Vijf ING-klanten hadden tijdelijk toegang tot bankrekening andere klant - update - IT Pro - Nieuws

Niet één, maar vijf klanten van de ING hadden tijdelijk toegang tot de bankrekening van een andere klant, blijkt uit navraag door de NOS. De Nederlandse bank zei eerder vandaag nog dat er sprake was van een 'heel uitzonderlijke en unieke situatie'.

Hoewel het aanvankelijk om één geval leek te gaan, meldde zich vandaag een tweede persoon bij de NOS. De ING vertelt na confrontatie tegen de NOS dat het inderdaad niet om één, maar om een 'handvol klanten' gaat. "Het zijn er vijf, niet meer", stelt de bank. De persoon in kwestie kreeg naar eigen zeggen de bankgegevens te zien van iemand wiens achternaam dezelfde vier beginletters heeft. De persoon kon naar verluidt verschillende privégegevens inzien, zoals het banksaldo en verschillende spaarpotjes. Ook was het mogelijk om geld over te maken. Of dat is gebeurd, wil de bank niet zeggen.

Het Financieele Dagblad bracht eerder deze week naar buiten dat één persoon tijdelijk toegang had tot de bankrekening van een andere klant. De betreffende persoon logde naar eigen zeggen door middel van gezichtsherkenning via zijn iPhone in op de ING-app en kreeg zo toegang tot de bankrekening van een andere persoon.

Vervolgens zou de persoon gebruikelijke handelingen van een bankapp hebben kunnen uitvoeren, waaronder het inzien van inkomsten en uitgaven, maar ook in theorie het opzeggen van de rekening. De bank zei daarna tegen de NOS: "De fout lag bij ons, niet bij de gezichtsherkenning". Een systeemfout zou het incident veroorzaakt hebben.

Het FD zocht ook contact met het slachtoffer waarvan de gegevens inzichtelijk waren. Deze persoon zegt geschrokken te zijn van het incident en zegt niet door de bank op de hoogte te zijn gebracht. Ook de persoon die de gegevens kon zien, zegt niet verder te zijn ingelicht. Dit is in tegenspraak met de bewering van de ING; de bank zegt juist wel contact met de getroffenen te hebben opgenomen.

Update, maandag 20.45 uur: In het oorspronkelijke bericht stond dat één klant tijdelijk toegang had tot de bankrekening van een andere klant. Inmiddels blijkt het om vijf klanten te gaan met toegang tot andermans bankgegevens.

Reacties (322)

Keypunchie
16 oktober 2023 14:29

Ehrm, die gezichtsherkenning is een beetje een dwaalspoor lijkt me.

Je identificeert je op een toestel toch gewoon met het invullen van een rekeningnummer (en daarmee doe je eerst een toestelregistratie)? Het is niet alsof op basis van hoe je eruit ziet, de juiste klant/rekening erbij gepakt wordt.

(Sterker nog, hoe ik het begrepen heb is wat de gezichtsherkenning doet altijd lokaal: daar ontgrendel je een token mee waarmee je je aanmeld, net zoals dat je dat met een pincode of vingerafdruk kan doen. Anders moet je namelijk gaan vertrouwen dat de biometrische data die over het internet gestuurd wordt niet gefaket zou kunnen zijn.... Lekker alles lokaal houden.)

Dus je hebt lokaal een token voor ontgrendeling en je hebt een rekeningnummer. Zou er ergens misschien een 'hash collision" zijn gewenst voor de toestelregistratie aan de zijde ING?

Of had deze persoon een toestel overgenomen van iemand anders?

[Reactie gewijzigd door Keypunchie op 16 oktober 2023 14:30]

gebruiker1974
@Keypunchie • 16 oktober 2023 15:41

Hi - hier de daadwerkelijke ING klant bij wie dit gebeurde afgelopen donderdag ochtend.

Ik heb een iphone, logged in om +/- 07.30 in mijn ING app met face ID en zag vervolgens de rekening van een volslagen onbekende voor mij (heb screenshots en filmpje). Ik kon alles zien (rekeningen, spaarrekening, producten, hypotheek, etc.). Ook kon ik wijzigingen doorvoeren en geld overmaken - niet gedaan natuurlijk maar ben nu wel benieuwd of het daadwerkelijk was gelukt. Dat had wellicht de heftigheid van deze “bug” kunnen bewijzen.

Hetgeen mij hier verbaast is het gebrek aan ernst bij de ING. Het duurde 2 uur voor ze terugbelden om te vragen of ik filmpjes wilde delen - overigens door ING klanten service en niet security. Vrijdag middag ben ik wel gebeld door ING security om me te bedanken en waarin zij aangegaven dat “alles is opgelost”. Ze konden niet bevestigen aan mij dat:
- dit een geisoleerd geval was
- niemand mijn gegevens gezien heeft

Ik begrijp dat er dingen fout kunnen gaan, maar dit zou niet mogen gebeuren. En mocht het toch gebeuren, dan ga je met de billen bloot en doe je alles om het op te lossen. Juist dat valt me tegen van de ING.

Laten we hopen dat ze nu achter de schermen meer doen aan beveiliging dan blijkt uit hun reactie maar mij.

Oh ja - kinderen hebben hier niets mee te maken, behalve dat ik de spaarrekeningen van de twee kinderen in detail heb gezien.
Ook - mijn rekening bij ING lijkt niet op rekening die ik zag - niet opeenvolgend
Nadat ik alles heb bekeken en filmpje heb gemaakt, heb ik app afgesloten (naar boven swippen) en toen opnieuw ingelogd. Ik zag daarna weer mijn eigen bankrekening. Heb toen saldo overgeboekt naar ABN rekening ;-)

[Reactie gewijzigd door gebruiker1974 op 16 oktober 2023 15:55]

ultimasnake
@gebruiker1974 • 16 oktober 2023 18:35

Leuk eens ‘de geen uit het nieuws’ te spreken. Waar mijn verwondering vooral over uit gaat, en echt benieuwd hoe jij hier nu over denkt, is dat de media dit dus nu oppikt als ‘met het scannen van zijn gezicht kreeg hij toegang tot’ wat totaal niet waar is of op z’n minst slechts een puzzel in een stukje. Ik snap dat je als gebruiker, en zelfs mogelijk als tweaker, niet anders ziet… maar de media laat weer van z’n bester; liever het snelst dan het juiste verhaal.

Als (mobile) software developer weet ik dat FaceID op de iPhone enkel en alleen in een app draait om ‘is dit een persoon die je herkent?’ Draait en niet om ‘wie is dit?’. Jouw biometrische data staat in de iPhone en ik kan in een app toegang verlenen aan de app door te vragen of de persoon die het toestel vasthoudt daar aan voldoet, het antwoord is een simpele ja/nee en niet een ‘ja en het is gebruiker1974’… mocht er een nee uitkomen dan kan een andere authenticatie methode worden aangeboden.

Het enige wat je dus bereikt is het aanbieden van een andere app-login maar daarna dient de app van bijvoorbeeld de ING de rest gewoon weer tussen server/app te verlopen. Daar is het dan ook grof fout gegaan slechts een aanname zou zijn dat er gelijke ‘token/authenticatie hashes’ zijn gemaakt voor jou en het andere slachtoffer en de laatste database record/relatie werd opgehaald…. Want je FaceID verteld nogmaals niets over wie achter het toestel zit.

Aan jou totaal geen blaam hoor! Jij meld je bevindingen (inloggen met faceid, ziet andere rekening) maar de media denkt nu dat jij wel heel erg lijkt op de persoon (verloren tweeling broer/doppelganger werdt zelf gegrapt) van wie de andere rekening is…

gebruiker1974
@ultimasnake • 17 oktober 2023 08:39

Qua face ID - ik lijkt totaal niet op degene wiens rekening ik inzag

jesse!
@gebruiker1974 • 17 oktober 2023 09:23

Dat is ook absoluut niet relevant.
FaceID werkt 100% lokaal en jouw face print wordt gebruikt om een bepaalde hash te maken, deze hash moet je zien als een soort wachtwoord waarmee jij (of de app die je gebruikt) toegang kan krijgen tot de kluis lokaal op je telefoon. In het geval van een app, geef je de app alleen toegang tot het stukje van de kluis waar die app haar data in heeft opgeslagen. Dit kan bij ING een simpele access token zijn bijvoorbeeld, en een refresh token om nieuwe credentials op te vragen.

Het is absoluut niet zo dat als jij op iemand lijkt, dat jouw face print naar de ING server gaat en daar een gelijkwaardige match vindt van een andere gebruiker en deze rekening dan maar terug geeft.

Ook als jij FaceID niet had gebruikt maar gewoon een pincode, was waarschijnlijk hetzelfde gebeurd.
Zelfs als jij geen authenticatie op de app had, was waarschijnlijk hetzelfde gebeurd, of in ieder geval mogelijk geweest. (maar ING verplicht authenticatie op je app)

Dat is ook wat veel Tweakers bedoelen, de media springen allemaal in op het FaceID deel, terwijl dat imho helemaal niet relevant is.

Wat er wel precies gebeurd is, weet ik niet en zal mij verbazen als ING dat uitgebreid gaat openbaren.

Edit: Volgens mij zeg ik precies hetzelfde als @ultimasnake.. Het is nog vroeg (voor mij)

[Reactie gewijzigd door jesse! op 17 oktober 2023 09:24]

hans235
@gebruiker1974 • 17 oktober 2023 10:44

hoe weet je dat dan? ken je diegene van wie je inzage had in de rekening gegevens?

Aldy
@hans235 • 17 oktober 2023 14:01

Is niet eens interessant, aangezien de gezichtsherkenning lokaal gebeurt en dient om aan te geven aan ING dat jij bent wie je zegt dat je bent. Ook ING krijgt jouw gezicht niet te zien, evenmin dat zij jouw pincode of vingerafdruk zien als jij daarmee zou inloggen.
Nog even: nieuws: Passkey wordt standaard loginmethode Google-accounts
Geldt ook voor iPhone

[Reactie gewijzigd door Aldy op 17 oktober 2023 14:02]

CH4OS
@hans235 • 17 oktober 2023 14:01

Als je een naam kunt zien, kun je die naam toch gewoon opzoeken, als diegene dan bijvoorbeeld Facebook of wat dan ook heeft...

hans235
@CH4OS • 17 oktober 2023 21:51

En dan maar hopen dat het dezelfde J. Jansen is… daarom stelde ik ook de vraag…

CH4OS
@hans235 • 17 oktober 2023 23:03

Nou ja, als je alle gegevens kunt zien en vindt iemand die zo heet en in dezelfde woonplaats woont, dan lijkt me dat de kans al een stuk groter is dat je de juiste persoon gevonden hebt.

FirePig
@gebruiker1974 • 16 oktober 2023 16:32

Heb jij de naam van het slachtoffer doorgegeven aan het FD? Hoe komen ze anders aan die naam?

Bovendien ben ik erg zeker dat op hetzelfde moment ook het slachtoffer inlogde. Dus ik vind de reactie van het slachtoffer erg vreemd. Wellicht zijn de antwoorden van het ene systeem naar het andere verwisseld, waardoor je rekeningen van een andere klant kon inkijken, en het 'slachtoffer' jou rekeningen zag. Zelf een transactie uitvoeren zou niet gelukt zijn, omdat hierbij nog extra controles worden uitgevoerd.

gebruiker1974
@FirePig • 16 oktober 2023 16:50

Het FD heeft mijn ervaring gezien, dus die konde bewuste persoon van wie de rekening was contacten. De ING overigens ook. Het FD was de eerste die contact opnam - zie hun artikel.

Als ING had ik zeker willen weten of ik en hij op exact hetzelfde moment inlogden - dat hebben ze niet aan mij gevraagd. Ook andere technische vragen niet. Als je dit echt wil oplossen als ING, was ik juist daarin geinteresseerd geweest.

Qua transactie afronden, dat zullen we nooit weten of dat was gelukt. Met enige spijt had ik wellicht €0,01 moeten overmaken van zijn rekening naar zijn en/of rekening. Als dat was gelukt…..

T-men
@gebruiker1974 • 16 oktober 2023 17:10

Als dat was gelukt, dan was dat technisch gesproken diefstal geweest. En vermoedelijk kan je ook nog privacyschending verweten worden.
Hoe begrijpelijk je aktie ook zou zijn geweest, dan was er wellicht ook een heel ander, voor jou onaangenaam, circus losgebarsten.
Ik denk dat je een wijs besluit hebt genomen die €0,01 niet over te maken.

gebruiker1974
@T-men • 16 oktober 2023 17:20

Ja - maar het kan toch geen diefstal zijn als ik €0,01 over maak van zijn rekening naar zijn eigen en/of rekening kan het moeilijk diefstal zijn

Sando
@gebruiker1974 • 16 oktober 2023 18:49

Mocht jij of iemand anders ooit op mijn rekening terecht komen dan mag je van mij een cent overmaken naar m'n spaarrekening met de beschrijving "hoi ING geeft me toegang tot jouw rekening ipv mijn eigen. Dan weet je ervan." of zo, want ik ben ook erg benieuwd of dat mogelijk zou zijn geweest, en ik zou graag zien hoeveel tijd er zit tussen het moment dat die transactie is gedaan en het moment dat ING me op de hoogte stelt.

T-men
@gebruiker1974 • 16 oktober 2023 17:27

Nee, je hebt gelijk, naar een eigen rekening zal inderdaad niet zo snel diefstal zijn. Da's waar.
Toch denk ik dat het niet zomaar toegestaan is.
Regels rondom ethisch hacken verbieden ook dat je data wijzigt. Dat zou je dan wel gedaan hebben.
Ik denk ook wel dat het met een sisser afgelopen zou zijn, maar er komt een hoop juridisch gedoe kijken bij zo'n op het oog onbeduidende aktie.

WillySis

Privacy

@T-men • 17 oktober 2023 10:33

Voor de bewijsvoering voor de ernst van de lek had het overmaken van een cent wel handig geweest. Wanneer je dat ook in de opmerking zet, met de melding dat het om een lening gaat, dan is het geen diefstal, zeker niet als je het bedrag zo snel mogelijk weer terug boekt.

Het sturen van de beelden naar een krant kan ook juridische problemen geven, want het geven van een redelijk gedetailleerd inzicht in de rekening van een ander is een forse schending van de privacy.

Aldy
@T-men • 17 oktober 2023 14:09

Ja, maar @gebruiker1974 is helemaal geen ethisch hacker dus hij kent de regels hieromtrent niet.
Ik vind het veel erger dat ING het in eerste instantie bagatelliseerde. Zelfs al zou het één geval betreffen, dan nog moeten alle alarmbellen gaan rinkelen. En het zijn er nu vijf of meer......? Het doet denken aan een reclame dat 92% het product fijn vindt. Als ik het niet fijn vind dan zal ik wel tot die 8% horen, neem ik aan.

jaxxil
@gebruiker1974 • 16 oktober 2023 17:25

Denk dat het goed is dat je het niet gedaan hebt. Dat soort acties vallen al snel technisch gezien binnen definities van fraude, computervredebreuk, en verduistering. Waarschijnlijk gaat het OM je er niet op pakken, maar beter dat je het niet geprobeerd hebt.

aikebah
@gebruiker1974 • 16 oktober 2023 17:35

die cent op zijn en/of rekening is maar voor een halve cent van hem, de andere halve cent geef je aan zijn en/of partner (en voor de hele cent geef je de en/of partner de mogelijkheid om ermee te doen wat hem/haar goeddunkt.
Van de rekening courant naar een gelijkluidend tenaamgestelde vrij opneembare spaarrekening of rekening courant is de enige situatie waarin ik zou zeggen 'veilig om te claimen dat het probleemloos kan omdat het van pietje naar pietje gaat' (hoewel zelfs daarbij het kan zijn dat hij voor de ene rekening wel, en de andere niet, een machtiging aan een derde heeft gegeven om over het saldo te beschikken.

moonlander
@gebruiker1974 • 16 oktober 2023 20:26

Als je weet dat het een rekening van een ander is, dan valt je zeker wat te verwijten. Zoals ook het maken van filmpjes ervan. Wat gebeurt er als die straks door jou op het www komen te staan?

HooksForFeet
@moonlander • 16 oktober 2023 22:35

Dan heeft de ING een nog veel groter probleem.

moonlander
@HooksForFeet • 17 oktober 2023 05:39

Beide

svenk91
@moonlander • 17 oktober 2023 10:55

Nee hoor. Het is belangrijk om vast te leggen wat er gebeurt. Zoals gebruiker1974 ook aangaf vroeg ING zelf om het bewijs in de vorm van de video zodat ze wat aan het probleem konden doen. Daarnaast is het belangrijk dat de media kennis krijgt over dit soort zaken gezien de media een belangrijke taak vervullen in het informeren van de samenleving over misverstanden bij o.a. bedrijven als ING.

sellh48
@moonlander • 18 oktober 2023 02:17

Onzin,

Als je een incident als dit meldt aan een bank, is het eerste wat de bank normaal gesproken gaat doen, je om zo veel mogelijk details vragen om uit te kunnen zoeken wat er aan de hand is. Met foto's, screenshots en filmpjes maak je de bank dan heel gelukkig.

Je mag die filmpjes of afbeeldingen uiteraard niet doorsluizen naar de pers of op het internet plaatsen, maar dat lijkt me logisch.

moonlander
@sellh48 • 18 oktober 2023 09:14

De bank inderdaad heeft hier wat aan, een nieuwssite niet. Of je moet alles geblurt hebben, maar ik gok dat menig mens niet weet hoe dat moet.

knakworst
@T-men • 16 oktober 2023 17:19

Ik denk dat als je de 1 cent overmaakt naar jezelf, en vervolgens weer terug overmaakt, er niemand gaat aanklagen over diefstal. Als mij dit overkomt, ga ik het gewoon proberen.

Eén cent welteverstaan, met mijn telefoonnummer in de omschrijving.

[Reactie gewijzigd door knakworst op 16 oktober 2023 17:19]

Bazz0847
@T-men • 16 oktober 2023 17:24

Niet mee eens, hij kan die ene cent gewoon weer terugboeken. Het is daarnaast een symbolisch bedrag, en de veiligheid van de bankrekening van miljoenen Nederlanders is uiteraard aanzienlijk belangrijker dan het verliezen (indien niet wordt teruggeboekt) van een symbolisch bedrag: het bewijs dat er de mogelijkheid bestaat om zonder autorisatie geld over te boeken vanaf andermans rekening was veel waard geweest.

blinchik
@T-men • 16 oktober 2023 17:36

Ik denk toch niet dat ze hem veel zouden hebben kunnen maken. Soms schrijf ik al eens iets heel snel over naar iemand zonder mijn historiek of saldo na te kijken. Ik bedoel, als ik zo'n situatie zou meemaken, zou ik zeker iets per ongeluk kunnen overschrijven vooraleer ik door heb dat ik op een andere rekening zit. Zeker omdat je zoiets niet verwacht.

sellh48
@blinchik • 18 oktober 2023 02:26

Of ze hem "veel zouden hebben kunnen maken" staat geheel los van het feit of iemand het in zijn of haar hoofd zou halen om iemand anders, die om een fout in het systeem duidelijk te maken een cent overmaakt, überhaupt iets zou willen maken.

Als ik betrokkene zou zijn, en ik zou iets of iemand al wat hebben willen maken, zou dat de ING zijn omdat ze niet voorzichtig genoeg zijn omgegaan met mijn centjes, privacy en vertrouwen.

DutchManticore
@T-men • 16 oktober 2023 22:08

Helemaal niet. Diefstal heeft een aantal wettelijke bestanddelen. De belangrijkste "met het doel zichzelf wederrechtelijk toe te eigenen".

Die zijn juridisch beide niet (voldoende) aanwezig voor een veroordeling diefstal in het geval dat je een eurocent overmaakt. Zeker niet als je hem weer terug overmaakt.

Als het OM vindt van wel, dan nog de rechter niet.

[Reactie gewijzigd door DutchManticore op 16 oktober 2023 22:10]

Lan Mandragoran
@T-men • 17 oktober 2023 08:47

Voor diefstal is het "oogmerk van wederrechtelijke toe-eigening" vereist (zie 310 Sr.). Die bedoeling om het voor jezelf te houden is hier duidelijk niet van toepassing als het gaat om het overboeken van een cent om een ernstig softwareprobleemprobleem aan te tonen. Nog los van het feit dat geen enkele officier van justitie moeite gaat steken in vervolging van de 'diefstal' van een cent.

nowaychose
@T-men • 17 oktober 2023 09:05

Dit zou nooit als diefstal gezien worden. Daarvoor moet je het goed wegnemen/jezelf toeëigenen. Geld op een en/of rekening is niet per definitie 50/50 van de rekeninghouders en het vermaarde slachtoffer heeft ten alle tijde controle over het "gestolen" geld.

xleeuwx
@gebruiker1974 • 16 oktober 2023 17:36

Klinkt als een caching issue, dat de login token die afgegeven is meerdere keren is afgegeven.

Vergeet niet dat ze je naam natuurlijk al hadden en dat het vrij eenvoudig zoeken is in de logs wanneer je inlogde en wie nog meer op exact dat moment.

3DDude
@xleeuwx • 16 oktober 2023 21:21

unique index missing ?

Tjidde
@xleeuwx • 16 oktober 2023 22:28

Waarom zou je ooit een authentactie server cachen?

Het lijkt er wel op dat er inderdaad of iets was met caching of een loadbalancer die het niet snapte om welke reden dan ook. Misschien beide zonder data van ING komen wij er nooit achter.

Ik denk het wel goed kan zijn voor het vertrouwen om bekend te maken waar het probleem ongeveer zat.

orvintax
@Tjidde • 17 oktober 2023 13:09

Waarom zou je ooit een authentactie server cachen?

Met de load van ING is het niet te doen om elke keer rauw in de database te kijken waar die hash toe behoord denk ik.

codekloppertje
@xleeuwx • 17 oktober 2023 09:21

Dat is de meest logische reden die ik tot nu toe heb gelezen. Misschien iets met een update van dat IAM systeem waarbij een range van sessies dubbel is uitgegeven.

Finraziel

@gebruiker1974 • 16 oktober 2023 22:24

Lijkt me dat ze ook helemaal niet aan jou hoeven vragen hoe laat je ingelogd was, dat moet gewoon in hun eigen logfiles terug te zien zijn...

tfro71
@Finraziel • 17 oktober 2023 11:30

Met een datum/tijd is het wel makkelijker zoeken en (veel belangrijker), het is extra verificatie dat de gevonden logs betrekking hebben op het probleem

TheBirdMachine
@gebruiker1974 • 17 oktober 2023 13:09

wat je ook had kunnen doen is bijv. die 0,01 cent overmaken naar zijn/haar spaarrekening.
mocht dat gelukt zijn heb je concreet bewijs en geen diefstal/fraude of dergelijke gepleegd.
maar goed dit is in 'als' situaties praten, ik ben wel heel benieuwd wat de ING hieraan gedaan heeft en of ze zelf ook met een update komen.

Aalard99

@FirePig • 16 oktober 2023 20:01

Bovendien ben ik erg zeker dat op hetzelfde moment ook het slachtoffer inlogde.

Dit lijkt mij dan ook de meest logische verklaring. Er is ergens tijdens het opzetten van de sessie een verwisseling geweest met twee identiteiten. Zoals ik het zie is dit een zeer ernstig security incident waar de ING bovenop moet zitten, waarom? Omdat dit vrijwel zeker niet de eerste en laatste keer is dat dit is voorgevallen. Ik hoop dat de ING in de logs kan achterhalen wat er fout is gegaan en waarom zodat ze dit z.s.m. kunnen fixen.

Het verbaasd me dat er niet een extra controle na het inloggen plaatsvindt waarbij de ING systemen zien dat je op de ING app een andere bankrekening hebt staan dan waar je daadwerkelijk op ingelogd bent.

[Reactie gewijzigd door Aalard99 op 16 oktober 2023 20:03]

Keypunchie
@gebruiker1974 • 16 oktober 2023 15:47

Heftig verhaal. Je krijgt sowieso van mij een pluim dat je het zo adequaat heb gemeld!

(Ook nog een vraag: kon je uberhaupt nog bij je eigen rekening? Lijkt me al met al best een vreemde gewaarwording.)

Gebrek aan ernst bij de ING komt denk ik omdat het an sich zo bizar is. Denk dat daar het kwartje ook nog bij mensen moest vallen. Dit is natuurlijk een ongebruikelijke fout.

Alhoewel...
nieuws: ING-website toont onjuiste saldo's - update

gebruiker1974
@Keypunchie • 16 oktober 2023 16:35

Nadat ik was uitgelogd op donderdag ochtend, heb ik app vollledig afgesloten en weer opnieuw opgestart. Toen weer opgestart en ingelogd - zag direct mijn eigen gegevens.

Overigens, zou ik als ING meer willen weten over mijn inlog proces en tijd die bewuste donderdag ochtend. Hoe laat, eigen toestel, vaker al ingelogd etc. Dat zou ik dan checken met de persoon wiens rekening ik zag. Als daar overlapen zijn - exact zelfde moment proberen in te loggen via zelfde wifi netwerk - dan kan je wellicht dichter bij de oorzaak komen. Helaas - dat hebben ze niet nagevraagd. Maar misschien hebben ze die data punten al….

Het.Draakje
@gebruiker1974 • 16 oktober 2023 17:52

ING heeft uiteraard log-bestanden. En kunnen dus exact zien wanneer jij aangemeldt bent op het systeem. En met welk toestel.. Wat ze ook kunnen zien van het slachtoffer. Die zal sowieso de exacte aanlog tijd niet vastgelegd hebben en dus ING niet van die gegevens kunnen voorzien.

Ik vind het niet zo vreemd dat de Service Desk de melding afhandelt; een storing wordt door de service organisatie gedaan en daarvan is Service Desk de woordvoerder. Uiteraard komt het wel terug in de auditing, vandaar dat Security op een gegeven moment aanhaakt.

david-v

@gebruiker1974 • 16 oktober 2023 18:17

Dat laatste wat je noemt heeft de ing waarschijnlijk zelf al in de vorm van logging. Dit soort logging is noodzakelijk om dit soort problemen te onderzoeken. Hoe gek het ook klinkt, de logging is meestal veel betrouwbaarder dan wat de gebruiker zelf zegt

. Naast de applicatieve logging heb je ook auditing logging op bijvoorbeeld de database om werkelijk alle stappen te kunnen traceren. Zeker voor een bank is dat van wezenlijk belang bij calamiteiten.

Dus dat ze er niet om gevraagd hebben betekent niet dat ze er geen interesse in hebben. Hoogstwaarschijnlijk hadden ze genoeg aan jouw personalia en die van de persoon die je te zien kreeg in de app om de hele (auditing) logging naar boven te krijgen.

AceAceAce
@gebruiker1974 • 16 oktober 2023 16:50

Hoe kon je screenshots/filmpjes maken? Dacht dat dat dichtgetimmerd was bij dit soort apps; ik kan zelf op Android geen screenshots maken in-app.

bebkook
@AceAceAce • 16 oktober 2023 16:56

Bij Android kan het inderdaad niet, daar is het beveiligd is mijn ervaring. Op mijn iPhone kan het dan weer wel vreemd genoeg. Vind het wel frappant dat ik als ik een screenshot probeer te maken van mijn ziggo go app dat deze een zwart scherm geeft en dat het bij de, in mijn geval, Rabobank app wel gewoon kan

qlum

@bebkook • 16 oktober 2023 19:11

Je kan dit op android doen via adb, hiervoor moetje usb of wifi debugging aan hebben staan in developer settings.

Of als je root hebt zijn er natuurlijk andere opties (de ING app werkt met root) voor andere bank apps moet je root verbergen.

brianbitchballs
@bebkook • 16 oktober 2023 19:37

Ik neem aan dat wanneer je een video afspeelt op je iPhone dat dit met de native video player van Apple gaat, en dat Apple native API's aanbiedt waarmee je kan blokkeren dat gebruiker je video kunnen opnemen om copyright te beschermen. Bij andere apps is het aan de ontwikkelaar zelf om dit te bouwen, Apple kan niet alles voor je voorkauwen.

Edit: Ik heb het even opgezocht en Apple biedt hier inderdaad gewoon een hapklare oplossing voor aan https://developer.apple.com/streaming/fps/

[Reactie gewijzigd door brianbitchballs op 16 oktober 2023 19:37]

ComputerGekkie
@brianbitchballs • 17 oktober 2023 08:03

Ik geloof dat op Android er gewoon simpelweg meer apps zijn die stiekem meekijken en het daarom als beveiliging word toegevoegd. Apple heeft daar in mindere mate last van omdat je daar altijd bevestigt als je wilt delen.

aikebah
@bebkook • 16 oktober 2023 17:28

Je ziggo go app heeft last van de zeer aggressieve DRM politie van big-business media-mega-corporaties.

Kreuk

@bebkook • 16 oktober 2023 17:35

In de ABN Amro app op Android kan je aangeven of je screenshots in de app toe wil laten of niet. Als dit uitstaat krijg je ook een zwart scherm.

gebruiker1974
@AceAceAce • 16 oktober 2023 16:51

Dat was geen enkel probleem - kan bij bijna alle apps. Behalve sommige corona gerelateerd apps - met beveiligde QR code.

AceAceAce
@gebruiker1974 • 16 oktober 2023 16:54

Dan is het voor het eerst dat ik hoor dat een app op iOS een zwakkere beveiliging heeft dan die op Android

Blizz
@AceAceAce • 16 oktober 2023 18:23

iOS apps kunnen dat gewoon blokkeren, zit veel langer dan Android ingebouwd. Het is aan de ontwikkelaar of ze dat afdwingen of niet. Persoonlijk vind ik het bijzonder frustrerend als ik daar als gebruiker geen controle over heb.

andreetje
@Blizz • 16 oktober 2023 19:27

Waarom blokkeert ING het wel in Android en niet in iOS? Vreemd.

Blizz
@andreetje • 16 oktober 2023 20:47

Andere teams, andere keuzes denk ik. Bovendien zijn iOS devs er denk ik eerder van bewust dat gebruiksvriendelijkheid onderdeel is van de iOS-ervaring, bij Android ga je denk ik eerder veiligheid tegen vrijheid afwegen. Dus dat kan best projectie zijn op basis van de verantwoordelijke teams per platform.

Bij Revolut voor iOS kun je bepaalde veiligheidsinstellingen aan- of uitzetten, bv. dat gevoelige/kaartgegevens worden verborgen (vervaagd/geblurd) als je de telefoon omdraait. Dat lijkt mij het ideaal.

Oh, ik streep ff paragraaf 1 door, want ik besef me dat de gebruiker bij iOS gewoon duidelijk ziet wanneer er een schermopname wordt gemaakt en dat het niet mogelijk is voor een derde app om stiekem screenshots te nemen. Verder kun je ervan uitgaan dat als er wel malware draait die screenshots kan nemen, dat het ook wel langs zo'n onzinnige implementatie van de anti-schermafbeelding kan door die iOS API simpelweg te omzeilen. Dat houdt geen app tegen, maar de kans hierop is nihil in vergelijking met Android.

Kortom: het heeft simpelweg geen nut en het enige resultaat is gebruikersonvriendelijk gedrag van je app. Bij Android is het OS minder veilig doordat de gebruiker de deur wijder open kan zetten en als gevolg willen ze daar de app standaard meer afschermen.

Komt er toch op neer dat de ontwikkelaar zich bewust is van het platform.

brianbitchballs
@andreetje • 18 oktober 2023 13:39

Dat moet je aan ING vragen

Sandro!
@AceAceAce • 16 oktober 2023 18:00

Heeft weinig met beveiliging te maken. Ik zou het zelfs vervelend vinden als ik geen screenshot zou kunnen maken van mijn bankapp. Ik kies toch zelf wat ik daar vervolgens mee doe?

HooksForFeet
@Sandro! • 16 oktober 2023 22:38

En wat nu als bepaalde malware óók die screenshots kan maken?

moredruid
@HooksForFeet • 17 oktober 2023 12:36

Een screenshot maak je van wat er op dat moment op je scherm wordt afgebeeld (de naam impliceert dit al). De app moet dus actief zijn en op de voorgrond draaien.

HooksForFeet
@moredruid • 17 oktober 2023 14:00

Malware kan als een service draaien terwijl een andere app op de voorgrond draait, dus dat is niet echt relevant.

Donstil
@AceAceAce • 17 oktober 2023 02:41

Dan is het voor het eerst dat ik hoor dat een app op iOS een zwakkere beveiliging heeft dan die op Android

Nah dit is geen zwakkere beveiliging dit is een developer die het niet geïmplementeerd heeft. Apple kan toch niet voor de developer bepalen of het nodig is?

Ik vind het persoonlijk niet echt een security issue dat het wel kan, je bent immers al geauthentiseerd binnen het toestel en de app en daardoor zijn het mijn gegevens, als ik daar screenshots van wil maken moet mij dat vrij staan zou je zeggen.

blinchik
@AceAceAce • 16 oktober 2023 17:34

Klopt, redelijk idiote beveiliging vind ik zelf. Ik heb 2 telefoons en neem dan gewoon een foto met de andere telefoon. Soms handig om een overschrijving snel te bewijzen / bevestigen of iets bij te houden. Ik snap de gevoeligheid maar vind dat de bank app dan wel een optie zou mogen inbouwen om een uittreksel of "screenshot" weg te schrijven naar het filesysteem.

SirMemeAlot
@blinchik • 16 oktober 2023 17:53

Waarom zo omslachtig, in de ING app kan je gewoon een pdf downloaden van je overschrijving en die direct delen in whatsapp bijv.

blinchik
@SirMemeAlot • 17 oktober 2023 10:42

Ja, inderdaad! Zoiets zou ik dus ook verwachten in mijn bankapps, ik heb geen ING. Fijn dat screenshot of pdf downloaden wel kan in de ING app.

gimbal
@Keypunchie • 17 oktober 2023 09:43

Nee het komt door de vele lagen. Dat "gebrek aan ernst" dat is omdat je verplicht eerst door lagen heen moet die totaal niet bevoegd zijn om kennis te hebben; ze volgen een script en geven van alles jou de schuld. Het is pas met extreem doordrammen dat je bij de mensen terecht komt die echt iets te zeggen hebben.

Als je internet er ooit eens uitvliegt en je bent klant van KPN... veel succes. Die proberen je zelfs bij mensen vandaan te houden en elke knop waar je op klikt brengt je naar de storingcheck en ze willen dat je een app gaat installeren. Ik moest aan Google vragen wat het telefoonnummer was om te bellen en ik moest drie keer bellen voordat ik eindelijk een persoon aan de lijn kreeg. Die 30 minuten lang elke reset mogelijkheid ging uitproberen die er is. Ging niet echt helpen aangezien het kapot was in de centrale. De persoon van de technische dienst waar de call uiteindelijk naar toe ging die zag dat in letterlijk 5 seconden en de spoedafspraak met een monteur was zo gemaakt.

Zelfs buiten techniek. Huisartsen zijn getrained door de verzekeringsmaatschappijen om je zoveel mogelijk te ontmoedigen de zorg op te zoeken want dat kost ze geld. Als je zelf een bloedtest wil laten doen, je moet haast dreigen. Laagjes. Allemaal laagjes.

HooksForFeet
@gebruiker1974 • 16 oktober 2023 22:25

Gênant dat de ING niet alleen de betreffende klant die het meldt niet serieus neemt, én liegt over hoeveel mensen dit is overkomen, én liegt over dat ze de betreffende klanten op de hoogte hebben gesteld, én het niet gemeld hebben bij de AFM.

Ik mag toch hopen dat hier strenge maatregelen genomen gaan worden. Niet puur op technisch gebied, maar ook op de manier waarop dit qua klantcontact en verantwoordelijkheden richting klant en toezichthouders is afgehandeld.

En ik zou direct vertrekken bij ING. Ja, het kan bij anderen ook voorkomen, maar zo’n behandeling onbestraft laten is jezelf in de voet schieten. Daarnaast, overstappen van rekening is makkelijker dan ooit.

ComputerGekkie
@HooksForFeet • 17 oktober 2023 08:09

Nou nou, liegen? Als ze druk bezig zijn met onderzoek en ze geven informatie over “we weten vrijwel zeker dat dit een geïsoleerd geval is”. En dat blijkt toch niet zo maar dat rectificeren ze netjes. Dan noem ik dat geen liegen.

HooksForFeet
@ComputerGekkie • 17 oktober 2023 08:26

Ze rectificeren het niet “netjes” na “nader onderzoek”. Ze rectificeren het pas nadat het in de media kwam. Dat noem ik liegen ja.

En het feit dat ze zeggen klanten te hebben geïnformeerd terwijl dat niet waar is, is dat ook een foutje dat na nader onderzoek rechtgezet wordt? Of het feit dat ze de AFM niet hebben ingelicht? Gek dat de ene tak van de bank niet weet wat de andere doet. Maar laten we niet uitgaan van kwader trouw of een mislukte poging tot slechte PR beperken. Het is natuurlijk allemaal volledig oprecht bedoeld.

Typhone
@HooksForFeet • 16 oktober 2023 22:50

Wat een paniek om niks haha. Blijft geen bank meer over op termijn.

lvdgraaff
@gebruiker1974 • 16 oktober 2023 16:03

Tof dat je je hier op Tweakers meldt!

Kun je bevestigen of ontkennen wat hier elders in de reacties werd gesteld, namelijk dat dit de rekening van een kind betreft?

gebruiker1974
@lvdgraaff • 16 oktober 2023 16:32

Nee - het is niet een rekening van een kind die ik heb ingezien. Die hebben meestal geen hypotheek. In artikele van het FD van aflopen zaterdag (online) staat een beschrijving wiens rekening het was (uiteraard geen naam)

DavidZnay
@gebruiker1974 • 16 oktober 2023 22:03

Ik begin me in toenemende mate oncomfortabel te voelen met bank apps.
De nonchalance hoe ze omgaan met dit soort fouten, gemak lijkt boven veiligheid te gaan.

codekloppertje
@DavidZnay • 17 oktober 2023 09:23

Security zal hier zeker niet lichtzinnig mee omgaan. Maar dat ze niets publiek delen is ook zodat hackers niet slimmer worden dan ze al zijn.

borbit
@gebruiker1974 • 16 oktober 2023 17:50

Ook kon ik wijzigingen doorvoeren en geld overmaken - niet gedaan natuurlijk maar ben nu wel benieuwd of het daadwerkelijk was gelukt.

Mag misschien niet. Maar ik had zeker een overboeking van 1 cent gedaan om eens te kijken wat er gebeurt!

Tweakert2020
@gebruiker1974 • 16 oktober 2023 16:23

Hoop dat je voor het melden van dit probleem een mooi aantal aan rentepunten hebt gekregen van ze

robertwebbe

@Tweakert2020 • 16 oktober 2023 16:29

Wat moet je daar nu mee? De producten die je daar met korting kunt kopen zijn vaak nog duurder dan gewone webshops.

IrBaboon79
@robertwebbe • 16 oktober 2023 21:23

Soms zitten er wel bruikbare coupons bij - tijd geleden gaf m'n wasmachine de geest en was met ING points only 30% goedkoper uit bij Bosch...scheelde toch een dikke 250eu tov de meeste webshops. Dus ja, soms wel handig

Jasper Janssen
@robertwebbe • 16 oktober 2023 17:39

Ik heb honderdduizenden van die rentepunten waar ik geen flikker mee kan. Vreselijk.

graey
@gebruiker1974 • 16 oktober 2023 21:21

Dat klinkt allemaal redelijk ernstig. Misschien toch eens mijn geplande vertrek bij ING afronden...

Euma3000
@gebruiker1974 • 17 oktober 2023 13:06

Laconieke reactie. Kijken of het nog zo'n reactie zou zijn als je de lokale krant had gebeld.

Buitenaerts
@gebruiker1974 • 17 oktober 2023 19:24

Transparantie is ver te zoeken ja, want ze weten precies hoeveel mensen toegang tot rekeningen van andere hebben gehad. Wij hebben op ons bedrijf ook ING gehad, en wij zijn op een gegeven moment gebeld dat een van hun werknemers bij ons op de rekening aan neuzen was (was een concurrerend bedrijf aan beginnen). Dit kwam gewoon uit hun eigen logs die ze om de zoveel tijd controleren, de persoon in kwestie is wel weg bij die bank, en gelukkig waren wij toen al over naar de Rabobank dus veel spannends was er niet te zien.

Anyhow moraal van het verhaal ze moeten gewoon eerlijk zijn en niet een lul verhaal ophangen, erg matig.

OverSoft
@Keypunchie • 16 oktober 2023 14:38

Ja, sowieso is de Face ID data helemaal niet toegankelijk voor apps. Deze krijgen enkel door: "Ja, deze persoon herken ik als de gebruiker van deze telefoon" of "Nee, ken ik niet".

Meer data krijgt een app niet.

Als je als gebruiker je toestel registreert bij de ING, krijgt je toestel een authenticatie token. Deze token wordt gebruikt om je aan te melden bij de API van ING. Verder is alle autorisatie app-side geregeld. (Of via een code, of via Face ID)

Wat mij het meest waarschijnlijk lijkt, is dat er per ongeluk een dubbele token is uitgegeven. Deze kans is zo ontzettend klein, maar het is dus duidelijk een keer gebeurd. Een luie programmeur is dus vergeten om te checken of een token al bestaat, nadat deze is gegenereerd.

TheVivaldi
@OverSoft • 16 oktober 2023 14:47

Tenzij er een foutje in Face ID zit. Net als die zeldzame luie programmeur van die dubbele tokens waar je het over hebt, zo kan er ook een luie programmeur geweest zijn die een Face ID-foutje gemaakt heeft. Dat het nu één keer gemeld is, zegt niet dat het niet al vaker is gebeurd, dus het kan zomaar zijn dat er meerdere mensen zijn die last hadden van dit foutje, of het foutje nu in Face ID zat of elders.

sprankel
@TheVivaldi • 16 oktober 2023 17:51

Biometrische data is, terecht, zeer strikt gereglementeerd niet enkel vanwege privacy maar vooral ook omdat je biometrische gegevens niet kan aanpassen, ik kan geen andere vingerafdrukken maken als die morgen op straat liggen dus ze zijn maar beperkt bruikbaar vanuit security gezien. Je mag de biometrische gegevens (vingerafdruk, 3d van gezicht, etc) niet zelf opslaan, je moet een hash opslaan met herkenningspunten waarmee je de echte biometrische gegevens kan vergelijken tijdens het inloggen. Bijkomend mag je die hash ook niet centraal opslaan, dat gaat het device in, liefst in een secure chip zoals TPM (windows/linux), ARM Trustzone (Android), T2 (Mac) of secure enclave (IOS).

In een Windows Hello verhaal levert dat klagende gebruikers op omdat ze gewoon zijn vingerafdruk/gezichtsherkenning/pin te gebruiken op hun laptop maar dat dit telkens opnieuw ingesteld moet worden als ze op een andere computer inloggen.

Het rechtstreeks koppelen van een biometrische login tot een applicatie is dus helemaal niet toegestaan. De applicatie trust het device en als de security chip van het device zegt het is ok, in dit geval de secure enclave, dan logt de applicatie in. Dit vereist wel dat de applicatie 'blind' het device vertrouwd alsook dat het OS de secure chip vertrouwd dus dan kom je al vrij snel aan zaken als secure boot, verplichten van secure chips en het niet toestaan van jailbreak, je wilt immers geen ongewenste software tussen OS en de secure chip. De CPU gaat in halt modus als het OS met de secure chip aan het praten is, andere instructies worden op hold gezet om te verhinderen dat malware die communicatie kan beinvloeden. Allemaal vrij standaard op Android/IOS/mac maar levert veel geklaag op sinds MS het (eindelijk) vanaf Win 11 volledig wilt gaan implementeren met als gevolg TPM 2.0 verplicht, Secure boot verplicht en CPU moet het een en ander ondersteunen. (al is het nog niet volledig actief/ volledig afgedwongen dus je kan nog Win11 op unsupported hardware draaien zonder problemen)

In theorie zou je het device kunnen spoofen, doen alsof mijn device jou device is en daardoor inloggen bij de applicatie als een andere user. Echter dan zit het niet meer in de biometrische gegevens of de face-id in dit geval, dan zit het het ergens tussen de secure chip waarvan je de private keys hebt en welke checks de applicatie gebruikt om te controleren of een trusted device wel is wie die claimed dat hij is.

Of nog meer waarschijnlijk in dit geval, er is niets mis met het device zegt ik ben persoon A maar de applicatie geeft persoon B, de authentificatie is volledig correct maar de applicatie heeft intern 2 personen omgedraaid.

kamerplant
@TheVivaldi • 16 oktober 2023 14:59

FaceID heeft geen invloed op dit proces. Deze fout kan simpelweg niet door FaceID zijn veroorzaakt, ook niet met een fout.

[Reactie gewijzigd door kamerplant op 16 oktober 2023 14:59]

guysp
@TheVivaldi • 17 oktober 2023 11:16

Zie FaceID als een stoplicht, en de app als een auto. Het enige wat FaceID doet, is groen of rood licht geven. En afhankelijk daarvan gaat de auto rijden, of blijft die stilstaan (wordt de app geopend of blijft die afgeschermd). FaceID heeft in dit geval groen licht gegeven, en de auto is gaan rijden (de app). In die auto is iets mis gegaan waardoor je gadpedaal opeens je rem is, en je rem je gaspedaal (Gegevens omgewisseld). Het stoplicht kan technisch gezien geen invloed hebben op de auto, die staat er helemaal los van.

Dat is wat mensen jou uitleggen. Niemand zegt dat FaceID 100% bugvrij is. Het enige wat wordt gezegd is dat het probleem niet erdoor veroorzaakt kan zijn door hoe het technisch werkt.

familyman
@TheVivaldi • 16 oktober 2023 16:34

Niet voor het deel van het proces dat deze fout kan veroorzaken. Daar is het namelijk niet bij betrokken, zo wordt uitgelegd.

In jouw wereld zou het ook kunnen komen door een tussenliggende router, want euh internet ofzo

Nimja
@TheVivaldi • 16 oktober 2023 16:37

Dat niet. Het heeft te maken met welke data Face/Fingerprint checks teruggeven.

Die geven niet een "ID" terug waar de bank iets mee kan, alleen maar een ja (veilig) of nee (onveilig), dus het veranderd de gebruiker niet.

Vandaar de reacties van mensen.

HitDyl
@TheVivaldi • 16 oktober 2023 16:43

Je begrijpt bovenstaande uitleg niet goed. FaceID zegt alleen maar ja of nee. Niets van face id wordt daadwerkelijk gekoppeld aan een ING account en kan dus nooit de oorzaker zijn. De app is wel gekoppeld aan een account, voor lange termijn. De fout zit dus in de backend van ING.

joker1977
@TheVivaldi • 16 oktober 2023 16:56

FaceID geeft "Ja dit is een bekende gebruiker van deze iPhone" of "Nee, deze ken ik niet" door.

Hij geeft niet door: Dit is TheVivaldi met bankrekeningnummer ING 004291234 met pincode 123456 welke nu moet inloggen op de app.

Daarom heeft FaceID er niets mee te maken.

MarcoC
@TheVivaldi • 16 oktober 2023 17:00

FaceID zal heus niet onfeilbaar zijn, maar FaceID heeft helemaal geen rol in dit verhaal. FaceID draait lokaal op jouw telefoon en is niet verbonden met de servers van ING.

jhaan1979
@TheVivaldi • 16 oktober 2023 17:08

Dat is het niet, maar zelfs al zou FaceID zo lek als een mandje zijn en stijf staan van de bugs, het is een stukje unlocking op het lokale device. Het is niet zo dat er opeens andere accountgegevens tevoorschijn komen, dat is gewoonweg niet mogelijk vanuit het design.
Het haalt enkel de app van slot, deze gaat dan aan de slag met de account gegevens die lokaal opgeslagen staan.

Zie het als een sleutel van je voordeur. Het kan een goede of slechte sleutel zijn, maar het is niet zo dat als je je deur van slot haalt, je opeens in een ander huis staat.
(En het argument; ja maar een slechte sleutel zou wel een andere deur kunnen openen; dat zou hier ook op gaan, maar dan wel met jouw gezicht op iemand anders zijn telefoon en niet met iemand anders zijn account op jouw telefoon.).

Disclaimer overigens: Geen Apple fanboy, alles android en als het ff kan google-vrij. Geen fan van FaceID, of wat voor biometrisch spul dan ook. Wel een ontwikkelaar van Web applicaties en Android/Apple applicaties welke gebruik maken van backends met sessies, tokens en lokale unlocking, kortom; enige kennis aanwezig over hoe die meuk werkt.

[Reactie gewijzigd door jhaan1979 op 16 oktober 2023 17:14]

Jasper Janssen
@TheVivaldi • 16 oktober 2023 17:42

FaceID kan best fouten maken. Maar niet *die* fout. Denk je echt dat als er een *andere* persoon aan jouw telefoon zit dat die dan zijn eigen rekening te zien krijgt? Nee, natuurlijk niet, want zo werkt dat niet. Die krijgt gewoon te zien dat hij niet geautoriseerd is om *jouw* rekening te zien.

jurroen
@TheVivaldi • 16 oktober 2023 23:35

Uiteraard is FaceID niet honderd procent veilig of bugvrij. Maarrrr, wat de andere reacties willen aangeven is dat de ING applicatie of zelfs iOS daar geen toegang toe heeft. Die biometrische data staat opgeslagen in een secure enclave. iOS kan door middel van een API aan de secure enclave vragen of dat juist is - en indien dat juist is een token of secret terugvragen.

Ander voorbeeld, de secure enclave in een Pixel (6e generatie en nieuwer) is behoorlijk extreem gehard tegen - voor ons - bizarre aanvallen. Heel de disk encryptie wordt geforceerd door de secure enclave. Als de Pixel zich in de BFU (before first unlock) staat bevind kan de telefoom dat niet zelf ontgrendelen, de key zit immers in de secure enclave. Die voorkomt ook bruteforcen. Dus zelfs als je Android helemaal kunt ownen kun je die telefoon niet magisch ontgrendelen.

En de secure enclave wist zichzelf bij modificaties, het bevriezen van de chip of zelfs het afvuren van lasers erop (om te glitchen). Met als gevolg dat die data weg is.

FaceID werkt deels vergelijkbaar. Het is niet iOS die bepaalt of het gezicht de juiste is - maar het is de secure enclave.

nms2003
@TheVivaldi • 16 oktober 2023 14:58

FaceID, ookal zou het een fout maken wat praktisch onmogelijk is, geeft je slechts toegang tot de app waarbinnen reeds een bankrekening is gekoppeld. Alsof je de juiste pincode hebt ingevoerd voor toegang dus. FaceID heeft dus niets te maken met toegang krijgen tot een bankrekening die niet van jou is, dat zit hem vervolgens in de app waar je enkel toegang tot hebt gekregen en daarbinnen de koppeling mag gebruiken die al eerder is aangemaakt. Fout zit dus sowieso in de rekening toekenning aan desbetreffende app instance door ING.

ikweethetbeter
@TheVivaldi • 16 oktober 2023 15:09

Tenzij er een foutje in Face ID zit.

Onzin.
Face ID geeft toegang tot je bank app of niet.
Je bank app geeft je toegang tot je rekening(en), als je meer ziet dan jouw rekeningen, dan ligt de fout bij de bank.

MarcoC
@TheVivaldi • 16 oktober 2023 16:58

Nee, dat kan niet, want zo werkt FaceID niet. FaceID kan alleen herkennen of jouw gezicht bij die telefoon hoort. FaceID bepaalt dus niet welke gebruiker er ingelogd wordt in de ING-app.

Edgarz
@TheVivaldi • 16 oktober 2023 17:01

Nee, Face ID is het niet geweest, dat is gescheiden. Het zal een sessie token of id zijn geweest dat identiek is geweest.

Herko_ter_Horst

@TheVivaldi • 16 oktober 2023 15:00

Maar wat FaceID ook roept, dat is op geen enkele manier gekoppeld aan data van de klant in het achterliggende systeem. FaceID gebeurt zoals gezegd op het toestel, en is niet toegankelijk voor apps, dus daar weet de maker van de app niks van. Zelfs als er een foutje in FaceID zou zitten, is dat nog geen informatie die gebruikt kan worden om in de back-end de gegevens van de klant (of een andere klant) op te zoeken.

Dit is 100% een fout van ING, zoals ze zelf ook toegeven.

[Reactie gewijzigd door Herko_ter_Horst op 16 oktober 2023 15:04]

TheVivaldi
@Herko_ter_Horst • 16 oktober 2023 16:29

Dit is 100% een fout van ING, zoals ze zelf ook toegeven.

Dat is wat kort door de bocht. Formeel gezien heeft ING dat wel gezegd, maar ze hebben ook gezegd nog onderzoek te doen, dus “100%” is voor nu een beetje te boud gesteld.

vrow
@TheVivaldi • 16 oktober 2023 16:42

Nee, ik snap je punt wel en je bent bang voor fanboys enzo, maar nee: dit kan niet anders dan de fout van ING zijn.
Als je je verdiept in hoe een en ander werkt, zul je ook tot die conclusie komen.
Wat je ook genereert en instuurt vanaf de client kant, nooit mogen daar de gegevens van een andere klant uit volgen. En een hacker met ontzettend veel geluk kan nog de sessie-cookie van een andere sessie raden met ontzettend veel geluk dus, maar de eigen app moet dat natuurlijk nooit kunnen.

Herko_ter_Horst

@TheVivaldi • 16 oktober 2023 17:12

Het zou in theorie best kunnen dat de fout elders zit, maar het is in elk geval niet mogelijk dat een fout in FaceID dit veroorzaakt. Wat er fout zou kunnen gaan met FaceID (niet-geautoriseerde gebruiker toegang geven of in het "ergste" geval een "lek" dat onder omstandigheden toegang zou geven tot de ruwe data die FaceID gebruikt voor identificatie, zoals de "afbeelding" van het gezicht van de gebruiker) heeft 0 invloed op hoe een app daarmee omgaat om informatie op te halen.

Voor welke gebruiker informatie wordt opgehaald, bepaalt de app i.s.m. de back-end server die de opdracht van de app verwerkt. Daar zit gegarandeerd 0 FaceID-gerelateerde informatie bij.

Blizz
@TheVivaldi • 16 oktober 2023 18:27

Feiten:
- het ligt 100% niet aan Face ID
- het gebeurde in de app van ING
- het ligt aan iets dat ING heeft ingebouwd.

Herko_ter_Horst

@Bruin Poeper • 16 oktober 2023 18:15

Het is, op basis van mijn kennis van internet-technologie, onmogelijk dat er onderweg op het netwerk iets gebeurd dat er voor zorgt dat de app vraagt om de gegevens van persoon A en vervolgens de gegevens van persoon B binnenkrijgt, zonder dat dit de veroorzaakt word door/de schuld is van (de maker van) de app zelf of de (maker van) de back-end server.

Dit is in dit geval ING.

Bruin Poeper
@Herko_ter_Horst • 16 oktober 2023 18:26

Je bent erg stellig. En van mij mag je gelijk hebben.
Maar wellicht werk niet de hele communicatie keten via internet (waar jij kennis van hebt).
Er wordt voortdurend heel wat geschakeld tussen verbindingen.
Toegegeven, mijn ervaring stamt uit de tijd van draden en relaisjes, maar die kunnen nog ergens in de keten voorkomen. Ook electronische varianten kunnen kapot gaan (fout schakelen): kijk maar hoe vaak dat bij gewone apparaten gebeurt.

[Reactie gewijzigd door Bruin Poeper op 16 oktober 2023 18:34]

OverSoft
@Bruin Poeper • 16 oktober 2023 18:50

Het is onmogelijk dat die door een kronkel is de netwerk verbinding komt. Echt onmogelijk.

Op alle lagen van de communicatie is hier beveiliging voor ingebouwd, van TCP sessie IDs tot TLS sessies.

Dit is echt basis netwerk. Het is niet alsof er ineens een telefoonkabel omgestoken wordt.

Wat uiteraard wel kan is dat sessies op de servers door elkaar gehaald worden door een bug of caching probleem, maar dat dit “per ongeluk” gebeurd door een netwerk issue is gewoon onmogelijk.

OverSoft
@TheVivaldi • 16 oktober 2023 15:02

Als ING Face ID gebruikt zoals in de Apple iOS API specificatie wordt beschreven (wat zo is, want anders wordt de app niet goedgekeurd in de app store), dan kan dit niet zorgen voor een dubbele authenticatie.

Dat is onmogelijk, ook niet door "een foutje". Er zit namelijk helemaal geen informatie in deze authenticatie, enkel een boolean met true als je herkend bent of false als je niet herkend bent. Er wordt simpelweg niet meer informatie doorgegeven.

Als dit door een foutje (in iOS) wel zou zijn, zou het niet afhankelijk zijn van alleen een foutje in het OS, maar dan moet de ING moedwillig deze (onbeschreven) informatie gebruiken in zijn app EN op de server.
Lijkt me niet bepaald waarschijnlijk dus.

OverSoft
@TheVivaldi • 16 oktober 2023 18:43

Okee, laat ik het dan zeggen op een manier waarop je het wel snapt: het kan niet aan Face ID liggen. Onmogelijk.

Zo beter?

seapip
@OverSoft • 16 oktober 2023 14:51

Face ID kan ook naast alleen ja/nee teruggeven:
- (random) data signen met een private key, als je op je server bewijs wilt dat iemand toegang heeft
- (random) data beveiligd opslaan, handig als je lokaal wat wilt encrypten

Een combinatie van deze twee zorgt ervoor dat je veilig sessie tokens kan maken voor je web API en ook lokaal je app data kan versleutelen.

Random tokens die server side worden gegenereerd worden overigens in de praktijk nooit gecontroleerd op dubbelen, dit is vrij lastig als je meerdere instanties hebt en overbodig met een random token met genoeg entropy, kans is dan gewoon veel en veel te klein op dubbelen.

Overigens denk ik niet dat het hier gaat om een dubbele token, als dit een normale goede lange random token is met genoeg entropy is de kans gewoon veel te klein, kans is groter dat het data center afbrandt door een eend met een vlammenwerper.

Oftewel een data migratie fout of een bizarre SQL bug zoals hieronder genoemd is veel waarschijnlijker.

[Reactie gewijzigd door seapip op 16 oktober 2023 14:58]

OverSoft
@seapip • 16 oktober 2023 15:06

Dat klopt, maar signen en encrypten gebeurt niet met informatie die ingewonnen wordt door Face ID, maar gewoon encryptie keys die zijn opgeslagen in een trusted enclave.

In principe is het niet meer dan: "Als FaceID.authenticated dan encrypt of sign"

En het kunnen controleren op dubbele token zou niet heel moeilijk moeten zijn, meestal worden tokens opgeslagen op 1 plek.

theHoff
@seapip • 16 oktober 2023 16:29

Het zou ook nog een Redis cache/session issue kunnen zijn bijvoorbeeld. Waarbij door een bug of slechte inregeling een gecachte sessie aan de verkeerde gebruiker wordt geserveerd.

jhaan1979
@theHoff • 16 oktober 2023 17:15

Of een zeldzame collision op gegenereerde tokens.

Quinz
@OverSoft • 16 oktober 2023 15:08

Een dubbele uitgegeven token is inderdaad een mogelijkheid. Wat echter ook kan is een session fixation door middel van een bug.

Het volgende ben ik in de praktijk tegengekomen:

De klant logt in en krijgt vervolgens een authorisatie token. Met deze token matched de server de client en laat hij hem toe bij zijn data. Op de server leeft de token in een sessie. Echter draaien er (vanzelfsprekend) meerdere sessies op de server. Wanneer echter door een bug, timing issue of inconsistentie de sessie uitbreekt kan hij bij een andere sessie terecht komen en eventueel de token in een andere sessie overschrijven. De klant heeft zich dus correct aangemeld, maar zijn token is gekoppeld aan een ander profiel.

WhatsappHack

Privacy
ING BANK
Bank

@OverSoft • 16 oktober 2023 15:25

Yup, het hele FaceID ding is eigenlijk nogal irrelevante informatie in het proces. Het had ook kunnen gebeuren als ie gewoon met z'n ING-code inlogde of met de device pin (ter vervanging van FaceID).

DaveFlash
@OverSoft • 16 oktober 2023 16:38

dat is ook domme framing van de media, iig onder ios/macos geven faceid en touchid allebij alleen een boolean door: false or true. niets meer niets minder.

Cyb
@OverSoft • 16 oktober 2023 21:05

Wat mij het meest waarschijnlijk lijkt, is dat er per ongeluk een dubbele token is uitgegeven. Deze kans is zo ontzettend klein, maar het is dus duidelijk een keer gebeurd. Een luie programmeur is dus vergeten om te checken of een token al bestaat, nadat deze is gegenereerd.

Kunnen natuurlijk ook andere problemen zijn die hier al genoemd zijn, zoals een hash collision, of bijv. concurrency bugs in code, of database transactie isolatie problemen. Concurrency bugs komen veel voor. De meeste programmeurs kennen de gevaren ervan namelijk niet, wat gemakkelijk kan leiden tot situaties waarin code 99.99% van de tijd goed werkt, en die ene 0.01% daardoor niet op wordt gemerkt door de programmeur. Ook database isolatie problemen komen vaak voor, wat kan leiden tot aan het ene uiterste kan leiden tot performance problemen, en aan het andere uiterste kan leiden tot corruptie van data integriteit.

mphilipp
@Keypunchie • 16 oktober 2023 14:37

Als je een toestel overneemt, en dus de SIM kaart verandert, wordt de app gereset en moet je je opnieuw aanmelden en je identificeren. Dat is het dus niet.

Dit lijkt mij eerder het gevolg van een hele vage bug die door deze persoon ontdekt is, waardoor je per toeval hetzelfde access token oid toebedeeld krijgt en zo een (ook) ander rekeningnummer. Je kunt immers ook andere rekeningen toevoegen, bijvoorbeeld van vrouw of kinderen. Zoiets is er denk ik fout gegaan, ondanks dat banken daar best wel wat beveiligingen voor hebben. Niet om het te bagetaliseren, maar dit is voor het eerst dat zoiets voorkomt. Zou natuurlijk helemaal nooit voor mogen komen, maar ja...shit happens. Het is denk ik echt een toevalstreffer geweest, want anders had het beslist vaker voorgekomen. Zeer zeker een kwalijke zaak, maar ik vermoed dat er bij andere banken nu ook wel even goed gekeken wordt of zij dit probleem ook niet hebben, just to make sure.

TheVivaldi
@mphilipp • 16 oktober 2023 14:49

Als je een toestel overneemt, en dus de SIM kaart verandert, wordt de app gereset en moet je je opnieuw aanmelden en je identificeren. Dat is het dus niet.

Opnieuw aanmelden, ja, maar opnieuw identificeren niet. Althans, mijn vader is onlangs overgestapt naar een nieuwe telefoon en hij hoefde de ING-app alleen opnieuw aan te melden, maar opnieuw identificeren was niet nodig.

Edit: dit was op Android.

[Reactie gewijzigd door TheVivaldi op 16 oktober 2023 16:35]

mphilipp
@TheVivaldi • 16 oktober 2023 16:06

Mijn ING app is onlangs 2x achter elkaar op mysterieuze wijze gereset, en ik moest mij opnieuw aanmelden én een foto van mijn id tonen. Ik vertrouwde het niet en heb de ING fraudelijn gebeld. Wie weet was dit een nieuwe truuk en ik wilde het zeker weten. Zij zeggen dat het wel eens voorkomt als de app iets verdachts 'ziet' op de telefoon. Wel vreemd dat ie dan niet iets zegt, want dat kan belangrijk zijn. Maar goed, het is gelukkig bij die 2x gebleven. App opnieuw gedownload enzo en alles weer goed.
Dus in principe zou je zeggen dat die app best wel veilig is; misschien wel iets tè veilig. Maar helaas...

ikweethetbeter
@TheVivaldi • 16 oktober 2023 15:11

Opnieuw aanmelden, ja, maar opnieuw identificeren niet. Althans, mijn vader is onlangs overgestapt naar een nieuwe telefoon en hij hoefde de ING-app alleen opnieuw aan te melden, maar opnieuw identificeren was niet nodig.

Bij een nieuwe iPhone moet je je gezicht (voor toestellen met Face ID) of vingerafdruk (voor toestellen met Touch ID) opnieuw inleren.

WhatsappHack

Privacy
ING BANK
Bank

@TheVivaldi • 16 oktober 2023 15:33

Dat is apart, want ze vragen tegenwoordig voor elke inlogpoging identificatie d.m.v. ofwel een foto van ID-kaart of een filmpje van jezelf waarin je wat random worden opblaat. (Wat denk ik met AI nogal makkelijk te manipuleren valt, maar okee.)

TheVivaldi
@WhatsappHack • 16 oktober 2023 16:36

Klopt, bij het openen van een rekening wel, maar bij identificatie niet. Althans, niet op mijn vaders nieuwe telefoon. Hij ging wel van Android naar Android, misschien dat het daar iets anders werkt dan op een iPhone.

jhaan1979
@TheVivaldi • 16 oktober 2023 17:17

Dan kunnen er 2 dingen aan de hand zijn:

De uitgegeven token (bewijs van identificeren) staat opgeslagen in je google account, en daarmee in de cloud. Het inloggen op een nieuwe telefoon download dan die data weer en je kunt verder waar je gebleven was.

De telefoons stonden in contact met elkaar en konden de data uitwisselen (by design voor gemakkelijk overstappen), via zo'n NFC transfer oid.

[Reactie gewijzigd door jhaan1979 op 16 oktober 2023 17:18]

Jasper Janssen
@mphilipp • 16 oktober 2023 17:43

De sim kaart heeft niets te maken met de ing app.

mphilipp
@Jasper Janssen • 17 oktober 2023 00:10

Misschien nu niet meer, maar een paar jaar geleden wisselde ik van abo en het moment dat ik mijn foon opstartte met de nieuwe SIM, kreeg ik een melding dat ik 2 dagen geen transacties kon doen omdat de SIM gewisseld was. Geen idee of ze dat nu nog steeds hebben, maar toen in ieder geval was er wel degelijk een verband.

OverSoft
@mphilipp • 17 oktober 2023 08:14

Ter bevestiging: dit is nog steeds zo, al weet ik niet helemaal hoe ze aan die info komen.

Als je van telefoon wisselt met een Odido eSIM, moet er een nieuwe eSIM aangemaakt worden (bij Odido kun je deze niet overzetten). Dit invalideert direct je ING app sessies. Je krijgt vrijwel direct een SMSje van ING.

Hoe ze dit precies doen weet ik niet, het lijkt me privacy technisch gezien namelijk nogal een dingetje als een telecom operator dit soort dingen doorgeeft aan derden.

Wellicht dat de ING app zelf detecteert dat er iets met de SIM is gebeurd, al heb ik dit niet gehad toen ik er een vakantie SIMetje in heb gestoken.

/edit:
Ik heb het even opgezocht, de ING heeft inderdaad een samenwerking met telecomoperators om SIM wissels door te geven.
Bron: https://www.ing.nl/partic...n/mijn-ing/geen-sms-codes

[Reactie gewijzigd door OverSoft op 17 oktober 2023 08:19]

tweakert4plus
@OverSoft • 17 oktober 2023 12:23

(Van jouw vermelde ING-url)

Vervolgens blokkeert ING de betreffende telefoonnummers gedurende 12 uur voor internetbankieren en stelt de klant hiervan per SMS op de hoogte.

Mocht een criminele/fraudeur deze sim switch hebben uitgevoerd, ontvangt deze niet-eigenlijke-eigenaar-van-de-nieuwe-sim dan niet dat 'waarschuwende' smsje?

OverSoft
@tweakert4plus • 17 oktober 2023 12:41

Daar lijkt het wel op inderdaad.
Maar dit is slechts een stap van de authenticatie, want een andere telefoon moet zich opnieuw aanmelden ING (met behulp van je pasje), dus de "nieuwe eigenaar" kan (in ieder geval met de ING app) niets.

tweakert4plus
@OverSoft • 17 oktober 2023 12:51

Als de eigenaar zelf de simswitch heeft uitgevoerd/laten uitvoeren dán wordt zhij ingelicht over iets wat zhij al weet,
echter als de fraudeur wordt ingelicht weet de eigenaar/slachtoffer hier alsnog niets van.
Vreemde procedure van ING.
Aan de ene kant natuurlijk goed dat deze samenwerking er is tussen telecomprovider en ING(/alle banken!), er zullen fraudeurs door worden gestopt,
echter toch ook weer een privacy-kwestie (zoals jij al melde) dat er zonder-jouw-weten dit soort prive-gegevens worden gedeeld.

Edit: Lees net dat de Kifid ook vindt dat deze procedure een aantal haken/ogen bevat:
https://www.security.nl/p...+klant+na+simkaartwissels

[Reactie gewijzigd door tweakert4plus op 17 oktober 2023 14:12]

OverSoft
@tweakert4plus • 17 oktober 2023 15:57

Heel toevallig heb ik exact hetzelfde meegemaakt als in dat artikel. Het weekend dat de iPhone 15 uit kwam wilde ik een nieuwe eSIM aanvragen (vanwege een nieuwe telefoon) bij Odido. Door een storing in hun eSIM infrastructuur konden ze wel een eSIM aanmaken, maar niet activeren. Tijdens het "proberen" door de helpdesk heb ik in totaal 3 verschillende eSIMs gekregen.

De activaties kwamen blijkbaar in een queue te staan, waardoor in korte tijd in eens door alle 3 de SIMs heen gelopen werd en ik dus feitelijk 4 verschillende SIM kaarten heb gehad in korte tijd.

ING app was geblokkeerd. Ben op maandag even bij een lokale ING balie langsgegaan om hem weer te activeren. Vond het niet zo'n probleem, maar kan me voorstellen dat als het je enige rekening is en je kan niet bij je geld, dat je een beetje in paniek raakt.

Maar om nou een zaak aan te spannen en schade vergoeding te eisen...

mphilipp
@OverSoft • 17 oktober 2023 10:44

Ik ben net terug van vakantie, en daar heb ik een sim kaartje gekocht. Mijn telefoon gebruikt een e-sim, dus ik kan makkelijk een sim kaartje bijprikken. Mijn Vodafone e-sim werd in de settings uitgeschakeld en de fysieke sim geactiveerd. En ik kon gewoon nog de ING app gebruiken. Dus dat betekent dat ie niet echt kijkt of de sim er is of actief is, maar idd een signaal van de provider krijgt dat de sim niet meer in gebruik is/gewisseld is.
In principe kunnen ze toch niets met mijn telefoon als ze 'm stelen. Goede wachtwoorden/lange pincodes enzo, dus de bank app gebruiken gaat niet lukken.

ShatterNL
@Keypunchie • 16 oktober 2023 14:34

Ehrm, die gezichtsherkenning is een beetje een dwaalspoor lijkt me.

Jazeker, dat heeft hier niets mee te maken. Net als je vingerafdruk is zo'n gezichtsherkenning niets anders dan een soort lokale pincode.

Dit heeft waarschijnlijk gewoon te maken met een bug in sessiebeheer ergens. Iemand die iemand anders z'n sessie overneemt.

[Reactie gewijzigd door ShatterNL op 16 oktober 2023 14:35]

RobbieB
@Keypunchie • 16 oktober 2023 14:40

De gezichtsherkenning zou inderdaad niks moeten doen m.b.t. het rekeningnummer, evenals een lokale pincode van de app dat niet zou moeten doen. Het rekening nummer zou verbonden moeten zijn met een unieke identifier van het toestel. Daarom moet je een nieuw (of gewiped!) toestel ook altijd opnieuw aan je rekening koppelen.

Ik vraag me af of je een toestel van iemand over zou kunnen nemen die niet gewiped is, de face-id wijzigt en dan daarmee inlogt in de app die al op het toestel staat. Zou niet moeten mogen, maar is wel plausibel. Maar als dat het geval is, dan is het toch echt een gebruiker fout en niet van de ING.

Belangrijkste zaak voor ING is om uit te zoeken of dit vaker voor kan komen, wat hier dan de frequentie van is en hoe ze dit in de toekomst kunnen voorkomen.

[Reactie gewijzigd door RobbieB op 16 oktober 2023 14:41]

WhatsappHack

Privacy
ING BANK
Bank

@RobbieB • 16 oktober 2023 15:31

FaceID heeft een flag die aangeeft als deze gewijzigd is. Als het goed is vraagt je bankieren app na het wijzigen van FaceID dus een melding dat biometrics gewijzigd is en je eerst eenmalig met de code moet inloggen voordat je FaceID weer mag activeren om de Bankieren-app in te komen. Echter, als je iemand je toestel laat overnemen die niet gewiped is - dan moet je dus nog dommer zijn geweest door daarnaast ook nog je toegangscode te verstrekken aan de koper. (Anders kan je ook het toestel niet in, laat staan FaceID wijzigen.). Als je dat kan heb je mogelijk de pech dat je bank niet controleert of FaceID misgaat: in dat geval kan je met diezelfde toegangscode inloggen als FaceID meer dan 2x mislukt. De ING heeft hier toevallig wel netjes rekening mee gehouden en de flag binnen de app juist gezet: als FaceID 2x mislukt: dan moet je je ING-code invullen; de toestelcode wordt niet gevraagd door de iPhone.

[Reactie gewijzigd door WhatsappHack op 16 oktober 2023 15:31]

seapip
@Keypunchie • 16 oktober 2023 14:41

Zou me niet verbazen als de token aan het verkeerde account gehangen is bij een handmatige database migratie. En dat de token afdoende is om automatisch een sessie te starten met het account er aan gekoppeld.

Misschien gebruiken ze public/private key pairs met challenges die gesigned worden met face id om een sessie aan te maken, dat zou al veel veiliger zijn.

Overigens zou dit alsnog fout kunnen gaan als de public key van je face id aan de verkeerde account gehangen wordt.

Ik herriner me vergelijkbare problemen met andere apps (niet zover ik weet bij de ING app) waarbij de notificatie push tokens aan de verkeerde account waren gekoppeld en gebruikers dus notificaties van andere gebruikers ontvingen.

MrMonkE
@seapip • 17 oktober 2023 07:22

Hier dacht ik ook meteen aan.

Dit riekt naar hand werk

0 het schijnen er wat meer te zijn dan eerst vermeldt..hmm

[Reactie gewijzigd door MrMonkE op 17 oktober 2023 07:32]

xFeverr
@Keypunchie • 16 oktober 2023 14:46

Je hebt gelijk dat FaceID hier niks mee te maken heeft. De app vraagt aan het toestel om ‘owner verificatie’, dus controleren of het de eigenaar is die het toestel nu vast heeft. Je kunt dan ook nog specificeren dat die verificatie gebeurt met alleen biometrics (FaceID en touchID).

Verder gebeurt er niks. Het OS geeft door of de owner verificatie is gelukt of niet, en verder is het aan de app zelf om daar iets mee te gaan doen.

Zie ook de documentatie: https://developer.apple.c..._with_face_id_or_touch_id

Rippi
@Keypunchie • 18 oktober 2023 18:22

zover ik begreep had het te maken met nieuwe functionaliteit bij ING om je gebruikersnaam (alias) aan te passen. Daardoor kon je een zelfde alias hebben als een ander persoon. Zodoende kon men dus bij gegevens van anderen

Willem_54
@Keypunchie • 23 oktober 2023 13:07

Een gigantisch imagoprobleem voor ING. Nu proberen ze te beweren dat het alleen de 5 klanten betreft die het meegemaakt hebben.
Dat kan echter niet als het een softwareontwikkelaar is dat gemaakt is door een programmeur en die wijziging is gebrekkig of niet getest, dan kan het bereik veel groter zijn dan slechts vijf klanten.
Er moet toch e het een audit plaatsvinden door een gespecialiseerd buro.
De programmeur(s) en de leidinggevenden moeten door het stof, mogelijk zijn het inhuurkrachten.

Mark3146
16 oktober 2023 16:01

Het gebeurt dus vaker bij de ING. Zo kreeg mijn tweelingbroer ook toegang tot mijn ING rekening (dus ook geld overmaken) terwijl ik nergens meer bij kon. Ze hadden schijnbaar ons account samengevoegd omdat we dezelfde persoonsgegevens hadden (voornaam, geboortedatum etc). Nu was het gelukkig mijn familie maar het zijn gewoon aparte rekeningen en hadden nooit samengevoegd mogen worden.

Het allerergste is dus dat de ING je niks laat weten! Ze houden je niet op de hoogte, ze bellen niet eens terug. Nee ze blokkeren je bankpas en de rest vogel je zelf maar uit. Dan maar een andere bank...

TimDJ
@Mark3146 • 16 oktober 2023 17:11

Op zich apart om tweeling broers dezelfde voornaam te geven

Groningerkoek

Bedrijfsnieuws

@TimDJ • 16 oktober 2023 17:47

Dat klopt, maar zelfs al zou het 1 persoon zijn met 2 rekeningen dan nog mogen ze niet zomaar de rekeningen samenvoegen.

Mark3146
@TimDJ • 16 oktober 2023 17:52

Dat moest voorletter zijn ja. Foutje

anzaya
@TimDJ • 16 oktober 2023 17:46

andreetje
@TimDJ • 16 oktober 2023 19:42

Dat is makkelijker als je ze voor het eten moet roepen. Ik moet even denken aan een sketch van André van Duin. Bob-Bob-Bob-Bob-Bob.

Willem_54
@Mark3146 • 23 oktober 2023 13:09

Klopt mijn broer en mijn moeder werden ook al eens door elkaar gehaald, maar toen door de ABN.

Masvic
16 oktober 2023 14:33

Voor iedereen die niet begrijpt hoe zoiets kan gebeuren bij een groot bedrijf.

Bedenk je dat dit soort bugs bestaan:

"Async reader may return wrong results on MacOS, Linux, WSL, Docker #659"
https://github.com/dotnet/SqlClient/issues/659

Een extreem bizarre bug in de System.Data.SQLClient library... Waardoor je soms na een query de verkeerde resultaten terugkrijgt. Die zich alleen voordoet onder hoge load en op specifieke operating systems.

Gamebuster
@Masvic • 16 oktober 2023 15:39

Oef, die is mooi. Duurde ook maanden voordat een fix live was.

[Reactie gewijzigd door Gamebuster op 16 oktober 2023 15:41]

Willem_54
@Masvic • 23 oktober 2023 13:12

Inloggen bij je bankaccount moet je in de software altijd op je unieke bankrekeningnummer of IBAN nummer doen, nooit op naam.
Ik zou de broncode wel eens willen zien van het inlogprocessen en de benadering van het account.

Willem_54
@Masvic • 23 oktober 2023 14:17

Op welke Operating systemen? Daar ben ik benieuwd naar. Is er ook een CVE registratie?

DaveFlash
16 oktober 2023 18:35

LET OP, UPDATE: NOS op 3FM meld net dat deze rekeningverwisseling bij minstens 5 klanten plaats had dit weekend!

Edit: Artikel op NOS.nl is inmiddels live (19:03) https://nos.nl/artikel/2494313

[Reactie gewijzigd door DaveFlash op 16 oktober 2023 19:08]

Argantonis
17 oktober 2023 04:25

ING is de bank die er toch wel het grootste potje van maakt. Ben zelf al ruim 8 jaar geleden gestopt bij ze omdat ze je wachtwoord opvraagbaar of resetbaar (weet 't ff niet meer) maakten via een simpel SMSje. Toen ik toen vroeg waarom dat kon aangezien iemand dan alleen maar m'n telefoon nodig zou hebben om binnen te komen, zeiden ze dat ik dan m'n USERNAME (ook een random gegenereerde naam daar) maar geheim moest houden. Compleet gestoord.

BigSmurf
16 oktober 2023 14:26

Is er iemand met goede kennis van de infrastructuur bij banken hoe zoiets tot stand komt? Ik weet dat er veel met oude systemen wordt gewerkt en fouten maken is menselijk, maar ik snap werkelijk waar niet dat dit - met alle waarborgen die tegenwoordig moeten worden ingebouwd - überhaupt nog mogelijk is.

lenwar

Bank
Bedrijfsnieuws

@BigSmurf • 16 oktober 2023 15:32

Het zou ook niet mogelijk moeten zijn.

Ter achtergrond: In een notendop:
Je hebt een 'mijn ING-account'. Dit account (niet jij als persoon, maar het account) heeft versimpeld gezegd toegang tot jouw bankrekening en de informatie over jouw bankrekening (dat zijn twee verschillende dingen, maar niet relevant voor dit verhaal).

Je 'mijn ING-account' heeft een gebruikersnaam en een wachtwoord. Daarnaast heeft het ook een "MFA-tokens" in de vorm van unieke sleutels. De ene zit in de mijn ING-app. De andere zit 'aan' de Mijn ING app. De ene sleutel zit in de data van de app zelf (zie het als een soort gebruikersnaam binnen de app). De andere is op een iPhone opgeslagen in een 'speciale chip' op de telefoon.

Dit wil zeggen dat alleen de geïnstalleerde app bij die code kan en alleen onder bepaalde omstandigheden (dus bijvoorbeeld als de PIN-code is ingetoetst of zo).

Nu komt een cruciaal stuk. De volgende aanname geldt:
Die chip is 'perfect beveiligd'. De chip kan alleen worden uitgelezen met gezichtsherkenning of met het invoeren van de telefoon-PINcode in opdracht van een geregistreerde app die bij één specifieke code mag. (Of dit vertrouwen terecht is, maakt nu even niet uit. Dit is de aanname. Dit is het systeem van Apple). (dit is een versimpelde weergave - er komt meer bij kijken dan dit)

De ING vertrouwt (dus) dit beveiligingsmechanisme van de iPhone.
Dit wil dus zeggen, dat als de iPhone (de vertrouwde omgeving) zegt dat die ene code inlogt, dat dat voldoende vertrouwen is voor de ING om toegang te verlenen tot het account van de Mijn ING-omgeving. Dit betekent dus het volgende: Je gelaatsscan is niet hetgeen dat inlogt op de ING-app of bij de ING. De gelaatsscan geeft toegang tot die ene chip en haalt die ene sleutel op en geeft die door aan de app. De app bepaald vervolgens wat ermee gebeurd.

Let wel. Het mechanisme om de code in die chip te krijgen was vooraf doorlopen met een gebruikersnaam/wachtwoord combinatie. Eventueel zelfs met een stuk fysieke post er bij. (ik kan me herinneren dat ik een brief toentertijd. Ik weet niet hoe het nu verloopt). Aldoende betekent dit dus dat je zonder extra handeling de facto met MFA inlogt.

Zie het een beetje als jij met een niet-te-kopieren/vervalsen toegangsbadge in een bedrijf loopt. Dan ben je dus per definitie toegestaan om daar te lopen. Voordat jij die batch kreeg, moest je je legitimeren en mogelijk andere zaken om te bewijzen dat jij, jij bent. Je hoeft niet iedere dag opnieuw je legitimatiebewijs te laten zien en laten controleren of die nog geldig is. Jij hebt dit batch en 'dus' is het goed. (de vergelijking is uiteraard niet waterdicht, maar je snapt hem)

In een notendop: Dus doordat het in de telefoon krijgen van die data op een door de ING vertrouwde manier gaat, gaat de ING er vanuit dat het goed zit.

Wat hier dus verkeerd gegaan lijkt te zijn gegaan, is eigenlijk heel simpel. Het is één van de twee opties: Het Mijn ING account van persoon A had toegang tot de bankrekening enf/of de gegevens van de bankrekening van persoon B.
Of: de iPhone-codes van persoon A hadden toegang tot het Mijn ING account van persoon B.

Persoonlijk acht ik de tweede optie aannemelijker. Dus dat de fout daadwerkelijk bij de Mijn ING-software bij de bank lag en niet aan de centrale banksystemen waar de Mijn ING applicaties totgang tot hebben.

Hoe die fout er in heeft kunnen sluipen, is een hele vage. Dat kan echt van alles zijn. En zoals je zelf al aangeeft, zou het onmogelijk moeten zijn.

livePulse
@lenwar • 16 oktober 2023 17:09

Ik schat eerder de eerste optie, de iPhone zorgt alleen voor versleuteling om de app te openen, niet om connectie naar de bank te maken.

lenwar

Bank
Bedrijfsnieuws

@livePulse • 16 oktober 2023 18:49

Dan begrijp je me verkeerd (misschien was ik niet duidelijk genoeg)

Je Mijn ING account heeft een gebruikersnaam en een toegangstoken voor een app. Wat ik dus bedoel dat die toegangstoken aan het verkeerde account was gekoppeld. Dus de telefoon deed niks verkeerd.

Dat zou hetzelfde zijn als dat ik mijn Tweakers-gebruikersnaam ineens in jouw account zit.
Ik typ niet verkeerde credentials in, maar ik kom in plaats van op mijn user-nummer op de jouwe uit.

goodfella
@lenwar • 16 oktober 2023 23:31

M.a.w. je bedoelt dat de publieke keys van gebruiker, om de een of andere reden, zijn omgewisseld.

Bovenstaande is met de aanname dat de ING app met assymetrische sleutels en een challenge/response mechanisme werkt, om in te loggen.

lenwar

Bank
Bedrijfsnieuws

@goodfella • 17 oktober 2023 07:35

Dat kan. Het kunnen ook shared secrets/tokens zijn.
De communicatieversleuteling zal geregeld worden door de app. (Gewoon https).

Ik vermoed dat het in de praktijk een vorm van TLS cliënt certificaten of keypasses zijn. De exacte techniek is voor het verhaal niet zo relevant

(dus of de shared secrets of de public keys zijn verwisseld)

tweakert4plus
@lenwar • 17 oktober 2023 11:58

Om maar mee te speculeren:
a) ING gaf aan een change door te hebben gevoerd
b) 1 van de melders gaf aan dat de 4 eerste letters van de achternaam overeen kwamen

mss dat ING de gedachte had dat 4 letters uniek genoeg zou zijn, dat het maar 1 op de 10^6 zou voor komen dat beide personen (bv. Jansen & Janssen) precies op hetzelfde moment zouden proberen in te loggen.

En dat de change - controleer alleen eerste 4 char's van achternaam - tijdwinst zou opleveren, maar dit 'euvel' veroorzaakte.

jacket13
@lenwar • 16 oktober 2023 17:32

Ja, maar je weet niet welke systemen er allemaal achter zitten en in hoever deze toegang hebben tot jouw gegevens. (en eventueel inzicht hebben)

Mijn vermoeden ligt echt er bij dat het fout is gegaan tijdens een koppeling, Persoon A logt in, gegevens worden opgevraagd via systeem 1 > 2 > 3 en dan verstuurd naar de gebruiker. Aangezien je ook bij de ING je vaste uitgaven op een rijtje kan zien, zal daar ook het probleem liggen. Er zullen meerdere systemen zijn die allemaal via een koppel system bij jouw bankrekening kunnen zonder jouw autorisatie.

Nou komt dit vaker voor bij de ING, dit is niet het eerste geval. Je zou maar als persoon gewoon die bankrekening plunderen. Ik denk dat je dan echt de poppen aan het dansen hebt als ING zijnde. Maar goed ze staan ook bekend om dat soort zaken in een doofpot te stoppen.

Skamba
@BigSmurf • 17 oktober 2023 03:34

Dit soort issues komen bijna altijd door een probleem met caching of in de load balancer. Door een bug of fout in de configuratie kunnen die sessies door elkaar gaan halen.

Willem_54
@BigSmurf • 23 oktober 2023 14:26

Dat heb ik wel. Ik was programmeur/systeemanalist bij een grote bank.
Tegenwoordig gebruiken veel bedrijven een snelle ontwikkelmethode, daar kan het mis gaan.
Testen is vaak de sluitpost van een project en daarom komt het voor dat er summier getest wordt.
Regressietesten worden vaak vergeten of summier uitgevoerd. Zeker deze situatie aan de achterkant van systemen vergt een gedegen kennis en ervaring op de hele software keten.
In degelijke situaties worden securitytesten vaak uitbesteed, die voeren dan penetratietesten uit en daar komen vaak onverwachte resultaten uit tevoorschijn. Security testen is hier mogelijk niet uitgevoerd.
Het zou ook duidelijk moeten zijn of deze foutsituatie reproduceerbaar is.
Ik zou best eens graag de broncode willen inspecteren als studieobject.

[Reactie gewijzigd door Willem_54 op 23 oktober 2023 14:28]

nokie
16 oktober 2023 14:54

Het FD zocht ook contact met het slachtoffer waarvan de gegevens inzichtelijk waren. Deze persoon is uiteraard geschrokken van het incident en zegt niet door de bank op de hoogte te zijn gebracht. Ook de persoon die de gegevens kon zien, zegt niet verder te zijn ingelicht.

Ik zou ook wel geschrokken zijn als een krant mij contacteert met de info dat iemand anders toegang heeft gehad tot mijn bankrekening. Wel, eigenlijk zou ik het zaakje helemaal niet vertrouwen, ook niet.

Hoe kan het eigenlijk dat het FD weet over wie het gaat en zomaar contact met die persoon kan opnemen? Is die info dan gedeeld door de persoon die toegang had tot de bankrekening? Ik denk niet dat ik daarmee opgezet zou zijn...

SuperDre
@nokie • 16 oktober 2023 15:44

Juist, dat is toch wel iets dat mij nog meer verbaast. Hoe kan FD nu de gegevens van het slachtoffer hebben gekregen, dat is toch wel behoorlijk fout. Degene wie in de verkeerde bankrekening had gekeken had helemaal niet die informatie mogen verstrekken aan FD, en ING natuurlijk al helemaal niet. Als het je echt dwars zit kun je als slachtoffer natuurlijk gewoon naar de rechter stappen voor een schadevergoeding te eisen bij degene die dus de gegevens heeft verstrekt aan FD.

gebruiker1974
@nokie • 16 oktober 2023 16:30

Ik heb met het FD het bewijs gedeeld als achtergrond van mijn ervaring. Overigens had ik de bewuste persoon wiens bankrekeing ik inzag ook zelf binnen 2 minuten gevonden - een naam, woonplaats en linkedin doen wonderen

nokie
@gebruiker1974 • 16 oktober 2023 17:08

Ok, duidelijk dus waar ze de info vandaan halen.

Maar zoals gezegd, Ik zou het als slachtoffer echt niet fijn vinden dat je dit hebt gedaan, als ik eerlijk moet zijn. Ik zou er zelf in elk geval altijd voor kiezen om het bewijs anoniem te maken, dat kost je een paar streepjes paint, maar bewaart wél de privacy van de betrokkenen.

In dit geval is het ook allemaal heel snel gegaan, het is donderdagochtend gebeurd, en het staat vrijdagvoormiddag al in de krant. Dat betekent dat ING mogelijks niet eens de kans heeft gehad om de persoon in kwestie op de hoogte te brengen (zoiets kost voor een groot bedrijf altijd wat tijd, dat is misschien niet wat we zouden willen, maar vaak moeten wat procedures gevolgd worden, wat handtekeningen gezet worden, legal of zo moet zijn zegje hebben gedaan, ik neem aan dat ze het toch wat grondiger hebben proberen te onderzoeken voor ze een antwoord formuleren...)

Het is uiteraard ook een stukje aan de krant om hier wel of niet iets mee te doen, maar we weten allemaal dat sensatie boven alles staat in dat wereldje. Voorzichtigheid vind ik dus wel geboden.

jurroen
@nokie • 16 oktober 2023 23:44

Het is uiteraard ook een stukje aan de krant om hier wel of niet iets mee te doen, maar we weten allemaal dat sensatie boven alles staat in dat wereldje. Voorzichtigheid vind ik dus wel geboden.

Het is niet de Prive of Story waar we het iver hebben. Er valt ook genoeg te zeggen om een partij in te schakelen om het te melden, als je zelf bang bent voor repercussies, er geen zin in hebt om ermee te dealen of wat dan ook.

Nee een dergelijk bericht is niet fijn om te vernemen. Zeker niet van een journalistiek medium in plaats van de bank zelf. Maar dar zegt niets over de melder of het FD - maar spreekt in mijn ogen boekdelen over de ING. Zeker dat er naderhand geen reactie is geweest naar de betrokkenen.

Wees blij dat @gebruiker1974 het netjes meld, in plaats van mond te houden (of erger nog, er misbruik van maken). Dankjewel @gebruiker1974, ik ben zelf geen ING klant maar vind het wel heel goed dat je dit gemeld hebt.

nokie
@jurroen • 17 oktober 2023 08:39

Voor alle duidelijkheid: ik zeg nergens dat hij het niet had mogen melden, in tegendeel. Ik heb het alleen over het delen van persoonlijke gegevens met derden.

En mij zegt dit helemaal niets over de bank. Aangezien ze gisteravond pas met het bericht kwamen dat er 5 gevallen waren, lijkt het mij toch wel te wijzen op het feit dat ze de zaak nog aan het onderzoeken waren toen de journalist al naar een reactie vroeg van het slachtoffer.

En jawel, ik vind dat het vissen naar zo’n reactie nog altijd ruiken naar sensatie. Welke reactie denk je te krijgen door zo’n persoon op te bellen? Zou er iemand op zo’n moment reageren met “oh leuk, dat heb ik altijd al gewild”? Als je neutraal aan berichtgeving doet, dan doet de reactie er niet toe: iemand heeft dit gemeld, bank is er wel/niet mee bezig, dat soort dingen. De sensatie zit net in “slachtoffer is gechoqueerd”, dat is geen nieuws, dat dient om de verontwaardiging te voeden.

En zoals ik al zei, met alle phishing die er constant bezig is, is zo’n contact trouwens bijzonder louche en zou ik zelf nooit vertrouwen. Als men gebeld wordt door iemand die zich voordoet als een journalist en beweert dat iemand toegang heeft gehad tot je bankrekeningen, dan horen alle alarmbellen af te gaan.

tweakert4plus
@nokie • 17 oktober 2023 13:35

Zembla/FTM/ De Correspondent en andere diepgaande journalistiek 'vissen' ook om het gehele vehaal ingevuld te krijgen om het publiek in te lichten van wat er gaande is, Je voegt het FD toe aan het rijtje story prive's enzo die wel achterklap en sensatie aan het zoeken zijn.

Ik zou wel gelijk het idee krijgen dat als 'de FD' mij belt met dit nieuws, dat mijn reactie/vraag zal zijn:
"en nu wil je zeker dat ik mijn geld voor de veiligheid overboek naar een veilige kluis omgeving?

Gedurende het gesprek zal het wel uitgelegd worden en de vrees voor bankfraude wegvallen.
Vind het in dit geval dus niet zorgelijk dat de prive-gegevens zijn gedeeld , dit omdat het doel was om dit in het daglicht te brengen en daarbij het slachtoffer van groot belang is qua inbreng van informatie.

Dennisdn
16 oktober 2023 14:55

Een aanvulling die vanochtend op de radio verteld werd: de "andere klanten" waren zijn eigen kinderen.

*edit: ik dacht op 538 nieuws van de ochtendshow

[Reactie gewijzigd door Dennisdn op 16 oktober 2023 15:51]

wiseger

Bedrijfsnieuws

@Dennisdn • 16 oktober 2023 15:15

En hoe oud waren die kinderen? Je ouders inzicht geven in wat je uitgeeft en waaraan je je geld uitgeeft als (bijna) volwassen persoon, denk dat veel mensen dat erger vinden dan dat een anoniem persoon die gegevens heeft in kunnen zien.

bonus
@wiseger • 16 oktober 2023 15:37

Ik mag bij mijn zorgverlener nu mijn dochter 12 is geworden niet eens meer zien welke medicijnen en kosten zij maken voor haar. Ze moet nu eerst een Digi ID hebben en dan mij als vader toestemming verlenen alvorens ik het allemaal weer mag inzien. Hoe gek wil je het hebben...

jdh009
@bonus • 16 oktober 2023 16:00

Hoezo is dat gek? Dit is gebaseerd op de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en heeft te maken met het recht op privacy en zelfbeschikking van minderjarigen. Om zo de privacy en autonomie van oudere kinderen en tieners mogelijk te maken en waarborgen. Vanaf de leeftijd van 12 jaar worden kinderen geacht in staat te zijn om hierover zelfstandig beslissingen te nemen over hun eigen medische behandeling en informatie. Wat kortgezegd betekent dat zij het recht hebben om te bepalen wie toegang heeft tot hun medische gegevens en wie niet, inclusief jij als ouders en wat ze wel en niet willen met betrekking tot lichamelijke integriteit.

Zo kun je als tieners medische problemen hebben die door jou als gevoelig beschouwd kunnen worden, zoals seksuele gezondheid, psychische gezondheid of verslavingsproblemen. Waarbij een oordeel, stigma of represailles vanuit de ouders of voogd niet ongewoon zijn. Als gemakkelijke voorbeelden de pil, een abortus of morning-afterpil bij een meisje in een streng gelovige omgeving.

Waarbij het beleid zo is ontworpen dat jongeren de mogelijkheid hebben om vertrouwelijkheid te zoeken bij zorgverleners en open te zijn over hun gezondheid zonder zich zorgen te maken over het delen van medische informatie met hun ouders als ze dat niet wensen. Dan heb ik het nog niet eens over gezinnen waarij er sprake kan zijn van conflicten, misbruik of een gebrek aan vertrouwen van de tiener in de ouders.

Zowel op medisch als financieel gebied is het goed om kinderen uiteindelijk los te laten en hen de kans te geven om zelfstandig te groeien. Natuurlijk is belangrijk is dat ouders een zekere mate van begeleiding en controle uitoefenen, maar ik ben van mening dat het even belangrijk is om je kind de vrijheid te geven om zelf keuzes te maken, zowel goede als minder goede. Het is uit die fouten dat ze vaak de waardevolste lessen leren. Door ze de ruimte te geven om verantwoordelijkheid te nemen voor hun eigen gezondheid en financiën, bereidt je ze voor op de uitdagingen van het volwassen leven en kun je ze elpen te groeien/

[Reactie gewijzigd door jdh009 op 16 oktober 2023 16:02]

Malfoi
@jdh009 • 16 oktober 2023 16:09

Op zich compleet eens met wat je schrijft. Maar al met 12 jaar???

Goed, de grote vraag is: waar trekken we de grens? Bij 12, bij 15, 16?

Heb zelf geen kinderen maar als ik terug denk aan toen ik 12 was, volgens mij was ik met heel andere dingen bezig dan "in staat zijn om hierover zelfstandig beslissingen te nemen over hun eigen medische behandeling en informatie".

jdh009
@Malfoi • 16 oktober 2023 16:16

Die grens is door de overheid/wet dus getrokken bij 12 jaar:

De keuze om de leeftijdsgrens voor het zelfstandig geven van toestemming voor medische behandelingen op 12 jaar te stellen, is gebaseerd op verschillende overwegingen en juridische overwegingen in Nederland. Hier zijn enkele redenen waarom de leeftijd van 12 jaar is gekozen:

Ontwikkelingsniveau: Bij het bepalen van de leeftijdsgrens werd rekening gehouden met het gemiddelde ontwikkelingsniveau van kinderen. Rond de leeftijd van 12 jaar worden kinderen geacht in staat te zijn om enigszins zelfstandig en verstandig te beslissen over hun eigen zaken, inclusief hun medische behandelingen.

Internationale normen: De leeftijd van 12 jaar voor het geven van toestemming voor medische behandelingen komt overeen met internationale normen en richtlijnen voor gezondheidszorg en de rechten van het kind. Het sluit aan bij het idee dat kinderen naarmate ze ouder worden, meer betrokken moeten worden bij beslissingen over hun eigen gezondheid.

Balans tussen autonomie en bescherming: De leeftijd van 12 jaar biedt een balans tussen het recht van een kind op autonomie en zelfbeschikking en de noodzaak om kinderen te beschermen tegen mogelijk schadelijke beslissingen. Het erkent dat kinderen op die leeftijd in staat zijn om hun eigen wensen en voorkeuren kenbaar te maken, maar dat ze nog steeds de begeleiding en het toezicht van volwassenen nodig hebben.

Praktische overwegingen: Het instellen van een specifieke leeftijdsgrens maakt het voor zorgverleners duidelijk wanneer ze kunnen vertrouwen op de toestemming van de minderjarige patiënt en wanneer ze toestemming moeten verkrijgen van ouders of wettelijke vertegenwoordigers.

Het vermogen om toestemming te geven voor medische behandelingen op de leeftijd van 12 jaar kan relevant zijn voor situaties waarin minderjarigen toegang willen tot seksuele voorlichting, anticonceptie of seksueel overdraagbare aandoening (SOA)-testen zonder dat hun ouders daarbij betrokken worden.

In Nederland geldt bijvoorbeeld dat kinderen onder de 18 jaar beperkte financiële verplichtingen kunnen aangaan zonder ouderlijke toestemming. Voor sommige financiële transacties, zoals het openen van een bankrekening, kan een ouder of wettelijke vertegenwoordiger nodig zijn, ongeacht de leeftijd van het kind. De specifieke regels en leeftijdsgrenzen kunnen echter variëren, dus het is raadzaam om contact op te nemen met financiële instellingen (jdh009: Je bank dus) of juridisch advies in te winnen voor specifieke financiële kwesties met betrekking tot minderjarigen.

[Reactie gewijzigd door jdh009 op 16 oktober 2023 16:20]

Malfoi
@jdh009 • 16 oktober 2023 16:32

Bedankt voor de toelichting, @jdh009.

Ik had uit je eerdere post begrepen dat het 12 jaar is. Heb de redenering erachter nu ook gelezen. Er zullen vast een hoop wetenschappers en experts zijn geweest die hierover hebben gediscussieerd dus prima, maar persoonlijk vind ik 12 wel erg vroeg - zeker wat medische zaken aan gaat.

Jasper Janssen
@Malfoi • 16 oktober 2023 18:09

Ze zetten het liever wat te laag dan te hoog. En als je denkt dat er geen 13 jarigen zijn die heel urgent de morning after pil nodig hebben zonder tussenkomst van hun ouders… ik heb een grote stapel oud ijzer te koop, staat in Parijs. Je moet wel de toren zelf slopen ervoor.

uNoTopia
@Malfoi • 16 oktober 2023 16:15

Het antwoord op jouw grote vraag is 12.

hans235
@jdh009 • 16 oktober 2023 16:11

En als ze een jongeren rekening hebben die onder jouw bankrekening hangt, dan verdwijnt deze op de dag dat ze 18 worden uit jouw overzicht. geheel automatisch en vanzelf :-)

djwice
@bonus • 16 oktober 2023 15:47

"gelukkig" zie je die gegevens "gewoon" bij je zorgverzekeraar, je ziet die gegevens zelfs van je partner...

[Reactie gewijzigd door djwice op 16 oktober 2023 15:48]

hans235
@djwice • 16 oktober 2023 16:13

Gelukkig hebben ze het bij mijn zorgverzekeraar beter geregeld. Dat van mij en mijn vrouw is strikt gescheiden en we zien niets van elkaar (niet dat ik daar wakker van zou liggen overigens...) ondanks dat we samen (met volwassen kinderen) op 1 polis staan.

djwice
@hans235 • 16 oktober 2023 16:33

Welke zorgverzekeraar is dat? CZ zei tegen ons dat scheiden van die gegevens niet kon als je op een polis zit en dat het een wettelijke verplichting was dat het zo werkte.

hans235
@djwice • 18 oktober 2023 15:00

Zorg en Zekerheid.

djwice
@hans235 • 18 oktober 2023 17:56

Grappig, dat is het zelfde bedrijf.. volgens Google "Hoe heette Zorg en Zekerheid vroeger?"

Maar dat lijkt me fout. Zeeland vs Leiden.

[Reactie gewijzigd door djwice op 18 oktober 2023 17:58]

CyBeR
@bonus • 16 oktober 2023 16:02

Hoe gek wil je het hebben...

Dat is hoe we zorgen dat we bijvoorbeeld meisjes kunnen voorzien van anticonceptiemiddelen e.d. zonder dat hun extreem-religieuze anti-alles ouders zich er mee bemoeien.

eNaSnI
@CyBeR • 16 oktober 2023 16:11

Alsof dat alleen iets is dat meisjes nodig hebben...

CyBeR
@eNaSnI • 16 oktober 2023 16:40

Nee, maar jongens kunnen 't gewoon bij de supermarkt halen.

eNaSnI
@CyBeR • 16 oktober 2023 16:44

Niet vergeten cash af te rekenen dan

CyBeR
@eNaSnI • 16 oktober 2023 16:56

Dat hoeft ook niet per sé aangezien er geen specificatie van wat je gekocht hebt op de pin-transactie staat.

Groningerkoek

Bedrijfsnieuws

@CyBeR • 16 oktober 2023 18:01

Tot je ouders je bankkaart koppelen aan een supermarktaccount. Mijn vrouw kan precies zien hoeveel en welke koeken ik dit jaar heb gekocht

Zou de gok niet durven nemen als het iets zeer gevoeligs is.

gebruiker1974
@wiseger • 16 oktober 2023 16:29

Dit verhaal heeft niets met kinderen te maken

wiseger

Bedrijfsnieuws

@gebruiker1974 • 16 oktober 2023 16:54

Ik reageerde op Dennisdn die stelde:

Een aanvulling die vanochtend op de radio verteld werd: de "andere klanten" waren zijn eigen kinderen.

Of dat waar is of niet, dat weet ik niet. Heb het niet zelf gehoord.

gebruiker1974
@wiseger • 16 oktober 2023 17:02

Hi - ik ben de bewuste ING klant die de rekening van een wildvreemde kom inzien. En ik kan bevestigen dat het niets met kinderen te maken heeft ;-)

MacGyverNL
@wiseger • 16 oktober 2023 15:44

Ik denk ook niet dat 't punt was dat dit het minder erg maakt, maar dat 't voor veel mensen de vragen "HOE DAN?!" en "WTF is er aan de hand?!" in ieder geval een béétje kan verklaren. Je bitflipt niet zomaar "Jan Janssen" naar "Henk Henksma" maar opeenvolgende rekeningnummers of bij elkaar liggende namen is wat minder ondenkbaar.

En 't kan ook verklaren waarom de woordvoerder van de bank dacht "Er is wel contact geweest" -- de namen zouden overeen kunnen komen, of iemand heeft gedacht "Oh als we alleen de ouders inlichten dan komt 't via hun wel bij de kinderen" (wat natuurlijk om exact dezelfde reden als die je aanhaalt absoluut niet de bedoeling is).

edit: Maar dit lijkt dus allebei niet wat er aan de hand was, aldus de reactie van gebruiker1974, dus wat mij betreft zijn we terug bij "HOE DAN?!"

[Reactie gewijzigd door MacGyverNL op 16 oktober 2023 17:04]

Jasper Janssen
@MacGyverNL • 16 oktober 2023 18:10

Het gaat eerder om login tokens die een collision gehad hebben, of dubbel uitgegeven zijn.

RobinR
@Dennisdn • 16 oktober 2023 16:00

De persoon in kwestie zelf (zie comment van gebruiker1974) geeft aan dat het niet zijn EIGEN kinderen waren maar andermans kinderen

gebruiker1974
@RobinR • 16 oktober 2023 16:28

Nee - kinderen hebben er niets mee te maken

floens
@Dennisdn • 16 oktober 2023 15:45

Dat is toch wat anders dan wat er in het FD staat

‘Maar in plaats van mijn eigen rekening, opende de app de rekening van een wildvreemde op mijn telefoon’, vertelt de ING-klant over het gebeurde aan het FD.

SuperDre
@Dennisdn • 16 oktober 2023 15:46

ahhh, dus het ligt dus al een stuk anders. En mogelijk dat de persoon al ooit inzicht had gehad in hun bankrekening maar dat die later is opgeheven, maar door een fout toch weer geactiveerd is geweest.
Zo zie je maar weer dat het weglaten van belangrijke informatie het weer een ander beeld schept dan wat er werkelijk gebeurd is.

Oekol
@Dennisdn • 16 oktober 2023 15:50

Dat geeft in ieder geval meer strekking, maar neemt niet weg dat dit een grote fout is.

Zit zelf al jaren bij ING en daarvoor bij de Postbank en zie mijzelf niet snel weggaan. Echter...
Mijn zus en ik delen dezelfde initialen en uiteraard dezelfde achternaam. Voor de rest is alles anders: van adres tot geboortedatum tot bankpas etc.

Toch kon het gebeuren dat ik ineens in mijn app een rekening geopend zag worden samen met de naam van haar toenmalige vriend voor de hypotheek van het huis dat ze gekocht hadden. Had er zelfs post over gekregen en hij ook. We waren dus tijdelijk voor ING een stelletje geworden. Ik heb dit direct gemeld bij mijn zus en zij is op hoge poten naar de bank gegaan. Vond het toen al vreemd dat dit kon gebeuren en zelf nooit response gehad van de bank.

Keypunchie
@Dennisdn • 16 oktober 2023 16:03

Dat is niet wat @gebruiker1974 claimt: gebruiker1974 in 'ING-klant had tijdelijk toegang tot bankrekening andere klant'

DeDaaf99
@Dennisdn • 16 oktober 2023 16:05

Jaren geleden zijn mijn gegevens bij de ING verwisseld met die van een ander (The Other One). The Other One heeft dezelfde initialen, achternaam en geboortedatum. Ik heb destijds op verschillende wijzes geprobeerd dit te laten herstellen. Dit is ze uiteindelijk (na zeker 4 jaar proberen) NIET gelukt. Ik ben weggegaan bij de ING. Wat een rommel daar.

Overigens maken andere organisaties (zoals politie) ook wel eens deze fout. Maar die zijn vaak van mildere aard, zoals mij bellen ipv The Other One.

Floris4970
16 oktober 2023 14:26

Ik snap eigenlijk nooit wat voor mismanagement je hebt als dit soort dingen mogelijk zijn..

Ik hoorde dat ze daar zoveel engineers op hun apps hebben zitten dat er hele teams verantwoordelijk zijn voor één enkele view of button in de app.

Nog altijd van mening dat je met een klein team echt goede engineers echt een hele mooie app kan neerzetten. Zoveel engineers maakt dingen allemaal veel te complex. Je creëert werk door maar te blijven overleggen en brainstormen over nutteloze features. En uiteindelijk werkt alles gewoon net niet (of slecht zelfs)

T-men
@Floris4970 • 16 oktober 2023 14:32

Ik snap eigenlijk nooit wat voor mismanagement je hebt als dit soort dingen mogelijk zijn..

Het is software... daar zitten soms bugs in. En je kunt testen wat je wil, je kunt nooit garanderen dat code 100% bug-vrij is.
Niet goed, maar sh*t happens

Stpan
@T-men • 17 oktober 2023 06:01

Ik heb het met je eens, foutloos bestaat niet. En een fout betekent niet gelijk mismanagement.

Toch wat kleine kanttekeningen:
1. Dit is echt het core- core- core- product van ING. Inloggen en je bankrekening checken, en je gegevens beschermen. Ik vind sh*t happens een te lichte instelling.
2. ING heeft het over 1 losstaand geval, en vervolgens blijken er (minimaal) 5 andere gevallen. Ze lijken niet echt in controle van hun core- core- corest of the core proces. Dat is toch vrij zorgelijk.

T-men
@Stpan • 17 oktober 2023 15:22

Je stapt over het "niet goed" gedeelte in de zin heen.
Ik ben het volledig met je eens dat dit, zoals je zelf zegt "vrij zorgelijk" is.

Mijn "sh*t happens" is dan ook geen kwalificatie van de ernst van het probleem, maar meer als constatering dat het in de praktijk nu eenmaal gebeurt. Dat is niet meteen een gevalletje "mismanagement", wel een ernstig technisch probleem.

Floris4970
@T-men • 16 oktober 2023 14:36

Ben ik het niet mee eens. Dit soort dingen moeten "by design" niet kunnen. Dit soort fouten vallen niet onder "shit happens"

nowaychose
@Floris4970 • 16 oktober 2023 15:23

Een bank gaat, met goede reden, geen eigen database of netwerk stack schrijven. Toch kunnen daarin bugs zitten die iets als dit veroorzaken.

T-men
@Floris4970 • 16 oktober 2023 14:43

"Achteraf kijk je een koe in zijn kont !" zegt het spreekwoord.

Met jouw opmerking suggereer jij dat ING geen processen heeft ingebouwd om dit soort bugs op te sporen. Die zijn er zeker wel !
Blijkbaar is er een onverwachte/voorspelde situatie opgetreden waardoor het mis is gegaan. Al doe je nog zo je best, dit kan nu eenmaal gebeuren.

Nogmaals: niet goed ! Maar de praktijk vertelt dat het wel zo is.

Croga
@T-men • 17 oktober 2023 05:12

Nee, hij sugereert dat er een basale ontwerpfout in de app zit.

Dit soort dingen moet er niet bij testen uit komen. Er moet een basaal ontwerp zijn wat dit soort dingen onmogelijk maakt. En dat kan heel erg goed. Hier is gekozen voor een ontwerp waar dit probleem mogelijk is en je kunt testen wat je wilt maar dat zal een keer fout gaan.

Puddi Puddin
@Floris4970 • 16 oktober 2023 14:47

By design niet kunnen bestaat niet. Het is door mensen gemaakt en mensen maken fouten. Sowieso is alles op het internet niet veilig te noemen.

dev10
@Floris4970 • 16 oktober 2023 14:56

Ben je toevallig zelf softwareontwikkelaar? Zo ja, hou je dan ook echt rekening met elke absurde mogelijkheid van combinaties in je code?

Dit soort fouten vallen niet onder "shit happens"

Dat doen het ook niet, daarom wordt er ook uitgebreid over bericht in de media. Reken er maar op dat er een heel aantal mensen zijn die flink hebben zitten zweten toen dit naar buiten kwam en niet alleen vanwege de negatieve berichtgeving.

The Third Man
@Floris4970 • 16 oktober 2023 15:18

Dit is exact wat shit happens betekent. Je kadert alles af, je test alles door en door en toch gebeurt er eens in de paar jaar zo'n incident. Dat is de shit. Als je het terug gaat zoeken is het vaak een optelsom van fouten en ontbrekende checks, het 'swiss cheese model'. En juist door dat model waarbij het 99,999% van de keren wel goed gaat, merk je niet dat er een scenario bestaat waarbij het toch mis gaat. Nu ook zullen ze dit incident gebruiken om ook dat gat af te kaderen, maar er zit vast nog wel ergens anders een gat. En wellicht komen we daar over 5 of 50 jaar ook weer achter.

ID-College
@Floris4970 • 16 oktober 2023 14:44

Waar gewerkt wordt vallen spaanders. Het is al een eeuwenoud gezegde en zal altijd waarheid zijn. Leuk dat jij het er niet mee eens bent (of de waarheid ontkent) maar dit gebeurt gewoon. Als je dat niet begrijpt of kan begrijpen dan schort er ergens anders iets..

Floris4970
@ID-College • 16 oktober 2023 15:46

Wat bedoel je daar nou mee?

Tweakert2020
@Floris4970 • 16 oktober 2023 21:25

Dat er overal en altijd bugs zullen blijven, of je het nu leuk vindt of niet

IrBaboon79
@ID-College • 16 oktober 2023 22:38

Grappig - Die gebruik ik altijd als er weer zo’n manager met een ‘clean desk policy’ zwamverhaal aankomt

kodak

Bedrijfsnieuws
Privacy

@Floris4970 • 16 oktober 2023 15:22

Ik ben het met je eens als je daarmee stelt dat het niet hoort te gebeuren. Maar dat is voor mij wat anders dan dat het niet kan gebeuren ondanks dat men het ontwerpt om te voorkomen.

De fout zit niet zomaar in het ontwerp, dus kun je daar je stelling niet zomaar op baseren dat het daarin niet moet kunnen. Als verantwoordelijken kun je een prima ontwerp maken terwijl het bij andere delen van de ontwikkeling, configuratie, testen, onderhoud of ander menselijk proces mis gaat. Dan kun je stellen dat het daar ook niet moet kunnen, maar ook dat is te makkelijk als je iets wil voorkomen.

Bij beide stellingen toon je op geen enkele manier aan rekening te houden dat er fouten gemaakt kunnen worden. Terwijl het duidelijk is dat dit een nogal unieke situatie was. Bedenk even dat er vele miljoenen tot miljarden keren toegang is gecontroleerd om digitaal gebruik van de bank gebruik te maken en het nu een keer mis lijkt te gaan. Dan kun je wel heel stellig doen dat er geen foutmarge mag zijn, maar dan lijk je eerder weinig op te hebben met de realiteit dat fouten niet zomaar uit te sluiten zijn.

Elidibus
@T-men • 16 oktober 2023 14:36

Eens, maar dit is theoretisch toch een onmogelijk voorkomende bug. Of gezichtsherkenning je nu binnen laat of niet, het inloggen onder een ander gebruikers account in combinatie met een andere gezichtsherkkenings unlock is toch echt een bizarre bug. Dit betekend dat niet alleen de request verwees naar een ander account, maar ook de andere (onjuiste) credentials matchte met de gebruiker. Dit zijn m.i. meerder bugs, elk die een foutmelding hadden moeten gooien.

kodak

Bedrijfsnieuws
Privacy

@Elidibus • 16 oktober 2023 14:58

het inloggen onder een ander gebruikers account in combinatie met een andere gezichtsherkkenings unlock is toch echt een bizarre bug

Er staat niet dat het door de gezichtsherkenning kwam. Wel zijn er, zoals door @Keypunchie aangegeven, argumenten dat de gezichtsherkenning er eerder niets aan bijgedragen heeft. Dat je het als combinatie blijft zien maakt het probleem niet zomaar groter dan minimaal een beveiligingsbug.

Elidibus
@kodak • 16 oktober 2023 15:29

Ongeacht welke methode, of het nu gezicht, fingerprint, password/code/key, extern kastje... Het blijft gewoon vreemd dat je ineens kan inloggen in een ander zijn account. Er werd al in een andere comment gespeculeerd over hashes die gelijk zouden kunnen zijn geweest. Hoe dan ook is het gewoon vreemd dat je met jouw specifieke credentials kan inloggen op een ander zijn account. In mijn ogen is dat een fundementeel probleem en geen incident.

k995
@Elidibus • 16 oktober 2023 16:25

Als dit eenmalig is dan is dit een incident. Meermaals een probleem.

En ja shit happens overal met kleine grote teams, competente incompetente medewerkers dat zal gebeuren . Vraag is hoe je ermee omgaat.

PCG2020
@Elidibus • 16 oktober 2023 16:44

Wanneer het een fundamenteel probleem zou zijn, zou het ook veel vaker voorkomen. Dan zouden er om de haverklap mensen inloggen op 's andermans account. Reken maar dat zoiets een veel groter probleem zou zijn, want dan lijden er geheid mensen financiële schade en dat zou dan zéker het nieuws halen.

edit: Het lijkt er op dat er toch iets meer aan de hand is:

Niet één, maar vijf ING-klanten konden bankgegevens van een vreemde inzien

Dan is het geen incident of toeval meer maar onderdeel van een groter probleem.

[Reactie gewijzigd door PCG2020 op 16 oktober 2023 19:38]

hoeksmarp
@Elidibus • 16 oktober 2023 14:42

Zoals al meer bediscusiëerd zijn de credentials (gezichtsherkenning) lokaal aan het toestel verbonden. Dus het gaat daadwerkelijk alleen om welke sessie gekoppeld is aan jouw toestel (of op welk account jouw toestel mag inloggen). De nieuwe inlog met gezichtsherkenning is alleen lokaal. Maw: Waarschijnlijk is het maar één bug, maar wel een vreemde.

Cergorach

Bedrijfsnieuws

@T-men • 16 oktober 2023 14:43

Het is niet alleen software, het is ook hardware wat niet 100% bug vrij is. Tel daarbij op dat je met tig interconnected systemen werkt en je heb heel veel points of failure.

@Elidibus Dit is geen mismanagement, dit is hoe de werkelijkheid werkt. Het is ruk als iets dergelijks voorkomt, maar het gebeurd. Dat komt omdat software/hardware/infra niet perfect hoeft te wezen, maar goed genoeg. Wat 'goed genoeg' is, is afhankelijk van het type bedrijf, in het geval van banken is die lat over het algemeen een stukje hoger dan bij bv. je glazenwasser bedrijf...

Je kan niet perfect eisen, als je niet perfecte (extreem hoge) prijzen betaald...

Elidibus
@Cergorach • 16 oktober 2023 14:47

Klopt, geen systeem is waterdicht, maar ik blijf dit een hele rare bug vinden. Daarnaast geef je aan dat als je hoge eisen hebt, je hiervoor moet betalen. Dit lijkt me bij banken namelijk wel van toepassing. We betalen allemaal enorm veel aan banken, geld dat we niet altijd op het eerste zicht zien. Ook de lage rente op sparen is een vorm van deze kosten. Daarnaast mag je vanuit de kernfunctie van banken meer verwachten.

Om nog maar te zwijgen over de afhandeling van ING...

andreetje
@Elidibus • 16 oktober 2023 19:47

De afhandeling lijkt niet netjes te zijn.

Voor de rest hoeft de fout helemaal niet van de ontwikkelaars van ING te zijn. De fout kan ergens in de VS, Japan of China gemaakt zijn.

ING is een grote bank. De kans is dus groter dat een klant van ING zoiets meemaakt.

Tweakert2020
@Cergorach • 16 oktober 2023 21:32

Dit heeft niks te maken met het betalen van hoge salarissen

Cergorach

Bedrijfsnieuws

@Tweakert2020 • 16 oktober 2023 21:43

En fouten maken heeft niets te maken met de hoogte van een salaris...

Tweakert2020
@Cergorach • 16 oktober 2023 21:59

Dat zeg ik

Cergorach

Bedrijfsnieuws

@Tweakert2020 • 16 oktober 2023 22:09

Waar geld wel mee te maken heeft is meer tijd en meer mensen die bezig zijn met betere software (processen, infra. etc.). tijd=geld Hoe dichter bij perfectie hoe significant meer tijd dat kost en daarmee geld.

Automark
@Floris4970 • 16 oktober 2023 17:52

Grote teams werkt vaak averechts, ik heb bij startups gezeten met 3 devs en bij organisaties met 500devs, met kleine teams weet iedereen van alles af, korter lintjes etc. Maar dat is bij echt grote apps vrijwel niet meer mogelijk

Tweakert2020
@Floris4970 • 16 oktober 2023 15:10

Vergeet niet dat er 25 jaar geleden ook al met legacy systemen werd gewerkt, en dat veel van dit soort dingen handwerk was.

SuperDre
@Floris4970 • 16 oktober 2023 15:40

Juist, als er hele teams op 1 klein ding als een button zit, dan ben je gewoon echt fout bezig.

pomp0m

16 oktober 2023 14:27

Dat zo iets gebeurt is jammer maar kan gebeuren en in 3/4 partij kring zo iets oplossen voordat het nieuws langskomt lijkt me logisch, maar de partijen niet inlichten (bij 1/2 partijen houden) schokt me wel . Dat is de minst proffesionele aanpak die ik verwacht

Problemen zijn 'niet heel erg', de afhandeling daarintegen is de volle waarde van je bedrijf.

benji83
@pomp0m • 16 oktober 2023 16:19

Dat laatste is wat ik in mijn 15 jaar als quality engineer altijd heb proberen uit te dragen. Een probleem kan gebeuren, dat begrijpt iedereen. Het kan erg vervelend zijn voor de klant, maar hoe jij je problemen oplost is het allerbelangrijkste. Openheid over het hoe en wat is daarbij bijna altijd de sleutel.
Dat ING hier steken heeft laten vallen richting zijn klanten zou voor mij de druppel kunnen zijn om mijn rekening daar heel erg snel weg te halen.

Automark
@benji83 • 16 oktober 2023 17:54

Daar hoef je geen qe voor te zijn, elk normaal denkend mens zou zo moeten denken, helaas blijkt dat niet zo te zijn,

andreetje
@Automark • 16 oktober 2023 19:39

Naar welke foutloze bank gaat dat normaal denkend mens dan?

HooksForFeet
@andreetje • 16 oktober 2023 22:29

Het gaat niet om of het een foutloze bank is. Het gaat erom of ze de fouten serieus nemen.

Totdat anders blijkt is dat dus iedere andere bank dan de ING.

1 2 3 4 5 Volgende

Op dit item kan niet meer gereageerd worden.

Vijf ING-klanten hadden tijdelijk toegang tot bankrekening andere klant - update

Lees meer

IT-banen

Reacties (322)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden