De ING bank is onveilig en onverantwoord bezig door de mobiele saldo app te koppelen aan een MSN of te wel Windows Live ID. Veel klanten maar ook security-experts hebben kritiek op de mobiele strategie van de grootste bank van Nederland.

Blauwe Leenw

De kwestie is bijzonder ironisch omdat ING eist dat Apple een onofficiële applicatie uit de App Store haalt die gebruikers in staat stelt in te loggen op hun online rekening, en daarmee hun saldo kunnen checken. De bank is daar niet blij mee, want het riekt naar phishing, de inloggevens worden namelijk ingevoerd in de applicatie van een derde. De ontwikkelaar van de app "Blauwe Leenw" genaamd, stelt zelf dat hij te vertrouwen is.

ING verwijst klanten door naar hun officiële app, omdat die veiliger zou zijn. Ook die applicatie biedt toegang tot saldo-informatie. De gebruiker kan alleen toegang krijgen tot die informatie via een Windows Live ID, waarna een ING Buddy (chatbot) informatie verschaft over saldogegevens. Dit tot groot ongenoegen van vele gebruikers die liever niet gedwongen gebruik maken van een Windows dienst, zo blijkt uit de commentaren in de App Store.

De gebruikers stellen onder andere voor dat ING een voorbeeld neemt aan de Rabobank. Er is zelfs een gebruiker die zegt: "Neem een voorbeeld aan Blauwe Leenw!" Om saldo-informatie te krijgen via de ING app moet de klant op mijn.ing.nl twee keer het juiste e-mailadres van Windows Live ID invoeren om de toegang goed te keuren.

Windows Live riskant

Beveiligingsexperts vinden de keus voor Windows Live ID opmerkelijk, en trekken de veiligheid daarvan sterk in twijfel. "Met Windows Live inloggen is natuurlijk wel heel bijzonder", zegt Arjen de Landgraaf, ceo van beveiligingsberdijf Co-Logic Security tegen Webwereld. "Het is een gigantisch grote batch met breekbare en hackbare code. Je zou verwachten dat ze een veiliger systeem zouden gebruiken."

Als De Landgraaf in zijn eigen systeem kijkt ziet hij tientallen meldingen van beveiligingsproblemen met Windows Live in het afgelopen jaar. Hij haalt verschillende gevaren aan die uiteenlopen van phishing alerts tot hijacking exploits. "Op zich is Windows Live al een risico. Ik kijk hier in één jaar en zie zo'n twintig boodschappen over securityproblemen. En ik zie al 10 red alerts, dat is allemaal serieus. Dus Windows Live is geen goede keuze."

Vreemde praktijk

De Landberg krijgt bijval van Hans van de Looy, oprichter en Principal Security Consultant bij beveiligingsbedrijf Madison Gurkha. "Je kunt wel stellen dat het vreemd is dat een bank zich hier aan koppelt inderdaad", stelt hij. Aan de andere kant wijst hij erop dat er vrijwel geen alternatieven zijn die echt veilig zijn, behalve misschien tweefactor-authenticatie. Een systeem waarmee bijvoorbeeld via een kaartlezer een code wordt gegenereerd en gebruikt in combinatie met inloggegevens.

De Nederlandse Vereniging van Banken houdt zich op de vlakte en stelt in een reactie dat het afgeven van inloggegevens aan derden uit den boze is: "Banken willen niet dat klanten hun inloggegevens voor internetbankieren invoeren in programma's of op websites van derden. Niet via de computer en niet via de mobiele telefoon. Als klanten dat wel zouden doen kunnen banken niet instaan voor de veiligheid en lopen klanten het risico om slachtoffer te worden van fraude", aldus een woordvoerder.

Snelle iPhone-app

Een zegsman van ING legt uit dat het gebruiken van de bestaande MSN Buddy een snelle manier was om een iPhone app te maken. "Wij wilden op dat moment snel een app lanceren. uit eigen onderzoek bleek dat klanten het meest behoefte hadden aan saldo-informatie. Omdat snel te kunnen lanceren hebben we gebruik gemaakt van een bestaand systeem." Het buddy-systeem wordt ook gebruikt voor het opvragen van saldo-informatie via Windows Live Messenger.

"Het is verder gewoon een prima systeem dat goed werkt", aldus de woordvoerder. "Het bestond, het was veilig en het was makkelijk te implementeren." Volgens hem wordt de applicatie zo'n 10.000 tot 15.000 keer per dag opgestart en hoort de bank ook "veel positieve feedback". Verder geeft hij toe dat de dienst nog niet perfect is. "We kunnen niet veel meer doen dan ons harder in te spannen om iets beters te gaan ontwikkelen."