ING vindt mobiele app veilig, ondanks lek - Update

door

payment, betaling, mobile

door

Nieuws - Volgens ING is de eigen app voor mobiel bankieren "absoluut veilig". Dit ondanks een ontdekt lek. EenVandaag besteedt hier vanavond aandacht aan. Het lek is inmiddels gedicht.

Blogger en beveiligingsadviseur Floor Terra heeft enkele maanden geleden een lek ontdekt in de app van ING voor mobiel bankieren. Hij heeft de bank daarvan op de hoogte gesteld. Volgens Terra bleek de e-banking app het SSL-certificaat niet te controleren. Hij is na de ontdekking van het lek om tafel gaan zitten met de bank om gezamenlijk het gat te dichten. Dat is inmiddels gedaan.

ING 'keihard uitgelachen'

Hoogleraar computerbeveiliging Bart Jacobs, die vanavond in de uitzending van EenVandaag aan het woord komt, spreekt van een blamage. ING staat voor schut dat deze “elementaire beveiliging" blijkbaar niet ingebakken zit in de app. “Hierom wordt de ING in securitykringen keihard uitgelachen."

Volgens Terra kon door het ontbreken van controle op het SSL-certificaat een crimineel zich makkelijk nestelen in de communicatie tussen bank en mobiele app. Zo valt er tijdens het uitvoeren van een financiële transactie onder meer het bankrekeningnummer te veranderen.

Bank reageert verbaasd

ING zegt bij monde van woordvoerder Daan Heijbroek verbaasd te zijn over de uitzending van EenVandaag. “We hebben gesprekken gehad met Floor Terra en alles in goede harmonie willen oplossen. Dat hij dan toch naar EenVandaag is gestapt, vinden we jammer."

Volgens Heijbroek bestaat de beveiliging van het mobiele internetbankieren “uit verschillende lagen". De ontdekte kwetsbaarheid is “slechts één laag" en de andere lagen zijn niet gecompromitteerd. “Daardoor blijft een eventuele mogelijkheid tot fraude slechts hypothetisch." Volgens ING is er dan ook geen geval van fraude bekend.

'Hypothetische lekken'

In de uitzending van EenVandaag kunnen mogelijk nog meer beveiligingslekken naar voren komen, maar Heijbroek blijft erbij dat de mobiele app veilig is. “Eventuele nieuwe ontdekkingen van Terra zijn volgens ons ook slechts in hypothese te gebruiken. In het gebruik is de app in onze ogen gewoon veilig." ING zegt in een op de eigen website gepubliceerde verklaring “absoluut geen concessies te doen" op het gebied van gebruiksgemak en veiligheid.

UPDATE 16.30 uur: De ING bank blijkt al in november vorig jaar op de hoogte te zijn gesteld over het gebrek aan certificaatverificatie in de app, door Richard van den Berg van Mount Knowledge IT consulting.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

25 SEPTEMBER: IT INNOVATION DAY
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.