ING lapt eigen veiligheidsregels aan haar laars

Het gaat al mis bij de eerste van de 5 veiligheidsregels, opgesteld door de banken zelf: 'Houd uw beveiligingscodes geheim'. In de uitleg staat vervolgens: 'Sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen.'. En in de eigen voorwaarden van ING staat: 'Sla uw gebruikersnaam niet op'.  

Maar ING blijkt eigenhandig én onversleuteld (leesbaar dus), gebruikersnamen op de computers van klanten op te slaan. Dat doet de bank bij iedereen die ooit het vakje 'Onthoud mijn gebruikersnaam' heeft aangevinkt. De gebruikersnaam wordt vervolgens opgeslagen in een cookie op de harde schijf van de computer van de klant. Woordvoerder Ronald van Buuren bevestigt ons desgevraagd nog eens wat ook in de voorwaarden staat. Hij laat per mail weten: 'Een herkenbare gebruikersnaam van internetbankieren mag je niet opslaan in een document op je computer.'

Telefonisch voegt van Buuren daaraan toe: 'Klanten moeten hun gebruikersnaam niet in een eigen document zetten. Vaak zetten ze daar ook nog expliciet bij dat het hun gebruikersnaam is, en misschien zetten ze daar hun wachtwoord ook wel bij. Als een hacker dan gaat zoeken op ‘gebruikersnaam' vindt hij ze zo. Met cookies ligt dat anders.'

Maar zo'n groot verschil is er niet, want ING slaat die informatie in het cookie-tekstbestand op als 'userID', gevolgd door de gebruikersnaam. Kortom, als een hacker een computer doorzoekt op 'userID', is hij enkel een wachtwoord verwijderd van ongeautoriseerde toegang tot internetbankieren.

Bron: Geldgids