Volgens het Openbaar Ministerie (OM) heeft Davy de V., een eerder veroordeelde oplichter, in ieder geval 1280, maar vermoedelijk 1 miljoen rekeningnummers en namen van ING-klanten buit gemaakt. Dit gebeurde niet door ING-systemen te hacken, maar wel door het al dan niet automatisch oogsten van data uit een omstreden functionaliteit van het ING-internetbankieren: de zogenaamde Naam Nummer Controle.

Basismateriaal voor phishers

ING Bank gaat de omstreden tool echter niet wijzigen of offline halen. “We zien geen reden om aanpassingen te doen. Het systeem werkt goed. Het is handig en veilig, en onze klanten zijn er heel blij mee," aldus een woordvoerder.

Op de computer van de verdachte de V. trof de politie drie lijsten aan met in totaal ruim 1 miljoen bankrekeningnummers gekoppeld aan namen. Deze datacombinatie is niet genoeg om meteen een frauduleuze transactie uit te voeren, maar ideaal basismateriaal voor phishers en identiteitsdieven, zo bevestigen security-experts.

OM vermoedt: alle data van ING

Eén lijst bevatte 1280 rekeningnummers en namen van ING-klanten, zo bevestigen zowel ING als het OM. De tweede lijst bevat 1100 rekeningnummers en namen, de derde maar liefst 1 miljoen. Naar deze twee lijsten doet de digitale opsporingsunit van de Rotterdamse politie nog onderzoek. “Maar gezien de methode van de lijsten vermoeden we dat dit ook om ING-klanten gaat", aldus de woordvoerster van het OM bij het parket Rotterdam.

ING bank houdt zelf vooralsnog vast aan 1280. “We hebben geen aanwijzingen dat het om meer klantgegevens gaat", reageert de zegsman.

Al jaren omstreden

De Naam Nummer Controle van ING is een functie die de naam van de begunstigde toont die bij het ingevoerde rekeningnummer hoort, vóórdat een klant een overboeking in het internetbankiersysteem voltooit.

De hele klantendatabase kan via dit webformulier in principe zeer eenvoudig met een scriptje automatisch worden geoogst. ING bank wil uit veiligheidsoverwegingen niet zeggen of het scripts detecteert en tegengaat door bijvoorbeeld een limiet te stellen aan het aantal opvragingen. De bank meldt alleen: “We hebben vastgesteld dat het niet met een script is gebeurd."

Deze handige maar privacy-riskante functie kwam twee jaar geleden ook al in opspraak, compleet met ongeruste Kamervragen. Toen kwam ING bank met een kleine wijziging door de woonplaats niet meer te tonen.

Data waardeloos of waardevol?

Nu blijkt dat een crimineel daadwerkelijk misbruik heeft gemaakt van de Naam Nummer Controle. Maar volgens de bank is er geen noodzaak tot wijzigingen. De onrust is onterecht omdat de gegevens nutteloos zijn, aldus de zegsman stellig. “Je kunt er niks mee."

Security-expert en blogger Floor Terra hekelt dit bagatelliseren. “De vermelding dat klanten geen risico lopen vind ik kwalijk. Hoe meer accurate gegevens over klanten bekend zijn hoe effectiever phishing campagnes zullen zijn. De gegevens zijn overduidelijk verzameld door iemand met als doel om er misbruik mee te plegen. De mededeling dat ze niet misbruikt kunnen worden is wat mij betreft volkomen ongeloofwaardig", schrijft Terra.