkers hebben...
Beschaving wordt zeldzaam.
Hufterig gedrag dat volgens mij voortvloeit uit een uit de hand gelopen welvaart en hebzucht.
Het eigenbelang staat voorop.
Plichtsbesef bestaat niet meer en men denkt overal recht op te hebben.
Ons economisch model is gebaseerd op private hebzucht, wat beloond wordt met (exorbitante) private winst. Alles draait in dit systeem om egoïsme en hebzucht.
Het algemeen belang is niet van belang. De hoedster daarvan, de staat, heeft zichzelf getransformeerd tot een bureaucratische veelvraat met als belangrijkste doel het instandhouden van zichzelf; zij heeft het humaniseren van de economie al lang opgegeven.
Humanisering is de echte beschaving: het respecteren van mensen als mensen, ze in hun volledige waarde laten. En dat radicaal: tot in de fundamenten, wat wil zeggen: tot op de bodem van je portemonnee (economie).
Nederland en het "vrije" Westen hebben nog een hele lange weg te gaan, voordat ze zichzelf beschaafd kunnen noemen.
En niet zozeer omdat enkele bankemployé's niet het fatsoen hebben om van privézaken van anderen af te blijven, maar omdat het onfatsoen in de bouwstenen van onze economie gebeiteld staat.
En daar wordt niets aan gedaan.
Zo ver reikt onze definitie van beschaving niet, zelfs niet nadat wij ooit een Verlichting hebben gehad.
In deze recente podcast - https://www.youtube.com/watch?v=LkoIVM1Vkc4 - praat Paul Buitink met compliance expert Simon Lelieveldt, tevens oprichter en bestuurslid van Human Rights in Finance, dat zich hard maakt voor het naleven van regels en grondrechten in het financiële systeem.
Deze worden momenteel namelijk stelselmatig geschonden hetgeen leidt tot discriminatie, verlies van bankrekening, maar ook cybercrime en verlies van privacy. In dit gesprek focussen Buitink en Lelieveldts zich vooral op het laatste.
Laatstgenoemde is bezig om Transaction Monitoring Nederland, een initiatief van de grootbanken om fraude tegen te gaan,
een halt toe te roepen, omdat Transaction Monitoring Nederland inmiddels 10 miljard aan transacties illegaal verwerkt heeft en bewaard. Fraudebestrijding is hiermee totaal doorgeslagen.
En kennelijk toch een telefonische helpdesk.
Dit in tegenstelling tot wat gedupeerden van bankhelpdeskfraude beweren.
Ja precies, daarom vroeg ik het ook.
Ik hoor de hele tijd alleen maar "je kunt bij Bunq geen mensen te spreken krijgen, het is allemaal internet en computers" en nou blijkt er ineens dat ze wel medewerkers hebben...
Waarom denk je nou dat 'medewerkers hebben' hetzelfde is als 'nederlandstalige medewerkers hebben die je aan de telefoon kunt krijgen als je een acute vraag hebt ' ?
Natuurlijk hebben ze 'medewerkers' - een berg developers, PR , HR , legal , en ergens een club support die via chat ook wat doet voor klanten.
En het is echt wel een probleem als iedere coder daar ook alle rekeningen en transacties gewoon kan bekijken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
