De Saldo2011-app is vrijdag opgedoken in de Nederlandse app store van Apple. Het is een iPhone-applicatie van Nederlandse bodem die het saldo toont van alle gekoppelde betaal- en spaarrekeningen bij Mijn ING. Ook zijn voor betaalrekeningen de transacties in te zien, tot twaalf weken terug.

Inloggen via derde

Inloggen gebeurt door de app te voorzien van gebruikersnaam en wachtwoord van ING, of door via de app in te loggen op de Mijn ING-website. De bewuste bank is hier niet blij mee, net zoals de vorige keer dat er een ‘ING-app’ verscheen die niet van de bank zelf was. Dat is eind januari gebeurd.

“Dit is ook in strijd met onze gebruiksvoorwaarden”, legt een woordvoerder van de bank nu uit aan Webwereld. Gebruikers mogen alleen inloggen op internetbankieren van ING via de beveiligde omgeving van Mijn ING. Anders is er het risico van phishing, waarschuwt de bank.

Maar ook als een app niet malafide is, neemt ING stappen ertegen. “Kwaadaardig of niet, dat maakt ons niet uit, want we hebben er immers geen controle over”, legt de woordvoerder uit. In het geval van Saldo2011 is hij net als Webwereld getipt via de mail.

Contact met de maker

Vervolgens heeft ING direct contact opgenomen met de maker om de app offline te krijgen. “Hij zal het verwijderen. Dat gebeurt op korte termijn.” Parallel daaraan heeft de bank ook contact opgenomen met Apple hierover.

De app-maker in kwestie reageerde volgens ING begripvol op het verzoek de app offline te halen. “Het is in goed overleg gebeurd.” De app was maandagmiddag nog beschikbaar in de iTunes App Store, maar bleek in de namiddag verdwenen.

De app staat op naam van Ercan Canimoglu, die op zijn Twitter-account ook de beschikbaarheid van zijn app aankondigt. Hij is een lead software consultant, in dienst bij ict-dienstverlener Tieto. Webwereld heeft gisteravond contact met hem gekregen.

Hij vertelt dat ING maandagochtend contact met hem heeft opgenomen om hem erop te wijzen dat het voor apps van derden niet toegestaan is om logingegevens van ING-klanten te vragen. "Ik gaf daarop aan dat mijn app de klant de mogelijkheid biedt om de logingegevens direct op de ING website in te voeren en in te loggen net zoals ze dat doen via Safari. Dit argument zou worden meegenomen in overweging."

Broncode aangeboden.

"Ik werd kort daarna gebeld door een andere ING-medewerker (security officer). Deze vertelde me dat er geen andere mogelijkheid is en dat de app verwijderd dient te worden van de App Store. De reden was dat ze niet kunnen controleren of mijn app ongeoorloofde acties uitvoert."

De app-maker heeft nog de broncode van zijn app ter inzage aangeboden. Om "eventueel samen te werken aan een gezamenlijke oplossing. Opener dan dit kan ik bijna niet zijn. Ze zouden kijken naar de mogelijkheden hiervoor."

Toch heeft Canimoglu zijn app gistermiddag uit de iTunes App Store verwijderd. "Ik had dit ook wel verwacht", geeft hij aan. "Ik heb vooraf geen contact gezocht met de ING. Ik wist wel af van de eerdere app van Leen van Dalen. Ik heb geprobeerd om zoveel mogelijk van de ING-bezwaren weg te nemen door hier rekening mee te houden in de app."

Blauwe Leenw

Eind januari is er al ophef ontstaan over een eerdere 'ING-app' die niet van die bank afkomstig was. De ‘Blauwe Leenw’-app vroeg ook gebruikersnaam en wachtwoord, maar maakte bovendien inbreuk op ING’s merkenrecht. De bank heeft Apple die app toen laten verwijderen uit de iTunes App Store.

ING gaf toen aan dat het ook met Apple ging praten over dit soort apps. Dat is volgens de woordvoerder inmiddels gebeurd, maar hij is niet bekend met de inhoud van die gesprekken. De bank gaf bij het vorige incident aan dat het herhaling wil voorkomen, bijvoorbeeld door Apple een dergelijke app te laten melden bij ING. Het is onbekend of Apple hieraan gehoor wil - of kan - geven.