De app ING Bankieren zou sinds zijn uitgave in november een lek hebben bevat, waardoor kwaadwillenden met je acties konden communiceren. Het lek is inmiddels gedicht.
Sinds November al?? WOW wat een amateuristische sneue technische dienst hebben ze dan bij de banken zitten. Ik vrees nu al over hoe andere banken ook op die manier zouden kunnen falen… 😐
XIII
Security.nl meldde eerder vandaag al dat volgens de ontdekker de genomen maatregelen onvoldoende zouden zijn.
Lobmans
Wat ik me afvraag is waarom er bij die mobile bank-app’s gewoon ingelogd moet worden met username en password, terwijl ge online telkens zo’n kaartlezer nodig hebt?! Niet dat ik niet wil geloven dat die app’s veilig genoeg zijn, maar als het daar met enkel een username en password kan, waarom kan het op een gewone pc dan niet met enkel logingegevens?
Sjoerd
Onvoorstelbaar dit… Zit er aan te denken om binnenkort maar eens over te stappen naar een andere bank!
Dubish
No big deal.. Pff alsof alle andere banken het op orde hebben. De app van ING werkt geweldig, en is de beste wat mij betreft. Stop met zeuren mensen.
Mike
Ik las net dat het probleem alleen bij android had gespeeld?
P
Geen verrassing, geen enkele bank app is 100% veilig. Dat is pinnen ook niet. Mijn pas is net geblokkeerd vanwege scimmen.
Als je voorzichtig bent, hou het dan bij internet bankieren, is wat mij betreft voldoende.
devi
@Dubish: lol wat praat jij voor onzin. Geloof mij maar dat de Rabobank app echt wel beter is
heb ze beide gezien,,
ING is al maanden aan het prutsen
allemaal negatief in het nieuws, gaten hier, gaten daar
zelfs geld overmaken met alleen een code, ZO SLECHT
ING is echt een pruts bank
Jorn
Zeurkousen, app werkt helemaal perfect, net alsof je er iets van gemerkt hebt. Dus TOP APP!
fanboy
@Dubish: @Jorn: En als uitgerekend jullie ING rekeningen geplunderd worden door het lek, respect als je dan achteraf nog steeds TOP APP durft te roepen… stelletje naïevelingen!
Jorn
@fanboy: Je klinkt wel héél erg negatief over de app. Oké true dat het een lelijke beveiligingsfout is, maar de app is verder prima, heb ook geupdate. Werktte altijd 100% prima voor mij.
fanboy
@Jorn: Je moet beter lezen… ik klink negatief over mensen die alleen maar naar de gebruiksvriendelijkheid kijken en de veiligheid op de koop toe nemen. De app zelf is inderdaad verder prima, maar mag nimmer ten koste gaan van de veiligheid lijkt mij. Dat lijkt bij de ING app dus wel het geval? Was ook een beetje te verwachten, met 1 toegangscode kan je alles en naar iedereen onbeperkt storten. De ABN app bijv. heeft tenminste nog een aantal beperkingen ingebouwd zoals maximumbedrag.
Als je onverhoopt onder een auto terechtkomt met je fiets, laat je dan ook achteraf op je graf zetten: “Ik had wel voorrang”
robin
Ik snap dus niks van die (zakelijke) rabo app… Ik krijg ‘m niet aan de praat… Het is dat de rabo mooie tarieven bied, maar ben over ING veel meer tevreden qua gebruiksgemak.
Jorn
@fanboy: Nee klopt, maar mensen verwachten ook gewoon dat het veilig is, en overmaken moet je dubbele bevestigingscode invoeren. En maximumbedrag heeft ING bankieren app ook, dus weet niet waar je het over hebt.
Eek
@Lobmans: Er zijn meer veiligheidsmaatregelen. Kijk bijvoorbeeld hier eens en hier.
Het was echt een inkoppertje voor “beveiligingsexperts”.
Dat het nog zo lang heeft geduurd roept wel vragen op.
Peterfrans
Is het jullie niet opgevallen dan, dat er opvallend veel vacatures zijn voor de ict-afdeling van ING?
m
ING is ook echt een vervelende bank.
MacBookto
@Lobmans: Bij de ING heb je als je thuis via de pc inlogt ook geen kaartlezer nodig. Alleen je gebruikersnaam en je wachtwoord.
Jamal
Wat ook zeer vervelend is, is dat de app niet overweg kan met zakelijke rekeningen!
Roy
Geen een bank is idd 100% veilig.
Dan is het de ING, morgen is er de Rabo en een week later de ABN.
Ik vind de app prima werken, veilig in mijn ogen dan. Het word gemaakt door mensen dus het zal altijd te kraken zijn.
Ik zit al jaren bij ING zit er wel
Prima. Het activeren van de App vind ik erg veilig via de website.
Sam
Dat krijg je als ze hun Ict naar een 2e partij doen die vervolgens alles naar India en zuidAfrika doet! Das een trend van de laatste jaren. Moet er om lachen dat men doet alsof hun neus bloed!
Bubbly
Ongelooflijk hoe vreemd sommige mensen reageren. Er wordt in het artikel gezegd dat er een groot lek is, maar nee hoor in de reacties weten ze het wel beter.
Pieter
Wat een kortzichtige reacties komen er weer voorbij zeg. Zullen we voordat we alles af gaan zeiken ons eerst even verdiepen in wat er nu daadwerkelijk aan de hand was?
Het lek is een theoretisch lek. Je moet wel ingelogd zijn op een heel obscuur netwerk wil iemand hier misbruik van kunnen maken (man in the middle). En zolang er nog geen virussen zijn voor de ipad zul je er thuis niet bang voor hoeven te zijn.
En die kritiek op het feit dat je met de ing app al geld kunt over maken met één code is ook al zo’n onzin. Dat is gewoon net zo (on)veilig als je pincode op je betaalpas. Daar hoor je toch ook verder niemand over zeuren?
Iemand zal eerst mijn ipad moeten zien te hebben, dan mijn code moeten weten om de ipad te ontgrendelen en vervolgens ook nog eens mijn 5 cijferige ing code moeten weten. Pas dan kan er geld overgemaakt worden.
Ik ontken overigens niet dat de ING hier een knullige fout heeft gemaakt, maar een aantal van jullie overdrijft wel behoorlijk.
truthbetold
@Pieter: De ING gebruikt maandenlang geen encryptie. En dat doe je af als een “knullige fout”? Wow..
Ik snap sowieso niet waarom mensen de ing app gebruiken. Je telefoon is immers de laatste schakel in de verificatie voor overboekingen. Tuurlijk moet er nog ingelogd worden in de app om je als gebruiker te veriferen, maar het maakt het toch allemaal een stukje makkelijker zo.
Die certificaat check is dus behoorlijk kwalijk. Dat iedereen hier denkt, oh niets aan de hand lekker belangrijk snap ik eigenlijk wel. Hoeveel van jullie logt er op publieke wifi netwerken in en gaat dan zijn bank zaken afhandelen? Ik denk een hoop. De ING behoort zijn app op en top beveiligd te hebben, dat klopt. Maar als consument heb je ook een verantwoordelijk door te zorgen dat je dit soort zaken op een veilige manier gebruikt.
Pieter
Origineel geplaatst door menno Ik snap sowieso niet waarom mensen de ing app gebruiken. Je telefoon is immers de laatste schakel in de verificatie voor overboekingen.
Dus jij gebruikt ook geen pinpas?
Dat is nog minder veilig.
Pieter
Hoeveel van jullie logt er op publieke wifi netwerken in en gaat dan zijn bank zaken afhandelen? Ik denk een hoop.
Precies. Dat is wat ik ook wilde zeggen.
Als je een beetje je gezond verstand gebruikt, dan doe je op dat soort netwerken niets met websites waarvoor een wachtwoord benodigd is.
Bubbly
@Pieter:
Het kan aan mij liggen maar dat is niet wat ik begrijp uit jouw verhaal. Jij benadrukt dat de kans heel klein is – Menno benadrukt dat waarschijnlijk een hoop mensen het wél doen. En dat is natuurlijk een risico, waar ING tekort schiet en het moet niet afgedaan worden als een theoretisch lek als publieke wi-fi netwerken zoals op stations of in treinen in de praktijk aan belang winnen.
truthbetold
Het is heel simpel: als de ING zegt dat de app veilig is dan moeten we daar van op aan kunnen.
Pogingen om het gebeurde te verdoezelen zijn nogal doorzichtig. Absoluut geen goede communicatiestrategie dit. Je kunt niet van een paar miljoen klanten verwachten dat ze allemaal security expert worden.
@Chris – strikt genomen wel encryptie, maar op zo’n manier dat iemand de berichten kan onderscheppen, nieuwe keys kan aanmaken en dan gewoon alles kan lezen, en naar ING kan sturen wat hij maar wil. Daarom noem ik dit geen encryptie. Het idee van encryptie is namelijk dat je de code eerst moet kraken voordat je als hacker iets kan manipuleren. In dit geval hoef je de encryptie helemaal niet te kraken. Je kunt het met een trucje omzeilen.
PeterB
Alleen de reactie van Pieter slaat nog ergens op. De rest snapt er niet zo veel van.
Johan
Gooi de oogkleppen en vooroordelen eens van je af. Lees onderstaand (journalistiek verantwoord) artikel en de reacties maar eens en oordeel dan nog een keer … De artikelen over het “beveiligingslek”(je kan het niet eens een lek noemen) zijn zwaar overdreven.
@Johan: niet zozeer vooroordelen als wel de bekende neiging van ING om het met de veiligheid niet zo nauw te nemen. Het artikel wat je linkt werpt inderdaad een ander licht op de zaak. Fijn dat er nog een tweede beveiligingslaag is gebruikt die wel gewoon werkt.
Sinds November al?? WOW wat een amateuristische sneue technische dienst hebben ze dan bij de banken zitten. Ik vrees nu al over hoe andere banken ook op die manier zouden kunnen falen… 😐
Security.nl meldde eerder vandaag al dat volgens de ontdekker de genomen maatregelen onvoldoende zouden zijn.
Wat ik me afvraag is waarom er bij die mobile bank-app’s gewoon ingelogd moet worden met username en password, terwijl ge online telkens zo’n kaartlezer nodig hebt?! Niet dat ik niet wil geloven dat die app’s veilig genoeg zijn, maar als het daar met enkel een username en password kan, waarom kan het op een gewone pc dan niet met enkel logingegevens?
Onvoorstelbaar dit… Zit er aan te denken om binnenkort maar eens over te stappen naar een andere bank!
No big deal.. Pff alsof alle andere banken het op orde hebben. De app van ING werkt geweldig, en is de beste wat mij betreft. Stop met zeuren mensen.
Ik las net dat het probleem alleen bij android had gespeeld?
Geen verrassing, geen enkele bank app is 100% veilig. Dat is pinnen ook niet. Mijn pas is net geblokkeerd vanwege scimmen.
Als je voorzichtig bent, hou het dan bij internet bankieren, is wat mij betreft voldoende.
@Dubish: lol wat praat jij voor onzin. Geloof mij maar dat de Rabobank app echt wel beter is
heb ze beide gezien,,
ING is al maanden aan het prutsen
allemaal negatief in het nieuws, gaten hier, gaten daar
zelfs geld overmaken met alleen een code, ZO SLECHT
ING is echt een pruts bank
Zeurkousen, app werkt helemaal perfect, net alsof je er iets van gemerkt hebt. Dus TOP APP!
@Dubish: @Jorn: En als uitgerekend jullie ING rekeningen geplunderd worden door het lek, respect als je dan achteraf nog steeds TOP APP durft te roepen… stelletje naïevelingen!
@fanboy: Je klinkt wel héél erg negatief over de app. Oké true dat het een lelijke beveiligingsfout is, maar de app is verder prima, heb ook geupdate. Werktte altijd 100% prima voor mij.
@Jorn: Je moet beter lezen… ik klink negatief over mensen die alleen maar naar de gebruiksvriendelijkheid kijken en de veiligheid op de koop toe nemen. De app zelf is inderdaad verder prima, maar mag nimmer ten koste gaan van de veiligheid lijkt mij. Dat lijkt bij de ING app dus wel het geval? Was ook een beetje te verwachten, met 1 toegangscode kan je alles en naar iedereen onbeperkt storten. De ABN app bijv. heeft tenminste nog een aantal beperkingen ingebouwd zoals maximumbedrag.
Als je onverhoopt onder een auto terechtkomt met je fiets, laat je dan ook achteraf op je graf zetten: “Ik had wel voorrang”
Ik snap dus niks van die (zakelijke) rabo app… Ik krijg ‘m niet aan de praat… Het is dat de rabo mooie tarieven bied, maar ben over ING veel meer tevreden qua gebruiksgemak.
@fanboy: Nee klopt, maar mensen verwachten ook gewoon dat het veilig is, en overmaken moet je dubbele bevestigingscode invoeren. En maximumbedrag heeft ING bankieren app ook, dus weet niet waar je het over hebt.
@Lobmans: Er zijn meer veiligheidsmaatregelen. Kijk bijvoorbeeld hier eens en hier.
Hate to say I told you so..
Het was echt een inkoppertje voor “beveiligingsexperts”.
Dat het nog zo lang heeft geduurd roept wel vragen op.
Is het jullie niet opgevallen dan, dat er opvallend veel vacatures zijn voor de ict-afdeling van ING?
ING is ook echt een vervelende bank.
@Lobmans: Bij de ING heb je als je thuis via de pc inlogt ook geen kaartlezer nodig. Alleen je gebruikersnaam en je wachtwoord.
Wat ook zeer vervelend is, is dat de app niet overweg kan met zakelijke rekeningen!
Geen een bank is idd 100% veilig.
Dan is het de ING, morgen is er de Rabo en een week later de ABN.
Ik vind de app prima werken, veilig in mijn ogen dan. Het word gemaakt door mensen dus het zal altijd te kraken zijn.
Ik zit al jaren bij ING zit er wel
Prima. Het activeren van de App vind ik erg veilig via de website.
Dat krijg je als ze hun Ict naar een 2e partij doen die vervolgens alles naar India en zuidAfrika doet! Das een trend van de laatste jaren. Moet er om lachen dat men doet alsof hun neus bloed!
Ongelooflijk hoe vreemd sommige mensen reageren. Er wordt in het artikel gezegd dat er een groot lek is, maar nee hoor in de reacties weten ze het wel beter.
Wat een kortzichtige reacties komen er weer voorbij zeg. Zullen we voordat we alles af gaan zeiken ons eerst even verdiepen in wat er nu daadwerkelijk aan de hand was?
Het lek is een theoretisch lek. Je moet wel ingelogd zijn op een heel obscuur netwerk wil iemand hier misbruik van kunnen maken (man in the middle). En zolang er nog geen virussen zijn voor de ipad zul je er thuis niet bang voor hoeven te zijn.
En die kritiek op het feit dat je met de ing app al geld kunt over maken met één code is ook al zo’n onzin. Dat is gewoon net zo (on)veilig als je pincode op je betaalpas. Daar hoor je toch ook verder niemand over zeuren?
Iemand zal eerst mijn ipad moeten zien te hebben, dan mijn code moeten weten om de ipad te ontgrendelen en vervolgens ook nog eens mijn 5 cijferige ing code moeten weten. Pas dan kan er geld overgemaakt worden.
Ik ontken overigens niet dat de ING hier een knullige fout heeft gemaakt, maar een aantal van jullie overdrijft wel behoorlijk.
@Pieter: De ING gebruikt maandenlang geen encryptie. En dat doe je af als een “knullige fout”? Wow..
Wel encryptie, maar geen certificaat-check
Ik snap sowieso niet waarom mensen de ing app gebruiken. Je telefoon is immers de laatste schakel in de verificatie voor overboekingen. Tuurlijk moet er nog ingelogd worden in de app om je als gebruiker te veriferen, maar het maakt het toch allemaal een stukje makkelijker zo.
Die certificaat check is dus behoorlijk kwalijk. Dat iedereen hier denkt, oh niets aan de hand lekker belangrijk snap ik eigenlijk wel. Hoeveel van jullie logt er op publieke wifi netwerken in en gaat dan zijn bank zaken afhandelen? Ik denk een hoop. De ING behoort zijn app op en top beveiligd te hebben, dat klopt. Maar als consument heb je ook een verantwoordelijk door te zorgen dat je dit soort zaken op een veilige manier gebruikt.
Dus jij gebruikt ook geen pinpas?
Dat is nog minder veilig.
Precies. Dat is wat ik ook wilde zeggen.
Als je een beetje je gezond verstand gebruikt, dan doe je op dat soort netwerken niets met websites waarvoor een wachtwoord benodigd is.
@Pieter:
Het kan aan mij liggen maar dat is niet wat ik begrijp uit jouw verhaal. Jij benadrukt dat de kans heel klein is – Menno benadrukt dat waarschijnlijk een hoop mensen het wél doen. En dat is natuurlijk een risico, waar ING tekort schiet en het moet niet afgedaan worden als een theoretisch lek als publieke wi-fi netwerken zoals op stations of in treinen in de praktijk aan belang winnen.
Het is heel simpel: als de ING zegt dat de app veilig is dan moeten we daar van op aan kunnen.
Pogingen om het gebeurde te verdoezelen zijn nogal doorzichtig. Absoluut geen goede communicatiestrategie dit. Je kunt niet van een paar miljoen klanten verwachten dat ze allemaal security expert worden.
@Chris – strikt genomen wel encryptie, maar op zo’n manier dat iemand de berichten kan onderscheppen, nieuwe keys kan aanmaken en dan gewoon alles kan lezen, en naar ING kan sturen wat hij maar wil. Daarom noem ik dit geen encryptie. Het idee van encryptie is namelijk dat je de code eerst moet kraken voordat je als hacker iets kan manipuleren. In dit geval hoef je de encryptie helemaal niet te kraken. Je kunt het met een trucje omzeilen.
Alleen de reactie van Pieter slaat nog ergens op. De rest snapt er niet zo veel van.
Gooi de oogkleppen en vooroordelen eens van je af. Lees onderstaand (journalistiek verantwoord) artikel en de reacties maar eens en oordeel dan nog een keer … De artikelen over het “beveiligingslek”(je kan het niet eens een lek noemen) zijn zwaar overdreven.
http://www.security.nl/artikel/40836/1/%22Beveiligingslek_ING_app_zwaar_overdreven%22.html
@Johan: niet zozeer vooroordelen als wel de bekende neiging van ING om het met de veiligheid niet zo nauw te nemen. Het artikel wat je linkt werpt inderdaad een ander licht op de zaak. Fijn dat er nog een tweede beveiligingslaag is gebruikt die wel gewoon werkt.