7 Nederlandse online banking sites kwetsbaar voor XSS
Beveiligingsonderzoeker Ronald van den Heetkamp van Jungsonn Studios heeft 30 online banksites van Nederlandse banken onderzocht, en kwam tot de conclusie dat er 7 kwetsbaar zijn voor cross-site scripting (XSS) aanvallen. Via de aanvallen is het mogelijk om de sessie van een gebruiker te stelen en andere content op die van de banksites weer te geven, wat weer door phishers gebruikt kan worden.
Het gaat om de sites van de Postbank, Abn Amro, SNS Bank, Fortis ASR, Delta Lloyd, Spaarbeleg en Insinger de Beaufort. Heetkamp heeft de banken nog niet ingelicht "ik verwacht er eerlijk gezegd ook weinig van" zo laat de onderzoeker tegenover Security.NL weten.
"Via cross-site scripting kunnen alle gegevens van de gebruiker gestolen worden, omdat er een zogenaamde cross domain policy is. Hierdoor worden alleen de gegevens van een gebruiker over het domein zelf beschikbaar. Als iemand een URL maakt met een link van een bank erin, zal de gebruiker niet door hebben dat informatie wordt gestolen. Die informatie kan zijn: keylogging met JavaScript, portscanning met JavaScript, het stelen van de browser geschiedenis en alle passwords uit de FireFox password manager", aldus Heetkamp.
Het is ook mogelijk om met deze methode een cascade van aanvallen te genereren via de gebruikerszijde. Met het stelen van de geschiedenis van de gebruikers (CSS en JavaScript) kan er een aanval worden gelanceerd op andere sites die ook XSS gaten hebben. (de gebruikers doet dit helemaal zelf en is dus een simpele XSS worm)
Ondergeschoven kindje
Zoals eerder gezegd kunnen phishers de aanval misbruiken. "Als er we zo'n URL maken: http://www.postbank.nl/map/index.php?var= dan word ons script in de site van de Postbank opgenomen, en heeft het script op mijn site toegang tot alles op de pagina. Zo is het mogelijk om de gebruikers te laten forceren om in te loggen, ze automatisch een download te sturen (exploit of keylogger) om zo hun verdere systeem te inspecteren." wordt ons als voorbeeld gegeven.
"Zoals je ziet is XSS een ondergeschoven kindje in web applicatie security, maar er zijn al heel wat sites hiermee gedefaced. Denk aan de MySpace XSS worm die zich onlangs verspreidde".
De betrokken banken zijn inmiddels door Security.NL ingelicht.
Reacties (25)
31-12-2006, 20:09 door
JeanGuillaume
Het gedrag van deze onderzoeker is beneden alle maat. Openheid (full
disclosure) is goed, maar alleen nadat een bedrijf de kans heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat er van zijn
kennis misbruik wordt gemaakt.
disclosure) is goed, maar alleen nadat een bedrijf de kans heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat er van zijn
kennis misbruik wordt gemaakt.
Ach, banken hebben nogal een 'air' van "Dus JIJ denkt dat
onze website lek is?". Ik kan me er wel wat van voorstellen.
Toen ik onlangs van de ene bank naar een andere ging en die
bank vroeg WAAROM, en ik dat uitlegde hadden ze meteen
zoiets van 'slik'.... Maar dat zijn alleen de lokale mensen,
mensen die alleen beleid mogen uitvoeren, vooral niet zelf
mogen nadenken.
onze website lek is?". Ik kan me er wel wat van voorstellen.
Toen ik onlangs van de ene bank naar een andere ging en die
bank vroeg WAAROM, en ik dat uitlegde hadden ze meteen
zoiets van 'slik'.... Maar dat zijn alleen de lokale mensen,
mensen die alleen beleid mogen uitvoeren, vooral niet zelf
mogen nadenken.
Onderaan op zijn site de disclaimer van deze gast (en dan
vooral de laatste zin:-():
"disclaimer: all info and scripts provided here are for
educational use only.
I won't be liable for any damage as a result of misusage of
the information here provided.
Any disclosure i post here is already fixed by the site
owners to prevent abuse.
I act upon the right of (free) information."
Kansloos!
vooral de laatste zin:-():
"disclaimer: all info and scripts provided here are for
educational use only.
I won't be liable for any damage as a result of misusage of
the information here provided.
Any disclosure i post here is already fixed by the site
owners to prevent abuse.
I act upon the right of (free) information."
Kansloos!
De banken moeten 3 dingen doen:
1) Het 'lek' dichten.
2) Aangifte doen, nl. : hij die een technisch hulpmiddel dat hoofdzakelijk
geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf,
vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter
beschikking stelt of voorhanden hebt is strafbaar.
Zie ook het wetboek van strafrecht, artikel 139. Zeker als onderzoeker moet
je de gevaren kennen en ben je dus strafbaar in deze.
3) (optioneel) Een civiele procedure starten om eventuele schade te
verhalen op deze onderzoeker.
1) Het 'lek' dichten.
2) Aangifte doen, nl. : hij die een technisch hulpmiddel dat hoofdzakelijk
geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf,
vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter
beschikking stelt of voorhanden hebt is strafbaar.
Zie ook het wetboek van strafrecht, artikel 139. Zeker als onderzoeker moet
je de gevaren kennen en ben je dus strafbaar in deze.
3) (optioneel) Een civiele procedure starten om eventuele schade te
verhalen op deze onderzoeker.
Ik denk dat de onderzoeker niet ver genoeg is gegaan.
Immers XSS constateren is één ding er daadwerkelijk misbruik van maken
is een ander ding.
Waarschijnlijk heeft hij gewoon blind op de website zitten kijken en daaruit
kunnen concluderen dat XSS werkt.
Tenzij hij daadwerkelijk overal een rekening had lopen en zodoende de
autorisatie had kunnen testen en in dat geval had hij kunnen zien dat bij
geen enkele (voor zover ik weet) je XSS kunt gebruiken om sessies te
hijacken omdat bij de autorisatie gedeelte XSS niet misbruikt kan worden.
Ik wens Ronald van den Heetkamp veel succes met het verder
rondbazuinen van FUD, want daar kun je veel mee verdienen (bron,
mcafee, symantec etc..)
Immers XSS constateren is één ding er daadwerkelijk misbruik van maken
is een ander ding.
Waarschijnlijk heeft hij gewoon blind op de website zitten kijken en daaruit
kunnen concluderen dat XSS werkt.
Tenzij hij daadwerkelijk overal een rekening had lopen en zodoende de
autorisatie had kunnen testen en in dat geval had hij kunnen zien dat bij
geen enkele (voor zover ik weet) je XSS kunt gebruiken om sessies te
hijacken omdat bij de autorisatie gedeelte XSS niet misbruikt kan worden.
Ik wens Ronald van den Heetkamp veel succes met het verder
rondbazuinen van FUD, want daar kun je veel mee verdienen (bron,
mcafee, symantec etc..)
Nee Nee nee Het is goed dat men het Nu naar buiten brengt!
Deze informatie is vrijuit overal op internet te
verkrijgen.. google maar's wat
en 1x1=2... wees niet naief of denkje dat 't moelijk is v/e
hacker om sites te vinden!
Nu moeten de systeem beheerders wel snel reageren!! en
waarom denkje?
de Directie leest gezellig mee, 't is alleen jammer dat het
zo moet maar het werkt wel. (ik noem 't het Media syndroom)
M'n complimenten aan Jungsonn Studio's... Informatie X
Communicatie = Beveiliging !!!!!!
(wie niet 'snel' luisteren wil moet maar 'snel' voelen)
gr,
Mark v/d Heijden.
Deze informatie is vrijuit overal op internet te
verkrijgen.. google maar's wat
en 1x1=2... wees niet naief of denkje dat 't moelijk is v/e
hacker om sites te vinden!
Nu moeten de systeem beheerders wel snel reageren!! en
waarom denkje?
de Directie leest gezellig mee, 't is alleen jammer dat het
zo moet maar het werkt wel. (ik noem 't het Media syndroom)
M'n complimenten aan Jungsonn Studio's... Informatie X
Communicatie = Beveiliging !!!!!!
(wie niet 'snel' luisteren wil moet maar 'snel' voelen)
gr,
Mark v/d Heijden.
Door JeanGuillaume
Hij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had
gegeven om
te herstellen.
Misschien wou hij aangeven met welk kennis niveau banken deHij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had
gegeven om
te herstellen.
websites laten ontwikkelen. Die mensen zijn echt zo
achterlijk als het achtereind van een varken.
Ik heb vaak contact gehad met oa de Postbank, omdat ik
iedere keer weer tegen bugs aanloop. Je hebt dan contact met
mensen die niet eens weten hoe het HTTP protocol werkt, laat
staan dat ze kunnen begrijpen wat voor bugs ik probeer te
melden. Na flink wat gedoe en moeite, en heel veel emails
versturen vanaf meerdere email accounts en ip adressen is
het probleem toch opgelost, maar het niveau is echt om te
HUILEN!
Ik ben er idd voor om dingen eerst te melden, zodat ze de
tijd hebben om problemen op te lossen, maar gezien mijn
ervaring met oa de Postbank kan ik me dus voorstellen dat
"Ronald van den Heetkamp" zoiets had van: "Niet goedschiks,
dan kwaadschiks". Maar goed, ik kan niet zijn gedachten lezen.
01-01-2007, 20:01 door
beamer
Door JeanGuillaume
Het gedrag van deze onderzoeker is beneden alle maat.
Openheid (full
disclosure) is goed, maar alleen nadat een bedrijf de kans
heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen
publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had
gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat
er van zijn
kennis misbruik wordt gemaakt.
Het gedrag van deze onderzoeker is beneden alle maat.
Openheid (full
disclosure) is goed, maar alleen nadat een bedrijf de kans
heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen
publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had
gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat
er van zijn
kennis misbruik wordt gemaakt.
XSS is zo oud als de weg naar Rome en het is bijzonder
eenvoudig om zelf te controleren of de bedrijfswebsite hier
kwetsbaar voor is. Bovendien vinden een hoop "security
specialisten/hackers/crackers" het erg interessant om
websites te controleren op XSS aangezien je zo met minimale
inspanning je 30 seconds of fame kan verkrijgen.
Het voorbeeld uit het artikel klopt trouwens (opzettelijk,
neem ik aan) niet.
02-01-2007, 09:31 door
X10
Cross site scripting is tamelijk eenvoudig, en het is
verbazingwekkend hoeveel sites er gevoelig voor zijn. Gewone
sites, webmail sites, en nu online banking. Het is niet
moeilijk om sites veilig te maken voor xxs, maar blijkbaar
heeft toch niet iedere webdesigner of programmeur de
benodigde kennis.
verbazingwekkend hoeveel sites er gevoelig voor zijn. Gewone
sites, webmail sites, en nu online banking. Het is niet
moeilijk om sites veilig te maken voor xxs, maar blijkbaar
heeft toch niet iedere webdesigner of programmeur de
benodigde kennis.
02-01-2007, 11:17 door
SirDice
Fortis ASR is geen bank maar een verzekeraar. Het is mijn oude werkgever. Fortis ASR is ontstaan uit een fusie met de ASR Verzekeringsgroep (w.o. de Stad Rotterdam, Amersfoortse, Verzekerings Unie en een paar kleintjes) en Fortis
Verzekeringen (w.o. de AMEV). Fortis Bank en Fortis ASR hebben niet zo heel veel met elkaar te maken behalve dat ze beiden onder de Fortis vlag varen.
Vergelijk: http://www.fortisasr.nl en http://www.fortisbank.nl
Verzekeringen (w.o. de AMEV). Fortis Bank en Fortis ASR hebben niet zo heel veel met elkaar te maken behalve dat ze beiden onder de Fortis vlag varen.
Vergelijk: http://www.fortisasr.nl en http://www.fortisbank.nl
02-01-2007, 11:43 door
Bokkie
Het is wenselijk dat ABNAMRO ( mijn bank ) zijn klanten die
gebruik maken van Internet Banking snel op de hoogte brengt
en/of gerust stelt over de mate dat de voornoemde bedreiging
is te ondervangen. Tot op heden is nog nooit een adviserend
beveiligingsbericht van de bank uitgegaan naar zijn klanten.
Valse schaamte is hierin misplaatst. Hackers zijn
vindingrijk en vaak zeer deskundig; ook banken kunnen niet
alles ondervangen en zullen ook slachtoffer worden van
Internet aanvallen. Nalatigheid verwijten is misplaatst;
onvoldoende informatie verstrekking is terecht.
gebruik maken van Internet Banking snel op de hoogte brengt
en/of gerust stelt over de mate dat de voornoemde bedreiging
is te ondervangen. Tot op heden is nog nooit een adviserend
beveiligingsbericht van de bank uitgegaan naar zijn klanten.
Valse schaamte is hierin misplaatst. Hackers zijn
vindingrijk en vaak zeer deskundig; ook banken kunnen niet
alles ondervangen en zullen ook slachtoffer worden van
Internet aanvallen. Nalatigheid verwijten is misplaatst;
onvoldoende informatie verstrekking is terecht.
Daar gaan we weer :-(
Ben ik nou de enige die niet aan online bankieren doet omdat
ik de risico's (als deze) gewoon te groot vind ? Blijkbaar
gaat gemak vaak voor veiligheid .... ook als het om
bankzaken gaat.
Ben ik nou de enige die niet aan online bankieren doet omdat
ik de risico's (als deze) gewoon te groot vind ? Blijkbaar
gaat gemak vaak voor veiligheid .... ook als het om
bankzaken gaat.
02-01-2007, 13:17 door
spatieman
soms, beste anonymous :) wonen mensen te ver van een bank,en
hebben geen vervoersmiddelen.
zoals ik,kuch.
mijn bank is 4.6 KM verderop, en als ik dat moet lopen, heb
ik een hernia,
onee, die heb ik..
vaak is het zo, dat via email gevraagd wordt om blabla te
doen met veiligheids perikelen, dus als iemand zo stom is om
daar in te trappen.
...
hebben geen vervoersmiddelen.
zoals ik,kuch.
mijn bank is 4.6 KM verderop, en als ik dat moet lopen, heb
ik een hernia,
onee, die heb ik..
vaak is het zo, dat via email gevraagd wordt om blabla te
doen met veiligheids perikelen, dus als iemand zo stom is om
daar in te trappen.
...
02-01-2007, 15:21 door
Ronald van den Heetkamp
Bedankt voor alle reacties, interessant om ze te lezen. En
ja, het is een hele ethische discussie "full-disclosure".
Normaliter wanneer ik fouten vind, breng ik de webmasters op
de hoogte. Punt is, dan "patchen" ze 1 gat, en blijft de
rest openstaan omdat ze zoiets hebben van: "ach, het zal wel
goed zijn zo.". Want geloof me maar dat er veel meer te
vinden was op al die banking sites.
Het gaat me in dit geval om de media aandacht richting
banken. Ik neem daarbij een risico, maar het belang van de
consumenten en klanten van banken (ook ikzelf) hebben recht
om te weten wat er allemaal speelt, en om dwangmatig de
developers van de betreffende websites is kritisch te laten
kijken naar hun applicaties.
Ik hoop hiermee te bewerkstelligen dat ze nu elk script
nalopen. Ik wilde graag een phishing XSS exploit voorbeeld
maken op basis van een lek van 1 van de banken. Maar ik denk
dat ik daar te ver mee was gegaan, vandaar dat ik alleen de
clientside Alert('XSS') liet zien. Hiermee kan niets
gebeuren. Het is alleen ter indicatie van.
Helaas zijn het niet alleen banken waar de webapplicatie
beveilging schort, uit onderzoek is gebleken dat 8 van de 10
websites hiermee te maken hebben. De meeste developers zien
het als een triviaal iets, en denken dat het wel mee zal
vallen. Even Googlen wijst anders uit. Op dit moment zijn er
zelfs XSS wormen in de maak. Stel voor dat een website als
MySpace ge-injecteerd wordt met een XSS worm. miljoenen
surfers... Erger nog, het is al gedaan.
XSS is inderdaad al heel oud, het bestaat sinds JavaScript
zelf. Dit geeft destemeer aanwijzing dat developers hun
kennis toch niet helemaal op orde hebben. Daarnaast moet ik
ook aangeven dat veel banken wel de webapplicatie
beveiliging voor XSS op orde hebben; mijn hulde aan die
banken en hun developers.
ja, het is een hele ethische discussie "full-disclosure".
Normaliter wanneer ik fouten vind, breng ik de webmasters op
de hoogte. Punt is, dan "patchen" ze 1 gat, en blijft de
rest openstaan omdat ze zoiets hebben van: "ach, het zal wel
goed zijn zo.". Want geloof me maar dat er veel meer te
vinden was op al die banking sites.
Het gaat me in dit geval om de media aandacht richting
banken. Ik neem daarbij een risico, maar het belang van de
consumenten en klanten van banken (ook ikzelf) hebben recht
om te weten wat er allemaal speelt, en om dwangmatig de
developers van de betreffende websites is kritisch te laten
kijken naar hun applicaties.
Ik hoop hiermee te bewerkstelligen dat ze nu elk script
nalopen. Ik wilde graag een phishing XSS exploit voorbeeld
maken op basis van een lek van 1 van de banken. Maar ik denk
dat ik daar te ver mee was gegaan, vandaar dat ik alleen de
clientside Alert('XSS') liet zien. Hiermee kan niets
gebeuren. Het is alleen ter indicatie van.
Helaas zijn het niet alleen banken waar de webapplicatie
beveilging schort, uit onderzoek is gebleken dat 8 van de 10
websites hiermee te maken hebben. De meeste developers zien
het als een triviaal iets, en denken dat het wel mee zal
vallen. Even Googlen wijst anders uit. Op dit moment zijn er
zelfs XSS wormen in de maak. Stel voor dat een website als
MySpace ge-injecteerd wordt met een XSS worm. miljoenen
surfers... Erger nog, het is al gedaan.
XSS is inderdaad al heel oud, het bestaat sinds JavaScript
zelf. Dit geeft destemeer aanwijzing dat developers hun
kennis toch niet helemaal op orde hebben. Daarnaast moet ik
ook aangeven dat veel banken wel de webapplicatie
beveiliging voor XSS op orde hebben; mijn hulde aan die
banken en hun developers.
Door Anoniem
Daar gaan we weer :-(
Ben ik nou de enige die niet aan online bankieren doet omdat
ik de risico's (als deze) gewoon te groot vind ? Blijkbaar
gaat gemak vaak voor veiligheid .... ook als het om
bankzaken gaat.
Daar gaan we weer :-(
Ben ik nou de enige die niet aan online bankieren doet omdat
ik de risico's (als deze) gewoon te groot vind ? Blijkbaar
gaat gemak vaak voor veiligheid .... ook als het om
bankzaken gaat.
hoe vaak gaat er nou echt wat mis dan? dat er iets mogelijk
is betekend niet dat het opeens iedereen bakken met geld
gaat kosten. over het algemeen vergoeden banken de schade toch.
Door Jungsonn
Bedankt voor alle reacties, interessant om ze te lezen. En
ja, het is een hele ethische discussie "full-disclosure".
Normaliter wanneer ik fouten vind, breng ik de webmasters op
de hoogte. Punt is, dan "patchen" ze 1 gat, en blijft de
rest openstaan omdat ze zoiets hebben van: "ach, het zal wel
goed zijn zo.". Want geloof me maar dat er veel meer te
vinden was op al die banking sites.
...
Bedankt voor alle reacties, interessant om ze te lezen. En
ja, het is een hele ethische discussie "full-disclosure".
Normaliter wanneer ik fouten vind, breng ik de webmasters op
de hoogte. Punt is, dan "patchen" ze 1 gat, en blijft de
rest openstaan omdat ze zoiets hebben van: "ach, het zal wel
goed zijn zo.". Want geloof me maar dat er veel meer te
vinden was op al die banking sites.
...
Niks ethisch, het is gewoon strafbaar.
Geef even je bankrekeningnummer, dan hebben we iets om beslag op te
leggen als het fout gaat dankzij je publicatie.
Door JeanGuillaume
Het gedrag van deze onderzoeker is beneden alle maat. Openheid (full
disclosure) is goed, maar alleen nadat een bedrijf de kans heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat er van zijn
kennis misbruik wordt gemaakt.
Ten aanzien van de Postbank kan ik stellen dat men al drie jaar op de Het gedrag van deze onderzoeker is beneden alle maat. Openheid (full
disclosure) is goed, maar alleen nadat een bedrijf de kans heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat er van zijn
kennis misbruik wordt gemaakt.
hoogte is van deze lacune in de beveiliging, maar men doet er nog steeds
niets aan. Op een gegeven moment wordt het gewoon tijd om dit publiek te
maken. Als ex-ING-er mag ik dat op basis van mijn oude arbeidscontract
niet doen. Ik ben blij dat er anderen zijn dit wel mogen doen en ook doen.
Door Anoniem
hoe vaak gaat er nou echt wat mis dan? dat er iets mogelijk
is betekend niet dat het opeens iedereen bakken met geld
gaat kosten. over het algemeen vergoeden banken de schade
toch.
(Zelfde anoniem weer)hoe vaak gaat er nou echt wat mis dan? dat er iets mogelijk
is betekend niet dat het opeens iedereen bakken met geld
gaat kosten. over het algemeen vergoeden banken de schade
toch.
Het gaat mij er niet om hoe vaak het daadwerkelijk mis gaat,
maar het (veel) grote(re) risico DAT het mis kan gaan (Ik
heb ook nog nooit pech gehad met m'n auto, maar ben toch al
9 jaar ANWB lid). Een onveilig medium als internet is (naar
mijn mening) niet geschikt voor belangrijke dingen als
bankzaken. Ik verbaas me dan ook keer op keer op populair
die diensten zijn.
Heb je links naar informatie waar staat dat banken dit soort
schades vergoeden ? Ik was juist in de veronderstelling
altijd gehoord/gelezen te hebben dat schade op kosten van de
klant zijn (Nog een reden om het niet te vertouwen: De bank
heeft blijkbaar zo weinig vertrouwen in hun eigen product
dat ze eventuele schade zelfs niet vergoeden).
Ik vind 't Schandalig dat er 'anno 07' nog steeds mensen
zijn die zeggen;
iemand die dit publiceert is strafbaar ?!?
Ga dan naar China daar is alles strafbaar ja dus ook als er
NIKS gebeurt.
Moeten 'Mensen' dan wachten totdat ze de dupe zijn en hun
geld richting Rusland zien verdwijnen, of moeten we dan
wachten totdat Zij hun zaakjes ooit eens op orde hebben en
ja met z'n alle lekker stil zijn totdat die tijd-bom ontploft!
Ik ben heden ten dage voorzichtiger geworden met
online-bankieren....
Waarom denkje?
Wat was die naam van die mooie open source uitvinding ook weer?
Ohja.......Internet@
zijn die zeggen;
iemand die dit publiceert is strafbaar ?!?
Ga dan naar China daar is alles strafbaar ja dus ook als er
NIKS gebeurt.
Moeten 'Mensen' dan wachten totdat ze de dupe zijn en hun
geld richting Rusland zien verdwijnen, of moeten we dan
wachten totdat Zij hun zaakjes ooit eens op orde hebben en
ja met z'n alle lekker stil zijn totdat die tijd-bom ontploft!
Ik ben heden ten dage voorzichtiger geworden met
online-bankieren....
Waarom denkje?
Wat was die naam van die mooie open source uitvinding ook weer?
Ohja.......Internet@
07-01-2007, 17:55 door
Ronald van den Heetkamp
Quote:
Heb je links naar informatie waar staat dat banken dit soort
schades vergoeden ? Ik was juist in de veronderstelling
altijd gehoord/gelezen te hebben dat schade op kosten van de
klant zijn (Nog een reden om het niet te vertouwen: De bank
heeft blijkbaar zo weinig vertrouwen in hun eigen product
dat ze eventuele schade zelfs niet vergoeden).
Unquote/
Dit klopt inderdaad. Mijn bank zegt middels de voorwaarden
dat de gebruiker zelf eind-verantwoordelijk is. Ik weet niet
of dit overal het geval is.
Heb je links naar informatie waar staat dat banken dit soort
schades vergoeden ? Ik was juist in de veronderstelling
altijd gehoord/gelezen te hebben dat schade op kosten van de
klant zijn (Nog een reden om het niet te vertouwen: De bank
heeft blijkbaar zo weinig vertrouwen in hun eigen product
dat ze eventuele schade zelfs niet vergoeden).
Unquote/
Dit klopt inderdaad. Mijn bank zegt middels de voorwaarden
dat de gebruiker zelf eind-verantwoordelijk is. Ik weet niet
of dit overal het geval is.
07-01-2007, 17:57 door
Ronald van den Heetkamp
Trouwens,
De Postbank & Delta Lloyd zijn de laatste twee die nog
vatbaar zijn. De rest heeft de lekken gedicht. Zo zie je
maar dat een beetje media aandacht toch goed kan uitpakken.
De Postbank & Delta Lloyd zijn de laatste twee die nog
vatbaar zijn. De rest heeft de lekken gedicht. Zo zie je
maar dat een beetje media aandacht toch goed kan uitpakken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
