Niet één, maar vijf ING-klanten hadden vorige week donderdag toegang tot de financiële gegevens van andere klanten. Eerder zei ING nog dat er sprake was van een ‘uniek geval’, nu blijkt dat er meer mensen de bankomgeving van anderen te zien kregen toen ze inlogden via de app. Of er daadwerkelijk misbruik is gemaakt van de situatie, blijft onduidelijk.
Dat bevestigt een woordvoerder van ING tegenover de NOS, nadat een tweede klant zich bij het medium meldde.
‘Dat zoiets mogelijk was, voelde heel ongemakkelijk’
Het Financieel Dagblad berichtte afgelopen week als eerste over de gebeurtenissen. De krant sprak een klant die op zijn iPhone probeerde in te loggen op de app via Face ID. In plaats van zijn eigen bankomgeving belandde hij in die van een ander.
“Tot mijn grote verbazing zag ik daar álle financiële gegevens van deze persoon. Zijn uitgaven, zijn inkomsten, zijn hypotheek, de spaarrekeningen van de kinderen, alles. Ik kon zelfs diens gegevens wijzigen of de rekening opzeggen. Dat zoiets mogelijk was, voelde heel ongemakkelijk. Vooral omdat anderen op die manier mogelijk ook in mijn rekening kunnen komen”, zo zei de ING-klant tegen het Financieel Dagblad.
De Klant Wiens Gegevens waren ingezien door een ander, reageerde geschrokken. “Ik schrik hiervan. Wat een rare situatie. ING heeft mij hiervan ook niets gemeld.”
‘Die mevrouw had veel geld op haar rekening staan’
Een woordvoerder van ING zei dat een systeemfout de oorzaak was. “De fout hebben we kunnen traceren en deze is opgelost”, aldus de woordvoerder. Op de vraag of dit wel vaker voorkomt en of het voorval was gemeld bij de Autoriteit Persoonsgegevens, gaf hij geen antwoord.
Nu blijkt dat niet één, maar ‘een handvol klanten’ vorige week de financiële gegevens van anderen hebben ingezien. “Het zijn er vijf, en niet meer”, zo zegt de ING tegenover de NOS. Het medium deed navraag bij de bank toen een tweede persoon zich meldde nadat hij het nieuws had gehoord. Volgens die persoon begon de achternaam van de klant wiens gegevens hij kon inzien met dezelfde vier letters.
“En die mevrouw had veel geld op de rekening. Een ton of zo. Ik zag ook allerlei privégegevens als ‘potje vakantie’, ‘potje badkamer’. Dat soort zaken. Ik had enorm misbruik kunnen maken van de situatie”, zo zegt hij tegenover de NOS. Hij maakte zich tevens zorgen om de veiligheid van zijn eigen rekening. Volgens hem werd hij ‘best snel afgekapt’ toen hij daar vragen over stelde.
Uitsluiten dat het niet nog een keer gebeurt is onmogelijk
Dave Maasland, CEO van cybersecuritybureau ESET Nederland, zegt dat we dergelijke scenario’s bijna nooit zien in de financiële wereld. “Deze loopt juist lichtjaren vooruit op het gebied van digitale veiligheid”, zo vertelt hij aan de NOS. Uitsluiten Dat Het nooit meer gebeurt is volgens hem onmogelijk. “Het zijn namelijk nog steeds mensen die deze systemen onderhouden. Door de grootte van de systemen is het lastig om ze helemaal waterdicht te maken en te testen. Dit is een enorme uitdaging, hierdoor zijn ze kwetsbaar.”
Andere banken vertellen dat het soms wel eens mis kan gaan. “We doen er natuurlijk alles aan om dat te voorkomen. Onze app wordt zes tot acht miljoen keer per dag gebruikt, dat kan een keer fout gaan”, zo zegt ABN Amro. De Volksbank benadrukt dat de manier waarop je inlogt losstaat van de gegevens die je te zien krijgt. De Rabobank zegt: “Wij stellen alles in het werk om de gegevens van onze klanten te beschermen. Hiervoor hanteren wij strenge standaarden. Desondanks kunnen wij helaas niet de garantie geven dat er nooit wat fout zal gaan.”
