Privacy - Wat niemand over je mag weten

Kassa zoekt mensen met ABN AMRO inlog probleem

09-10-2009, 21:55 door VARA, 34 reacties
Beste lezer,

Het consumentenprogramma Kassa van de VARA is geinteresseerd in het ABN AMRO inlog probleem; daarom wil ik graag in contact komen met mensen die op dat probleem gestuit zijn. Wat ik hierboven lees, over google-analytics, is net zoiets trouwens, dus ook interessant. Ik zag ook dat iemand de hele discussie maar onzin vindt, omdat er geen privacygevoelige informatie wordt verzameld: daar zou ik ook graag meer over horen (ik ben namelijk zelf niet heel erg thuis in de materie en ik wil graag weten hoe het zit).

Reacties graag naar 035-6711332 of kassa@vara.nl. Alvast dank!
Reacties (34)
09-10-2009, 22:15 door ArjanDJ
Ik wil graag nog wat toevoegen bij dit onderwerp: Bij de IB-groep.(nl) speelt een soortgelijk iets.... zij gebruiken ook Google Analytics, lijkt me niet wenselijk bij een overheidsbedrijf. Wat nog erger is, is dat hun PDF's alleen downloadbaar zijn via een sitestat.com adres. Kijk maar op http://www.ib-groep.nl/particulieren/klantenservice/folders/studiefinanciering_mbo.asp. Alle PDF links zijn:
http://nl.sitestat.com/ibg/ibg/s?8413&ns_type=pdf&ns_url=http://www.ib-groep.nl/Images/8413_tcm7-8670.pdf

Je wordt dus eerst door sitestat getraced, waarna je doorgestuurd wordt naar het eigenlijke bestand op de site. Zo kunnen ze mooi bijhouden wie wat bekijkt.
09-10-2009, 22:39 door Anoniem
Ons systeem blokkeerd alle tussen-partijen-derden-en andere informatie vreters.

Wij willen ABN AMRO aanraden Secure Site Pro with EV SSL Certificates te gebruiken. Inmiddels heeft ook Rabobank en andere banken dit al in gebruik. Gewoon een advies.

Setji-Sectrust.ams.OSD/Crew.
http://www.mvps.org/winhelp2002/hosts.htm
09-10-2009, 23:05 door Anoniem
Ik gebruik ook die Ghostery plugin in Firefox en ik heb geen problemen met het inloggen bij ABN AMRO Internet bankieren. Dit komt waarschijnlijk doordat ik Omniture in mijn Windows HOST file heb staan en mijn computer hierdoor niet instaat is om contact te maken met Omniture. Ghostery staat bij mij op blokken, maar ik krijg de melding "Blocked: 0 of 1". Volgens mij draait dat Omniture script op de server van de bank zelf, misschien om te loggen. Ik zie daarom geen privacy problemen in dit geval.

Kor Vos
09-10-2009, 23:36 door Erwtensoep
Oh ja, bij IB groep kon ik nogeneens inloggen zonder mijn HOSTS bestand tijdelijk te verwijderen(Die van MVPS aangevuld met Spybot S&D), het blokkeren van Ghostery stoppen en AdBlock Plus uit te zetten. Echt schandalig!

Even ter informatie voor de persoon van Kassa, ik weet niet in hoeverre je weet wat een HOSTS bestand is(AdBlock Plus is trouwens een andere Firefox addon om reclame te blokkeren, maar ik heb er ook de filter Easy Privacy in, die ook veel scripts zoals Omniture en google-analytics blokkeert) Maar over het Hosts bestand, internet werkt met IP adressen, en als jij bijvoorbeeld naar bol.com of google.nl gaat dan wordt het bijbehorende IP adres opgezocht en maak je verbinding. Je hosts bestand is een soort eigen adressen boekje, voordat het IP adres word opgezocht kijkt ie eerst even of je 'm er al niet hebt instaan. Op internet kan je verscheidene downloaden die vol staan met reclameverzorgers, datamining bedrijven en sites met malware/virussen. Maar ipv het echte IP adres staat er zeg maar een dood nummer zodat er geen verbinding kan worden gemaakt en je geen reclame meer ziet, je surfgedrag niet kan worden gevolgd, maar je kan nog wel steeds de sites bezoeken, tenzij ze natuurlijk bij de malware staan, maar dan wil je ze sowieso niet bezoeken.
09-10-2009, 23:44 door [Account Verwijderd]
[Verwijderd]
10-10-2009, 09:33 door [Account Verwijderd]
[Verwijderd]
10-10-2009, 10:32 door _Peterr
Gewoon een bookmark instellen
https://www.abnamro.nl/nl/index.html

en dan werkt het zoals het hoort te werken.
10-10-2009, 11:16 door Anoniem
Bij https://mijn.ing.nl/internetbankieren/SesamLoginServlet
Krijg ik gewoon de melding van Omniture.

Als ik kies voor Calculator niet meer.
Of dit na het inlog proces gebeurd weet ik niet, maar dan nog. Ik ben al bij die inlog pagina dus kunnen ze al meekijken!

Het gebruik van tracking software bij beveiligde gedeeltes is altijd een hekel punt.
Voor banken is het gewoon not-done, maar voor een webwinkel geld bijna het zelfde. Alleen is juist het op het moment dat iemand de bestelling gaat plaatsen dat belangrijke conversie moment!\


Zelf zit ik ook met dat punt, ik wil mijn klanten een veilige omgeving bieden.
Maar toch zoveel mogelijk winst maken en kijken waar dingen fout gaan, maar met een tracker van een andere partij is dat privacy probleem :| Hmm
10-10-2009, 11:20 door Anoniem
De firefox plugin NoScript doet z'n ding en houdt google-analytics keurig buiten de deur. Dat geld na het instellen niet enkel meer voor abnamro maar voor alle sites die gebruik maken van google-analytics. :-)

-Jeroen
10-10-2009, 11:28 door Anoniem
Door _Peterr: Gewoon een bookmark instellen
https://www.abnamro.nl/nl/index.html

en dan werkt het zoals het hoort te werken.


Het lijkt me beter dat je het ip-adres van dat "vertaalde" adres neemt. DNS-servers zijn niet veilig genoeg voor deze acties.

Jullie hebben nog veel te leren....


Het Orakel
10-10-2009, 11:30 door Anoniem
Door ArjanDJ: Ik wil graag nog wat toevoegen bij dit onderwerp: Bij de IB-groep.(nl) speelt een soortgelijk iets.... zij gebruiken ook Google Analytics, lijkt me niet wenselijk bij een overheidsbedrijf. Wat nog erger is, is dat hun PDF's alleen downloadbaar zijn via een sitestat.com adres. Kijk maar op http://www.ib-groep.nl/particulieren/klantenservice/folders/studiefinanciering_mbo.asp. Alle PDF links zijn:
http://nl.sitestat.com/ibg/ibg/s?8413&ns_type=pdf&ns_url=http://www.ib-groep.nl/Images/8413_tcm7-8670.pdf

Je wordt dus eerst door sitestat getraced, waarna je doorgestuurd wordt naar het eigenlijke bestand op de site. Zo kunnen ze mooi bijhouden wie wat bekijkt.

Dit is natuurlijk BS. Het werkelijke pdf-adres staat er toch bij? http://www.ib-groep.nl/Images/8413_tcm7-8670.pdf

Leer toch eens kopieren en plakken

Het orakel
10-10-2009, 11:49 door Zipper306
Door _Peterr: Gewoon een bookmark instellen
https://www.abnamro.nl/nl/index.html

en dan werkt het zoals het hoort te werken.

Mooi niet, dan wordt nog steeds Omniture door Ghostery geblokkeerd.
10-10-2009, 13:21 door Anoniem
Wat mij eigenlijk nog veel meer verbaasd is dat de ABN AMRO als bijna enige bank nog geen EV SSL certificaat gebruikt voor de beveiliging van de website, zeker nu gebleken is dat het aantal phishing-incidenten is toegenomen met ongekende snelheid.

Andere banken als Rabobank, ING, SNS, DSB, Orha, KBC, etc... hebben dit gelukkig wel allemaal goed geregeld.
10-10-2009, 13:56 door Rene V
Door Zipper306:
Door _Peterr: Gewoon een bookmark instellen
https://www.abnamro.nl/nl/index.html

en dan werkt het zoals het hoort te werken.

Mooi niet, dan wordt nog steeds Omniture door Ghostery geblokkeerd.


Vreemd, bij mij dus niet (en ja ik heb Ghostery installed en actief en heb alle blokkades)
10-10-2009, 14:05 door [Account Verwijderd]
[Verwijderd]
10-10-2009, 16:20 door Anoniem
Gewoon IE8 installeren. InPrivate filering aan en klaar is Kees :)
10-10-2009, 18:49 door Bitwiper
De redactie heeft het artikel van auteur "VARA" onder het privacy forum geplaatst, maar als het echt zo is dat er tijdens een https sessie middels javascript een niet-SSL verbinding met een derde site wordt gemaakt dan is dit niet alleen een privacykwestie maar ook een flink beveiligingsrisico.

Je weet middels SSL (of diens opvolger, TLS) namelijk wel behoorlijk zeker dat je (a) verbinding hebt met abnamro en (b) dat niemand daarop kan meekijken en/of gegevens "onderweg" veranderen. Maar voor de niet-https verbinding met Omniture (of welke andere site dan ook) heb je geen van beide zekerheden. Het is voor een "man-in-the-middle" betrekkelijk eenvoudig om html en javascript naar wens te injecteren waarmee m.i. 100% kan worden meegekeken.

Persoonlijk vind ik dat webbrowsers dergelijke mixed verbindingen niet als veilig zouden mogen beschouwen en zeker geen slotje zouden mogen tonen.
10-10-2009, 23:26 door [Account Verwijderd]
[Verwijderd]
10-10-2009, 23:34 door [Account Verwijderd]
[Verwijderd]
11-10-2009, 22:48 door Anoniem
Jongens, ga nou allemaal met Chrome werken, dan ben je pas veilig (not). Overigens is Neelie nou bezig om de praktijken van Google te onderzoeken. Dus we kunnen nog wat verwachten. En Kassa is zo partijdig als de pest. Als er een site vermeld wordt die van een andere politieke kleur dan links is, gaat die Jan Zemel voor de camera er doorheen leuteren. En verder weet de zak niet eens het verschil tussen een schroevendraaier en een beitel (is dus echt uitgezonden). Dus lamaar, Kassa heeft bij mij al lang afgedaan.
12-10-2009, 06:33 door [Account Verwijderd]
[Verwijderd]
12-10-2009, 06:39 door [Account Verwijderd]
[Verwijderd]
12-10-2009, 08:37 door Anoniem
Door Draconian: In 2007 was er ook een leuk bericht.

Adobe CS3 bespioneert gebruikers
Software (overig) maandag, 31 december 2007 06:44
van de spyware redactie.
ImageAdobe CS3 applicaties zoals InDesign en Photoshop bespioneren de gebruikers door "naar huis te bellen". Dit meldt Uneasysilence.com. Bij het opstarten maken de applicaties contact met een centrale server.

De CS3 applicaties maken via het internet verbinding met http://192.168.112.2O7.net/, een server van Omniture.

Omniture is een bedrijf dat statistische gegevens verzamelt van computergebruikers. Het bedrijf wordt ook door Apple ingehuurd om gegevens te verzamelen van gebruikers van de iTunes Mini Store.

Opvallend is dat de eerste reeks cijfers van het IP adres "192.168..." doen vermoeden dat het een lokaal adres is. Men probeert dus voor de gebrukers, zoals mensen die Little Snitch gebruiken, te verbergen dat het een IP adres is ergens op het internet in plaats van in het eigen netwerk.

Adobe's product manager voor Photoshop legt uit dat sommige Adobe applicaties verbinding maken met Omniture om nieuwe aanbiedingen te tonen zodra ze worden opgestart.

Op de vraag waarom het IP adres van de server dusdanig is geformuleerd dat het lijkt alsof het een intern IP adres is, heeft Adobe vooralsnog geen antwoord

Bron http://macwereld.nl/nieuws/2007/12/adobe_cs3_bespioneert_gebruikers

Omniture is dus van Adobe.
http://webwereld.nl/nieuws/63707/omzet-adobe-daalt-met-een-kwart.html
De omzet van Adobe is het afgelopen kwartaal met 25 procent gedaald. Ook neemt het bedrijf web-analyticsfirma Omniture over.

Ja, er zjin wel meer programma's met phone home functie, ik heb mijn firewall in interactieve modus, dan vraagt ie alles eerst en dan kan je zelf regels opstellen :)
12-10-2009, 10:10 door Erwtensoep
Door Anoniem: Gewoon IE8 installeren. InPrivate filering aan en klaar is Kees :)
Zo makkelijk is dat niet, als je InPrivate filtering aan zet, staat ie de volgende keer gewoon weer uit, als je 'm altijd aan wilt hebben moet je het een registersleutel toevoegen:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\PrivacIE
voeg toe: DWORD "StartMode" value 1 (hex).

Overigens blockt IE ook pas iets als ie iets op 10 websites tegenkomt, omdat hij zelf geen blacklist heeft, dus in het begin blockt ie helemaal niets en als je 10 sites met google-analytics hebt bezocht gaat ie google-analytics blokkeren, maar je kan het aantal keer dat ie 'm moet zien wel veranderen naar 3 tot 30.
Om al veilig te beginnen kan je ook nog een blacklistje importeren:
http://www.dslreports.com/forum/r22124619-IE8-InPrivate-filter-from-adblock-plus-list
12-10-2009, 10:55 door Anoniem
Door Anoniem: Jongens, ga nou allemaal met Chrome werken, dan ben je pas veilig (not). Overigens is Neelie nou bezig om de praktijken van Google te onderzoeken. Dus we kunnen nog wat verwachten. En Kassa is zo partijdig als de pest. Als er een site vermeld wordt die van een andere politieke kleur dan links is, gaat die Jan Zemel voor de camera er doorheen leuteren. En verder weet de zak niet eens het verschil tussen een schroevendraaier en een beitel (is dus echt uitgezonden). Dus lamaar, Kassa heeft bij mij al lang afgedaan.

En waar slaat dit nu weer op?
Wat banken doen met die tracking (via een derde partij) is gewoon onnodig.
En voor zover ik heb begrepen staat het ook nergens aangeven dat het gebeurd!

Als bank moet je gewoon de veiligheid (en privacy) kunnen garanderen, door tracking te gebruiken via een derde partij creëer je een groot risico! Stel dat die server word ge-hacked, dan heb je heel groot probleem!!

Veiligheid creëer door het aanvalsvlak zo klein mogelijk te maken, het verbieden van emded content door derde is daar één van.
En wat je loopt zemelen over Chrome staat hier compleet los van.

En wees blij dat er programma's als Kassa en Radar bestaan!
Dankzij hun inzit hebben we nu geen stilzwijgende verlening meer, en het bel-me-niet register!

Ik heb zat partijen en bedrijven gezien die het consumentenrecht gewoon aan hun laars lappen.
Zij brengen het tenminste onder de aandacht, en dat je daardoor soms aanvallend bent is niet meer dan normaal.


Bankieren is op basis van wederzijds vertrouwen, en dat word op deze manier geschonden.
Dus ik ben alleen maar verheugt dat zij dit onder aandacht willen brengen.


@VARA: Misschien is het handig om contact op te nemen met FoxIt en/of ICTRecht.
Zij zijn helemaal thuis in dit gebeuren, en kunnen dat duidelijker uitleggen dan wij hier :)
12-10-2009, 11:09 door Anoniem
De Fortisbank bank gebruik ook geen EV.
https://www.networking4all.com/nl/helpdesk/tools/site+check/report/?fqdn=www.fortisbanking.com

Verder gebruiken de Radobank, ING, SNS gewoon EV.
Bizner kan ik niet controleren, en DSB (ja die die doet het niet :') )

En alleen ING en ABN Ambro maken gebruik van tracking bij het beveiligde gedeelte.
13-10-2009, 13:31 door Anoniem
Ligt het aan mij of kan ik hier niets van op de Vara site vinden?
Misschien een link naar de Vara site waar dit zou moeten staan?
13-10-2009, 13:44 door VARA
Beste lezer,
Heel veel dank voor alle reacties, antwoorden, tips, etcetera (ook als ze niet meteen voor ons bedoeld waren ;). Ik ga me erover buigen met iemand die eea kan duiden. Vervolgens gaan we kijken wat we er precies mee willen doen. Als ik meer informatie nodig heb meld ik me weer, en ik zal laten weten wanneer het in de uitzending zit. Vriendelijke groeten, redactie Kassa.
13-10-2009, 20:57 door spatieman
nog effe en de FBI weet waneer ik inlog op mijn bank om te kijken om te zien of mijn viagra afgeboekt is...
13-10-2009, 21:02 door Thasaidon
Aangezien ik in het ABNAMRO thread al genoeg gezegd heb lijkt met het niet nodig dit hier weer te gaan doen.
Ik heb een mail gestuurd naar kassa@vara.nl
14-10-2009, 13:19 door Anoniem
Door spatieman: nog effe en de FBI weet waneer ik inlog op mijn bank om te kijken om te zien of mijn viagra afgeboekt is...
Tja, want dan kunnen ze je achtervolgen, want vluchten gaat moeilijk met een stijve... nek! xD
14-10-2009, 13:36 door Anoniem
Zij die denken ze slim af te zijn met het gebruik van allerlei trucjes met name via Firefox, is verstandig, maar gaan voorbij aan de kern van de zaak. De vertrouwelijke relatie tussen klant naar bank moet geen tussenstop maken bij een andere bedrijf die totaal niets toevoegt in deze relatie. Het zit helemaal fout als de bank hun uiterste best doen dit te verdoezelen.

Het is net alsof je met een mooi meisje uit eten gaat en ze, zonder het te zeggen haar 150kg wegende heks van een tante meeneemt die vervolgens iedere beweging en gesprek noteert en constant met een bedenkelijke bek je van top tot teen bekijkt. Als je vervolgens aan je date vraagt waarom die tante trol mee is gekomen, antwoord ze: Tante? Ik weet niet waar je het over hebt.
19-10-2009, 19:08 door spatieman
ps.
ik zie opeens dat de SNSbank via googleanaalistic ook shit aan het uithalen is..
25-10-2009, 11:00 door Anoniem
In mijn opinie is sprake van verwerking van persoonsgegevens. Dus beste VARA meneer/mevrouw: check even bij het College Bescherming Persoonsgegevens of zij dit ook zien als verwerking van persoonsgegevens (en zo nee, waarom niet). Daarnaast is bekend dat in de VS niet beschikt wordt over een naar europese maatstaven zogenaamd adequaat beschermingsniveau voor de verwerking van persoonsgegevens. Nu in dit geval niet geheel is uit te sluiten dat zo'n amerikaans bedrijf meekijkt, is deze manier van tracking verboden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.