Da's geen ontwerpfout, maar een ontwerpkeuze.

Not a bug, a feature inderdaad.

Inderdaad, vind het reuze handig deze functie. En bestaat dan ook al 10 jaar, toen het postbank was al... maar tegenwoordig moet je overal over zeuren toch?

Handige functie, ik heb er al een paar keer gemak van gehad.
Het werkt alleen bij ING nummers trouwens
SNS heeft het ook , maar daar krijg je niet alleen naam en woonplaats, maar ook het adres bij

wat een uitvinder, nee dus, een lullo.het is puur gemak en al jaren zo.
denk dat twitter gevaarlijker is.

alarm om niks.

“We maken een afweging tussen het risico op misbruik en de service aan klanten. Tijdens een enquête bleek dat 94 procent van onze klanten blij is met deze service, die voorkomt dat mensen geld overmaken naar de verkeerde.”

Het gaat niet om de gebruiker van internetbankieren. Het gaat om de eigenaar van het rekeningnummer. Die heeft het recht om te verbieden dat zijn gegevens zo worden gebruikt.

De feature kan ook op een andere manier worden toegepast..

IPV laten zien wie de de begunstigde van het rekeningnummer is en dat als optie aanbieden voor het betalen kan er ook gewoon een foutmelding worden weergegeven dat de naam van de begunstigde niet goed is.

Features zijn leuk, zolang ze goed gaan..

Wacht maar totdat iemand jouw gegevens gebruikt om e.e.a. uit te halen, dan piep je wel anders.
ING doet er goed aan dit ophalen van gegevens te beperken tot bv drie per week zodat die scrips geen of onvoldoende werking hebben, ING loopt geen risico, maar wij wel.

Bug of feature, het blijft een datalek. En het is een datalek dat makkelijk enigszins te dichten is, namelijk door een limiet te stellen aan het aantal rekeningnummers dat op deze manier te controleren is en door een minimale interval in te regelen die tussen twee bevragingen moet zitten. Op die manier blijft de functionaliteit gewoon werken, maar is het voor kwaadwillenden lastiger om grote hoeveelheden data te verzamelen.

Het gevaar van deze informatie is overigens dat deze voldoende blijkt voor het afgeven van een eenmalige machtiging, waarmee bij veel webwinkels betaald kan worden.

Het is geen lek.
Wel is het onzinnig dat er met een script een onbeperkte lijst van rekeningen kan worden gecheckt. Met die lijst kun je weliswaar niks maar het is niet nodig dus zou het niet hoeven.

Handige service van ING. Jammer dat een 'slimmerik' het probeert te misbruiken.

Oud verhaal. Gaap.
Toe de postbank de eerste test van internetbankieren vrijgaf (via viditel ver voordat de kreet Internet iemand iets zei) was dit al mogelijk.

Overigens Postbankrekening nr 1 was van s'rijks schatkist oid. Inmiddels is deze niet meer op te vragen,

Bestaat al jaren, beetje late reactie. Lekker scherp.
Maar een stop na drie pogingen zou men kunne overweege.

>ING laat weten de service niet offline te halen. “We maken een afweging tussen het risico op misbruik en de service aan klanten.

En nu is het wachten totdat iemand alle namen en rekeningnummer op internet zet, dan halen ze het ineens wel weg.

@13:
Girorekening 1: -S RIJKS SCHATKIST S GRAVENHAGE

Nog steeds prima op te vragen.
Net als gironummer 2: P K Iest en/of T B Iest DELFT
En gironummer 666: DE NIEUWE WIJNCLUB HEEMSTEDE
etc.etc.

Komen ze daar nu pas achter bij Tweakers?Dat gaat al heel lang zo, en is zoals al gemeld is geen fout, maar een "feature", die izelf ook al lang gebruik om zeker te weten dat het de goede persoon is, en zodat het systeem mooi zelf spelt wat de goede naam is; kan ik het ook niet fout doen.

een combinatie van rekeningnummer en naam is al vrij gevaarlijk, ik heb bijvoorbeeld al eens meegemaakt dat een overschrijving van mij van mijn broer zn bankrekening afgeschreven werd, 2 personen op hetzelfde adres met bijna dezelfde naam en verschillende rekeningnummers was blijkbaar genoeg om voldoende verwarring te veroorzaken om maar aan te nemen dat het 1 en dezelfde persoon was :P

overduidelijk dat er dus niet naar handtekening of wat dan ook gekeken is, rekeningnummer en adresgegevens kunnen genoeg zijn om een betaling op iemand anders zn naam te zetten, mijn mening is er dus wel degelijk (beperkt) misbruik van te maken.

Zijn rekeningnummers dan geheim? Dat lijkt me knap lastig bij het overmaken van geld.

ALTIJD weer ING waar gekloot is heh. Ik blijf lekker bij de rabo.

@1: het is wel een slechte keuze. De echte banken hebben gekozen voor een nummer systeem waarbij slechts 1 op de 11 9 cijferige bankrekeningnummers geldig is. Als je een fout maakt met het overtypen van een bankrekeningnummer is de kans klein dat je per ongeluk een ander geldig nummer in typt.

Gironummers hebben niet een dergelijke controle in het nummer, daarom is een naam/nummer controle noodzakelijk. Dit is gewoon een tekortkoming van het gironummer.

Dit is dus absoluut geen nieuwtje. Exact hetzelfde werd vele jaren terug al eens aangekaart door iemand, ook toen kwam het in de publiciteit. Ik durf bijna geen jaartal te schatten, maar zeker meer dan 10 jaar geleden.

@10 Ja? Dus?

Zo'n eenmalige machtiging komt dan op de rekening te staan als een automatische incasso. Die kan je vervolgens weer met 1 druk op de knop (binnen 30 dagen) en zonder enige opgaaf van reden terug draaien.

Of breng ik je nu echt op een superb idee? :cp

Wat een grenzeloze naïviteit weer.

Vanwege?

Surf een half uurtje over de diverse websites en je vind her en der rekeningnummers met naam en toedracht ook wel zonder 'hulp van' de ING.

Dit klopt, ik zie dat ook wel eens.
Internetbankieren bij ING is weliswaar veel simpeler als bij de RABo (niet ontelbaar veel codes invoeren), maar het is wel veel en veel onveiliger. Zeker als je bv TAN codes via je mobiel laat binenkomen ( wat je dus ook nooit moet doen)

@19

Rekeningnummers zijn inderdaad niet geheim.
Maar er wordt inmiddels heel wat afgeroofd door middel van identiteitsdiefstal.

Pak de gegevens en ga vervolgens googelen en rondbellen en een handige 'social engeneer' heeft voor je het weet een aardig plaatje.

Dat de feature allang bestaat is niet echt een argument om nu te stellen dat er nog niks aan de hand is. Intussen hebben we hyves, facebook, twitter, linkedin en noem maar op, waar mensen veel meer privé info delen.
Heel anders dus dan in de tijd van viditel.
Natuurlijk is dat niet de schuld van ING maar wel denk ik dat ze van tijd tot tijd moeten bekijken of de dienstverlening nog past bij de huidige tijd/situatie.

Zelf roepen de banken de klanten op om allerlei extra veiligheidsmaatregelen te nemen om fraude te voorkomen. Maar dat moet -in dit geval- de ING dus ook op zichzelf toepassen.

@21 daarom worden er geen "giro"nummers meer uitgegeven.
@9/10 goed meegedacht, wie weet pikken ze het op bij ING
@10 dat eenmalige machtigingprobleem heb je bij 9-cijferige bankrekeningnummers natuurlijk ook. Die zijn niet al te moeilijk te raden. Neem je eigen rekeningnummer, tel er een veelvoud van elf bij op en je hebt een grote kans dat je een bestaand ander rekeningnummer te pakken hebt. De bijbehorende naam heb je niet nodig.....

@8: Ja lekker handig.........dan krijg je dus bijna nooit meer wat overgemaakt aangezien je bijna nooit exact de naam zo invult als bij de bank geregistreerd. Ik zie al een melding als ik BV zet in plaats van B.V. bijvoorbeeld.

@16 Leuk ja...En wat moet je hiermee?
Lekkere vlotterikken de jongens van tweakersnet...! En dan nog..wat kun je ermee?
@28 Doe maar niet zo interessant..Daar hebben ze allang over nagedacht bij ING ! Maar dat gaan ze jou niet aan je neus hangen

ach ja dat ze niet goed wijs zijn bij de ing is feit
maar zeg nu zelf welke bank spoort er wel?
......juist geen 1 !
het zijn allemaal oplichters en boeven !
het liefst hebben ze dat er nog meer word gefraudeerd
en nog minder word terug betaald hier verdienen hun tenslotte aan
wand uiteindelijk komt het geld weer dubbel en dwars bij hun terug
met een hoop rente erbij !!
huup huup huup barbatruq
simsalabim iedereen trapt erin

@31

Complimenten voor je zinnige, intelligente, goed onderbouwde reactie.

Wie is er nu niet goed wijs??

nogmaals ING weg ermee !!
en wat mij betreft gaat u lekker met ze mee @32

hier n paar links overdeze fijne bank

http://www.telegraaf.nl/overgeld/rubriek/hypoth...

www.trosradar.nl/viewtopic.php?f=30&t=73527" target="_blank">http://forum.www.trosradar.nl/viewtopic.php?f=3...

http://forum.fok.nl/topic/1150499

http://www.security.nl/artikel/34726/1/%22Pinpa...

@21 Klok en klepel.... Zo werkt de 11-proef op een rekeningnr niet, het is niet één op de 11 nummers die goed is, het is een berekening. Zie Wikipedia.

Deze functie is inderdaad al meer dan 10 jaar oud, lang voordat ING (Postbank) internet gebruikte.

En dat "script" kan elke tiener in een half uurtje maken, erg spannend hoor. Zeker ontdekt door een knulletje die voor het eerst een bedrag mocht overmaken.

@10
"Het gevaar van deze informatie is overigens dat deze voldoende blijkt voor het afgeven van een eenmalige machtiging, waarmee bij veel webwinkels betaald kan worden. "


En DAT is hem. Het is een feature waardoor identity theft wordt bevorderd.

Bovendien doen alle banken bijzonder gemakkelijk over afschrijvingen door derden. Degenen die de afschrijving doen, worden in de watten gelegd en de gedupeerde moet maar controleren.

Veel posters hebben geen fantasie. Totdat het ze zelf een keer overkomt.

Handig, maar kunnen ze dit niet ook beveiligen?

Dat lijkt me niet volgens de regels. CBP, kom d'r maar in!

oud nieuws...

@26 & @38

Explain svp? Ik persoonlijk vind die tancode nog altijd erg prettig en safe. JUIST via de mobiel i.p.v. op papier.
Maar ik leer graag iets nieuws en wil ook graag weten waar dan het extra gevaar zou zitten t.o.v. werken met een zgn calculator. Een functionaliteit die de ING overigens ook heeft. (https://mijn.ing.nl/internetbankieren/SesamLogi...

Nou aub niet roepen een mobieltje kan je stelen. Je hebt nog steeds login gegevens nodig. Stelen kan je met een calculator ook hebben. Pasje er nog even bij zoeken en gaan met die banaan. Als ik lees dat de gemiddelde autodief tegenwoordig rustig in huis zoekt naar de autosleutel ongeacht of je lekker op je bed ligt te slapen, dan nemen ze ook echt wel de tijd om alle spulletjes voor je rekening te vinden. (mocht je een interessante rekening hebben dan)

Goed zo! Ik heb ook voor enig extra obstakels gezorgt. Die gasten gaan we niet zomaar even binnen laten :c)

Maar voor beide banksystemen geldt voor mijn gevoel gewoon dezelfde veiligheid. Zo uniek als de gegenereerde calculator code is die je maakt op het moment dat je hem nodig hebt, zo uniek is de gegenereerde tancode die je pas ontvangt als je hem nodig hebt. Zonder begin je gewoon niets.

Reden voor een bankrun op de ing. :(

ING doet tenminste aan naam-nummer controle

Eén tip voor Delivery Management van ING: zorg ervoor dat het managementssysteem dat julli gebruiken orthogonaal toegepast wordt. Daar schort het aan!!!!