De ING staat in de schijnwerpers, door een hacker bij wie de politie een flinke lijst aan ING-klantgegevens heeft gevonden. 5 rode knipperlampen voor de beveiliging van Neerlands grootste bank.

Klantgegevens 'lekken'

ING haast zich om te benadrukken dat de opgepakte Nederlandse man géén computersystemen van de bank heeft gekraakt. "Er heeft absoluut geen hack plaatsgevonden. "Klanten hoeven zich geen zorgen te maken", weten woordvoerders met grote stelligheid te beweren. In de zin van hacken als kraken of inbreken, klopt deze stelling wel. Maar het klopt niet in de eigenlijke zin van hacken: het zoeken en vinden van zwakke plekken in technische systemen en die dan benutten.

Want linksom of rechtsom, de opgepakte verdachte heeft wel degelijk een zwakke plek gevonden bij ING en daar gebruik van gemaakt. Namelijk het door Mijn ING automatisch invullen van de naam behorend bij een rekeningnummer, van en voor ING-klanten. Deze Naam-Nummer-Controle stamt nog uit de tijd van de Postbank, waarbij de lookup-database anno nu nog altijd alleen is bevolkt met die oerklanten. Een handige functie, maar gevaarlijk in de verkeerde handen, zoals die van Davy de V.

De opgepakte 30-jarige man heeft tussen juli 2011 en maart 2012 gegevens van bijna 1 miljoen bankklanten buitgemaakt. Vermoedelijk ING-klanten, meldt een woordvoerster van het Openbaar Ministerie aan Webwereld. De ING stelt dat het om 1280 klanten gaat, waarvan het zelf weet te bevestigen dat daarvan rekeningnummer en naam in handen van de hacker is gekomen. Over de rest van de bestanden die het OM op de computer van de opgepakte man heeft gevonden, doet de bank geen mededelingen.
Vasthouden aan TAN-codes

ING gebruikt voor de controle op transacties bij internetbankieren nog altijd TAN-codes (transactie autorisatie nummer). Geen two-factor authentication met een random reader, e.dentifier, of anderssoortige paslezer dan wel een soort RSA-token zonder link met de bankpas. ING verstuurt TAN-codes per sms, maar verstrekt ook complete lijsten aan klanten.

Eerstgenoemde is dankzij smartphones te onderscheppen. Die mobiele apparaten zijn immers complete computers en ook kwetsbaar voor malware. De beperkte houdbaarheid van een TAN-code dwingt de onderschepper wel om meteen zijn slag slaan. Dat kan in combinatie met een besmette pc. In theorie kan de slag ook geslagen worden met de besmette smartphone waarmee het slachtoffer dan immers al internetbankiert.

Naast dit mobiele gevaar staan de ouderwetse papieren lijsten met TAN-codes. Wat sluwe social engineering volstaat om de buit binnen te halen. Enkele jaren terug vielen zo nog complete rekeningen te plunderen, wat niet alleen in theorie het geval was. ING heeft daarna wel de TAN-lijst aan banden gelegd. Tot op heden doet het TAN-systeem nog wel gewoon dienst. Naast securitykritiek levert het vasthouden aan TAN-codes ook ongemak op. In geval van een netwerkstoring - waarbij de MijnING-site het nog wel doet - kan het namelijk internetbankieren toch onmogelijk maken.
Mobiele missers

Mobiel is de toekomst, ook voor internetbankieren. Het is dus van belang om een goede én veilige manier te bieden waarop klanten vanaf hun smartphone of tablet online geldzaken kunnen regelen. Een eigen app is de oplossing. Plus actieve bestrijding van apps van derden die bankklanten om hun inloggegevens vragen. Dat laatste doet de ING, consequent en aanhoudend.

Alleen heeft ING zelf begin 2011 de log-ins gedeeld met een andere partij: Microsoft. Een MSN-chatbot van die Windows-maker deed dienst voor de officiële saldo-checkerapp van de bank. Die app stamt nog van vóór de huidge ING-app waarmee ook overboekingen zijn te doen. Inloggen gebeurde toen via Windows Live ID, van Microsoft dus.

Verder heeft de bank recenter nog een steekje laten vallen voor de beveiliging van de eigen mobiele app. Zo bleek de ING-app niet te controleren op het gebruikte SSL-certificaat, wat onderschepping en wijziging van transacties mogelijk maakt. Beveiligingsexpert Floor Terra heeft dat lek begin dit jaar ontdekt, aan ING gemeld, en meegewerkt aan een oplossing.

ING stelde toen dat de eigen app "absoluut veilig" is, ondanks het ontdekte gat. Overigens is precies hetzelfde gemis in november 2011 al aan de bank gemeld, door een andere security-onderzoeker. Het ontbreken van certificaatcontrole is door hoogleraar computerbeveiliging Bart Jacobs toen in tv-programma EenVandaag samengevat als een blamage. "Hierom wordt de ING in securitykringen keihard uitgelachen."
Geen buitenlandse pasblokkade

Terwijl andere banken hun klanten het lichte ongemak bezorgen van standaard pasblokkade in het buitenland of buiten Europa, kiest ING daar niet voor. Deze maatregel, als eerste genomen door de Rabobank, moet het criminelen onmogelijk maken om te skimmen. Klanten die wel buiten Europa geld willen opnemen, moeten hun pas vantevoren laten 'ontgrendelen' door hun bank, wat ze via internet kunnen aanvragen.

ING zet de passen van zijn klanten bewust niet op slot voor het - al dan niet verre - buitenland, maar houdt de transacties in de gaten. Bij verdacht veel geldopnames in een bepaald land zet de bank het betalingsverkeer met dat land tijdelijk op slot. Waarna klanten dan geïnformeerd worden via ING.nl. Skimmers moeten dus verspreid in meer landen te werk gaan met geskimde bankpasdata.

Goed, klanten krijgen de schade van skimming vergoed. Maar die verzekering is verdisconteerd in de kosten die bank rekent voor zijn diensten. Hetzelfde geldt voor de eventuele extra monitoring die ING doet versus zijn concullega's die simpelweg passen blokkeren voor het buitenland.
Onveilige wachtwoorden

Het belang van goede wachtwoordversleuteling én van sterke wachtwoorden is zeer recent weer eens onderstreept door LinkedIn. Niet doelbewust door dat zakelijke sociale netwerk zelf, maar door het uitlekken van 6,5 miljoen ge-hashte wachtwoorden. Die blijken best makkelijk kraakbaar, mede door de slechte versleuteling en mede doordat gebruikers korte woorden gebruiken als inlog-sleutel voor LinkedIn.

ING neemt wachtwoorden een stuk serieuzer en geeft klanten dan ook een gedegen advies over wat nou precies een veilig wachtwoord is. Gebruik kleine letters én hoofdletters, plus cijfers, en ook leestekens. Jammer alleen dat de bank dit eigen advies in de wind slaat. De inlog blijkt hoofdletters te negeren, wat begin vorig jaar aan het licht kwam.

Een woordvoerder van ING erkende toen na vragen van Webwereld dat het vreemd is om op de site te adviseren wachtwoorden met grote en kleine letters te gebruiken als daar vervolgens niets mee gebeurt. "Dat is gewoon raar, dat gaan we aanpassen", zei hij. Die aanpassing is vervolgens gedaan: de bewuste adviespagina is offline, zoeken op 'wachtwoord' geeft geen hits op de banksite, maar in de FAQ en bij 'veilig inloggen' wordt kort aangeraden letters, cijfers en symbolen te gebruiken. Oh, het antwoord op FAQ 8 geeft nog het advies van "minimaal 1 hoofdletter".
Bonus:

Een alarm dat juist níet is afgegaan voor ING's security betreft het slim zwijgen over eigen datacenters, hoe geavanceerd, modern, groen of prijswinnend die ook mogen zijn. Dit in tegenstelling tot de Rabobank die anno 2012 het besef heeft gekregen dat transparantie en brede pr-offensieven niet altijd hand in hand gaan met beveiliging.