Klantgegevens van ING toegankelijk voor andere klanten door systeemfout
Gepubliceerd op 16/10/2023 19:00 in Economie
Niet één, maar vijf klanten van ING konden de afgelopen dagen via de app gegevens inzien van een andere klant van de bank. Ook kon er bijvoorbeeld geld overgemaakt worden. Op de vraag of er misbruik van de situatie is gemaakt, antwoordt de bank: "Daar doen we verder geen uitspraken over."
ING, die vanochtend nog sprak van een 'uniek geval', gaf vanmiddag toe dat er meer aan de hand was toen de NOS de bank confronteerde met een tweede melding. Die persoon meldde zich bij de NOS nadat hij het nieuws had gehoord dat een klant van de ING bankgegevens kon inzien van iemand anders.
Volgens ING gaat het nu 'om een handvol klanten'. "Het zijn er vijf, en niet meer", aldus ING. Daarbij ging het volgens de bank steeds om dezelfde systeemfout.
De persoon die zich vandaag bij de NOS meldde, kreeg bankgegevens te zien van iemand van wie de achternaam met dezelfde vier letters begon: "En die mevrouw had veel geld op de rekening. Een ton of zo. Ik zag ook allerlei privégegevens als 'potje vakantie', 'potje badkamer'. Dat soort zaken. Ik had enorm misbruik kunnen maken van de situatie."
Hij belde de ING op. Daar werd onder meer gezegd: 'Als u even uitlogt en weer inlogt, zal het probleem waarschijnlijk verholpen zijn'. Maar ik maakte me ook zorgen om mijn eigen rekening. Is die wel veilig? Maar dat werd best snel afgekapt.
Het FD schreef vanochtend dat een ING-klant zomaar online bij de bankgegevens van iemand anders kon na het inloggen met gezichtsherkenning. "Heel ongemakkelijk," vertelde de rekeninghouder aan het FD. "Ik kon zelfs diens gegevens wijzigen of de rekening opzeggen."
Een systeemfout, zegt ING. "Het kwam door een verandering die we hebben doorgevoerd in het systeem en we nu hebben teruggedraaid," aldus een woordvoerder van ING. "We voeren continue veranderingen door, allemaal technische zaken aan de achterkant van het systeem, waar de klanten helemaal niets van zien." Om wat voor verandering het precies ging kon ING niet vertellen.
De systemen in de financiële wereld zijn ontzettend groot en complex, vertelt Dave Maasland, directeur van IT-beveiligingsbedrijf ESET. "Steeds meer 'stemmen' moeten hier met elkaar praten. Als je op een iPhone bijvoorbeeld met gezichtsherkenning inlogt op je bank-app, dan geeft Apple een signaal aan je bank dat jij het bent en dan kan de bank je toelaten tot je gegevens."
De rekeninghouder van ING logde ook op deze manier in, maar aangezien de fout bij ING lag, had de gezichtsherkenningssoftware er niets mee te maken.
"Hoe stom het ook klinkt, ik denk niet dat ze ooit kunnen garanderen dat dit nooit meer gebeurt," zegt Maasland. "Het zijn namelijk nog steeds mensen die deze systemen onderhouden. Door de grootte van de systemen is het lastig om ze helemaal waterdicht te maken en te testen. Dit is een enorme uitdaging, hierdoor zijn ze kwetsbaar."
Echt bang dat andere klanten plotseling bij persoonlijke gegevens kunnen, hoeven we niet te zijn, zeggen deskundigen waarmee de NOS sprak. "Je ziet dit bijna nooit in de financiële wereld. Deze loopt juist lichtjaren vooruit op het gebied van digitale veiligheid," vertelt Maasland.
"Digitale veiligheid zit in het dna van de bank, het is wat banken verkopen. Daarom stoppen we ons geld niet meer in een sok onder het bed", aldus Maasland.
De systeemfout was volgens ING snel opgelost, doordat de klant bij