Beveiligingslekken bij SNS Bank in procedure creditcard opheffen

Heb zojuist mijn SNS Creditcard opgezegd, want ik gebruikte deze niet – en dan is het maar veiliger en goedkoper om de kaart op te heffen. Echter, schrik ik wel van de manier hoe de SNS Bank deze procedure ingeregeld heeft:

“Als u de SNS Creditcard per direct opheft, vragen we u uit veiligheidsoverwegingen het volgende te doen: Knip de creditcard door en plak hem op dit formulier.”

Beveiligingslek #1: Functionerende creditcard opsturen ter vernietiging
Nu bevat een doorgeknipte creditcard nog alle informatie om op internet hiermee aankopen te doen. Dus zo heel veilig is het doorknippen niet. En bovendien: waarom moet de kaart opgestuurd worden? Wat is het doel hiervan? Ik kan de kaart toch net zo goed zelf vernietigen? Dan is de kans het kleinst dat iemand de kaart kan onderscheppen.

Beveiligingslek #2: Opzegformulier tegelijk met creditcard opsturen
Een creditcard via de reguliere post versturen is verre van veilig. Mocht iemand het opzegformulier met doorgeknipte creditcard onderscheppen, dan is de kaart nog niet geblokkeerd. Dat is fout nummer 2. Want een kwaadwillende onderschepper ontvangt op deze manier een nog volledig functionerende kaart en kan zo de opzegging uitstellen of helemaal afbreken. Op deze manier kan nog tijden op internet aankopen worden gedaan met de kaart.

Bovendien maakt de SNS Bank vooraf niet duidelijk of je ook een bevestiging van ze ontvangt dat de kaart geblokkeerd is en de opzegging in goede orde ontvangen is. Eigenlijk fout nummer 3.

Oplossing
Als de SNS Bank dan toch zo graag de doorgeknipte kaart wil ontvangen, laat ze dan hun klanten de CVC code uit de kaart knippen, zodat op internet geen aankopen meer met de kaart gemaakt kunnen worden.

Tevens kan het opzegformulier natuurlijk gewoon digitaal worden afgehandeld, aangezien klanten al gebruik maken van internetbankieren. Gebruik deze infrastructuur dan ook, zou ik zeggen. Dan is de kaart al onbruikbaar gemaakt voordat de doorgeknipte kaart wordt opgestuurd. Dat is natuurlijk de veiligste oplossing.

About Sijmen Ruwhof

Independent IT Security Researcher / Ethical Hacker
This entry was posted in credit card, security vulnerability, SNS Bank. Bookmark the permalink.

3 Responses to Beveiligingslekken bij SNS Bank in procedure creditcard opheffen

  1. Beste Sijmen,

    We hebben je blog gelezen en reageren hier graag op.

    Om eventueel misbruik te voorkomen, is het verstandig dat de klant voor het versturen zijn kaart laat blokkeren. Dit kan 24 uur per dag via 030 – 299 74 90
    (lokaal tarief). We zullen onze klanten hier in de communicatie nadrukkelijker op wijzen.

    Daarnaast geef je aan dat het handig zou zijn als het opzegformulier voor de creditcard via Mijn SNS in kunt vullen en (digitaal) verzenden. We zijn het daarmee eens en kunnen je vertellen dat deze aanpassing al op onze wensenlijst stond.

    Tot slot vraag je je af wat de reden is dat wij klanten vragen om de doorgeknipte creditcard aan ons toe te sturen. We vragen dit omdat wij deze dan op een verantwoorde manier kunnen vernietigen. Het opsturen van de doorgeknipte kaart is uiteraard geen verplichting.

    We danken je voor je input en hopen je vragen naar tevredenheid te hebben beantwoord. Heb je nog vragen? Neem dan gerust contact met ons op via webcare@sns.nl

    Met vriendelijke groet,
    Mariella
    SNS Bank Webcare

    • Hallo Mariella,

      Hartelijk dank voor je snelle reactie.

      Doordat (de doorverwijzing naar) het opzegformulier vanuit de online documentatie hierover niet naar behoren werkt in de Safari browser, heb ik contact opgenomen heb met jullie service desk. De medewerker die ik gesproken hab gaf aan dat het verplicht is om de creditcard via het opzegformulier mee te sturen.

      De tip die je geeft om de creditcard via de aparte noodprocedure te laten blokkeren, evenals wat het doel is van het meesturen van de creditcard en de verplichting hiervan, had ik graag van de service desk medewerker gehoord en had deze tip ook graag terug gezien in de online documentatie over de opzegprocedure. Daarnaast lijkt mij het ook een goed idee om deze informatie ook op het opzegformulier te zetten – dan ligt de keuze bij de klant.

      Vriendelijke groet,

      Sijmen

  2. Beste Sijmen,

    Goed dat je aangeeft waar je tegenaan bent gelopen. We begrijpen dat je meteen van de medewerker had willen horen dat het niet verplicht is om de creditcard terug te sturen en de creditcard voor verzending geblokkeerd kan worden.

    We geven je suggestie door om de informatie over het blokkeren en terugsturen van de creditcard duidelijk op het opheffingsformulier te vermelden. Ook het door jou aangegeven probleem bij het openen van de site in de Safari browser heeft onze aandacht. Tot slot vragen we je om je rekeningnummer of adresgegevens naar webcare@sns.nl te sturen, zodat we medewerker die je geholpen heeft kunnen informeren over de procedure.

    Bedankt voor het meedenken!

    Met vriendelijke groet,
    Mariella
    SNS Bank Webcare

Comments are closed.