ABN AMRO krijgt rode kaart wegens Omniture spyware
ABN AMRO verzamelt in het geheim en op een onveilige wijze gegevens over klanten en verdient daarvoor een rode kaart, aldus digitaal onderzoeksbureau Unit 10. Vorig jaar bleek, onder andere op het forum van Security.nl, dat de bank verzamelde statistieken over een onversleutelde verbinding naar derde partij Omniture doorstuurt. Via Firefox plugins zoals NoScript en Ghostery was het gebruik van de scripts zichtbaar. Inmiddels heeft ABN AMRO het verzamelen van statistische gegevens verder in de broncode verstopt, zodat de plug-ins geen alarm meer slaan op de aanwezigheid van onveilige en ongewenste scripts. "Maar uw gegevens worden nog steeds illegaal verzameld en aan derden verstrekt!", zo laat het onderzoeksbureau weten.
Cookies
Bij het bezoeken van de ABN AMRO website wordt een complete set van scripts op bezoekers afgevuurd, dat onder andere een tiental cookies laadt. Deze cookies zijn niet alleen van ABN AMRO, maar ook van Ilsemedia en 2o7.net. Een zeer omstreden domein, zo blijkt uit deze rating van Web of Trust. De eerste cookies, van Ilsemedia met de namen 'wlrcmd' en 'wlid' worden op het publieke gedeelte van de ABN AMRO website gebruikt en de tweede cookie, met de naam 's_vi_hkghdx7Bfge' is van 2o7.net (Omniture) en is actief op de beveiligde pagina's van het internetbankieren.
De cookie van 2o7.net, die vijf jaar actief op de PC blijft, stuurt de gegevens middels het ABN AMRO script naar een server van Omniture, een dochteronderneming van Adobe. Voor het gebruik van de website heeft ABN AMRO wel een privacyverklaring beschikbaar, maar daarin verklaart de bank "Dit Privacy Statement is niet van toepassing op internetsites van derden die door middel van links met deze internetsite zijn verbonden."
Fouten
Volgens Unit 10 begaat ABN AMRO hiermee vier grove fouten, die niet bijdragen aan het vertrouwen en de transparantie die een klant van de bank mag verwachten. Zo kunnen bezoekers niet zelf beslissen of ze aan het verzamelen van gegevens willen deelnemen. Verder stuurt ABN AMRO de gegevens naar derden door, om hier in de privacyverklaring afstand van te nemen. Ook is het verzamelproces niet transparant, waardoor het onduidelijk is wat ABN AMRO, Ilsemedia en Omniture over bezoekers weten.
Het laatste punt van kritiek is dat de bank door deze handelswijze zich niet aan de richtlijnen voor het gebruik van veilige EV certificaten houdt. Unit 10 adviseert gebruikers die zich tegen Omniture willen beschermen om een aanpassing aan het HOSTS bestand of het register te maken.
Update: Link naar forum vermeld
Reacties (42)
24-02-2010, 15:01 door
JackPoint
Dit is op 26-01-2010 al op het forum langs geweest: http://www.security.nl/artikel/32214/1/ING_en_2o7.net.html
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?
"Dit is op 26-01-2010 al op het forum langs geweest: http://www.security.nl/artikel/32214/1/ING_en_2o7.net.html
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?"
Tja, de veronderstelling dat de landelijke media dit oppikken hier op het forum lijkt mij niet reeel. En daarnaast zou ik als journalist inderdaad meer waarde hechten aan onderzoek van een onderzoeksbureau, dan van 'zomaar iemand' - al is het alleen al vanwege het feit dat journalisten zelf vaak niet de technische kennis hebben om uit te zoeken of alles wat gezegd wordt ook feitelijk technisch klopt. Wat dat betreft verbaast je reactie me een beetje.
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?"
Tja, de veronderstelling dat de landelijke media dit oppikken hier op het forum lijkt mij niet reeel. En daarnaast zou ik als journalist inderdaad meer waarde hechten aan onderzoek van een onderzoeksbureau, dan van 'zomaar iemand' - al is het alleen al vanwege het feit dat journalisten zelf vaak niet de technische kennis hebben om uit te zoeken of alles wat gezegd wordt ook feitelijk technisch klopt. Wat dat betreft verbaast je reactie me een beetje.
Je kunt ook dnsmasq installeren op je router en daar Omniture in een blacklist plaatsen:
http://wiki.flexion.org/SettingUpDNSMasq.html#1.3
Werkt als een trein, heel mijn netwerk reclame vrij..... dan is internet weer leuk :P
TheYOSH
http://wiki.flexion.org/SettingUpDNSMasq.html#1.3
Werkt als een trein, heel mijn netwerk reclame vrij..... dan is internet weer leuk :P
TheYOSH
Door JackPoint: Dit is op 26-01-2010 al op het forum langs geweest: http://www.security.nl/artikel/32214/1/ING_en_2o7.net.html
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?
Beste Jack,
Als 'een nobody' hier iets meldt, wat daardoor wordt 'opgepikt' en dit soort 'consequenties' heeft ... is dat toch alleen maar een positieve ontwikkeling ?!
En voor jouw informatie; Huub, (aka "Unit 10",) is hier ook vaak aanwezig, dus niet iedere 'JackPoint', is een 'nobody' .... ;)
En vergeet niet het andere positieve aspect van 'het Internet';
"We have existed before the first dawn, and will exist past the last sunset.
We are ageless, emotionless ans endless.
We do not forgive.
We do not forget.
Anonymous, pointing out since 1997" !
Suc6 met je perspectief !
24-02-2010, 15:40 door
spatieman
ik denk dat een massa aanklacht van abn-oplichters bank klanten wel zou werken..
maar niet alleen de ABN, maar bijna alle banken maken zich hier aan schuldig.
maar niet alleen de ABN, maar bijna alle banken maken zich hier aan schuldig.
24-02-2010, 16:25 door
JackPoint
Door Anoniem:
Beste Jack,
Als 'een nobody' hier iets meldt, wat daardoor wordt 'opgepikt' en dit soort 'consequenties' heeft ... is dat toch alleen maar een positieve ontwikkeling ?!
En voor jouw informatie; Huub, (aka "Unit 10",) is hier ook vaak aanwezig, dus niet iedere 'JackPoint', is een 'nobody' .... ;)
En vergeet niet het andere positieve aspect van 'het Internet';
"We have existed before the first dawn, and will exist past the last sunset.
We are ageless, emotionless ans endless.
We do not forgive.
We do not forget.
Anonymous, pointing out since 1997" !
Suc6 met je perspectief !
Door JackPoint: Dit is op 26-01-2010 al op het forum langs geweest: http://www.security.nl/artikel/32214/1/ING_en_2o7.net.html
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?
Beste Jack,
Als 'een nobody' hier iets meldt, wat daardoor wordt 'opgepikt' en dit soort 'consequenties' heeft ... is dat toch alleen maar een positieve ontwikkeling ?!
En voor jouw informatie; Huub, (aka "Unit 10",) is hier ook vaak aanwezig, dus niet iedere 'JackPoint', is een 'nobody' .... ;)
En vergeet niet het andere positieve aspect van 'het Internet';
"We have existed before the first dawn, and will exist past the last sunset.
We are ageless, emotionless ans endless.
We do not forgive.
We do not forget.
Anonymous, pointing out since 1997" !
Suc6 met je perspectief !
Mijn opmerking is niet zo zwart wit als het misschien over komt bij sommige mensen. Natuurlijk snap ik dat en hoe zoiets gebeurt.
Toen ik het forum las, dacht ik al, dat klopt inderdaad niet, ik had toen al een linkje naar de redactie hier kunnen sturen zodat ze er een artikel over konden schrijven. (http://www.security.nl/tip)
Op tweakers.net wordt vaker iets van gebruikers op het forum aangehaald in nieuwsberichten, vandaar het idee.
Beide cookies zijn te blokkeren door het vinkje "accept third party cookies" uit te zetten in firefox.
Met Firefox en de extensie Adblock Plus is het eenvoudig te blokkeren: https://easylist.adblockplus.org/
Op die pagina kan je een "Adblock Plus abonnement" toevoegen: Easyprivacy.
De site is de officiële Adblock Plus abonnementen lijst.
Op die pagina kan je een "Adblock Plus abonnement" toevoegen: Easyprivacy.
De site is de officiële Adblock Plus abonnementen lijst.
ING doet hetzelfde. Is ook al op het forum gepost.
De inlogpagina: https://mijn.ing.nl/internetbankieren/SesamLoginServlet
Het script: https://mijn.ing.nl/internetbankieren/js/s_code.js
Ook lekker leesbaar... Niks te verbergen.
De inlogpagina: https://mijn.ing.nl/internetbankieren/SesamLoginServlet
Het script: https://mijn.ing.nl/internetbankieren/js/s_code.js
Ook lekker leesbaar... Niks te verbergen.
Door Anoniem: Je kunt ook dnsmasq installeren op je router en daar Omniture in een blacklist plaatsen:
http://wiki.flexion.org/SettingUpDNSMasq.html#1.3
Is het niet makkelijker om "127.0.0.1 2o7.net" in je hosts-file op te nemen?http://wiki.flexion.org/SettingUpDNSMasq.html#1.3
Ik gebruikte Google vertalen naar deze post, dus vergeef me als het gaat over een beetje vreemd.
Omniture (http://www.omniture.com) is geen spyware. Het is een web analytics bedrijf dat nu deel uitmaakt van de Adobe Corporation. De scripts die je ziet zijn slechts collectie webgebruik gegevens, zodat de eigenaren van de website dan kunnen gebruiken om hun site te optimaliseren en te verbeteren voor de gebruikers.
Dat is niet anders dat elke andere Web Analytics scripts die er zijn. (Yahoo, Google, Webtrends ... etc)
-Rudi Shumpert (http://www.rudishumpert.com)
Omniture (http://www.omniture.com) is geen spyware. Het is een web analytics bedrijf dat nu deel uitmaakt van de Adobe Corporation. De scripts die je ziet zijn slechts collectie webgebruik gegevens, zodat de eigenaren van de website dan kunnen gebruiken om hun site te optimaliseren en te verbeteren voor de gebruikers.
Dat is niet anders dat elke andere Web Analytics scripts die er zijn. (Yahoo, Google, Webtrends ... etc)
-Rudi Shumpert (http://www.rudishumpert.com)
Door Anoniem: Ik gebruikte Google vertalen naar deze post, dus vergeef me als het gaat over een beetje vreemd.
Omniture (http://www.omniture.com) is geen spyware. Het is een web analytics bedrijf dat nu deel uitmaakt van de Adobe Corporation. De scripts die je ziet zijn slechts collectie webgebruik gegevens, zodat de eigenaren van de website dan kunnen gebruiken om hun site te optimaliseren en te verbeteren voor de gebruikers.
Dat is niet anders dat elke andere Web Analytics scripts die er zijn. (Yahoo, Google, Webtrends ... etc)
-Rudi Shumpert (http://www.rudishumpert.com)
Ach wat is het verschil tussen Omniture en Google Analytics. Het is redelijk hypocriet van security.nl om hier over te rapporteren, maar zelf vrolijk een soort gelijke technologie te gebruiken. Als ze een inhouse oplossing gebruiken zou het ze sieren, maar voorlopig zijn ze niet echt geloofwaardig. En ja betaalbare inhouse oplossingen zijn er. Daarbij is het heel gevaarlijk om je sessies te delen met andere domeinen zoals Google, maar dat zullen we in de komende periodes wel mee gaan maken.Omniture (http://www.omniture.com) is geen spyware. Het is een web analytics bedrijf dat nu deel uitmaakt van de Adobe Corporation. De scripts die je ziet zijn slechts collectie webgebruik gegevens, zodat de eigenaren van de website dan kunnen gebruiken om hun site te optimaliseren en te verbeteren voor de gebruikers.
Dat is niet anders dat elke andere Web Analytics scripts die er zijn. (Yahoo, Google, Webtrends ... etc)
-Rudi Shumpert (http://www.rudishumpert.com)
Niet meer dan te vereenvoudigen, maar het belangrijkste verschil tussen Google Analytics en Omniture is dat Google is een gratis service en Omniture is een betaalde dienst.
Noch een kwaad is, of spyware of kwaadaardige code. Geen van deze diensten moeten worden vermeld als zodanig.
-Rudi
Noch een kwaad is, of spyware of kwaadaardige code. Geen van deze diensten moeten worden vermeld als zodanig.
-Rudi
24-02-2010, 19:26 door
[Account Verwijderd]
[Verwijderd]
"... Inmiddels heeft ABN AMRO het verzamelen van statistische gegevens verder in de broncode verstopt, zodat de plug-ins geen alarm meer slaan op de aanwezigheid van onveilige en ongewenste scripts. ..."
Mijn NoScript en Ghostery zien nog steeds Omniture op de ABN Amro site, dus deze bewering klopt niet. Mij lijkt het meer gratis reclame voor het onderzoeksbureau.
Mijn NoScript en Ghostery zien nog steeds Omniture op de ABN Amro site, dus deze bewering klopt niet. Mij lijkt het meer gratis reclame voor het onderzoeksbureau.
Zal niet lang meer duren voordat hackers 2o7.net overnemen. Als zo'n hack ook maar een beetje behoorlijk uitgevoerd wordt, lijkt me de schade niet meer te overzien, maar mss hebben deze banken dit risico ingecalculeerd/verzekerd. 1x raden wie de premie betaalt. Eerder hebben we al gezien wat een gehackte reclame server veroorzaakte die aan sites als nu.nl serveerde, maar ja, wie niet horen wil... Als je 3rd party scripts in je beveiligde bank pagina's toelaat, vraag je om problemen.
24-02-2010, 20:20 door
[Account Verwijderd]
[Verwijderd]
Het blokkeren van Omniture (= 2o7) is makkelijk, maar dan werkt het beveiligde deel van de ABN AMRO site niet meer, dus dat is geen optie.
Overigens, het posten op deze site werkt ook niet als ik 3rd party cookies blokkeer, dan krijg ik geen capatcha meer te zien.
Overigens, het posten op deze site werkt ook niet als ik 3rd party cookies blokkeer, dan krijg ik geen capatcha meer te zien.
Lijkt me overigens onwenselijk dat banken inhouse oplossing gaan verzinnen voor diensten die giganten als Google en Adobe al leveren als main-services. Of ze die gegevens nou vanuit de achterkant doorgeven of direct via een cookie bij de client maakt dan weinig uit lijkt me. Nu kan je nog zelfs voorkomen dus door betreffende cookies te weigeren. Neem aan dat er bij geen van de banken ook daadwerkelijk persoons of rekeninginformatie wordt doorgegeven maar alleen navigatie paden e.d.?
Mocht dit toch worden aangepakt, dan graag ook de reclames en billboards langs de verkeerswegen weghalen, ik wordt verplicht om op alle verkeersaanwijzingen te letten (agent: "stond een stopbord eerder in de straat mijnheer") maar moet daardoor verplicht publieke bannering in mijn opnemen om te zien of het om een zeeman-onderbroek reclame gaat of het een waarschuwing is voor de b.o.b., omleidingen, snelheid of flitsers..... noem maar even een niet bestaand dwarsverband over het uitdelen van rode kaarten hoor.
Mocht dit toch worden aangepakt, dan graag ook de reclames en billboards langs de verkeerswegen weghalen, ik wordt verplicht om op alle verkeersaanwijzingen te letten (agent: "stond een stopbord eerder in de straat mijnheer") maar moet daardoor verplicht publieke bannering in mijn opnemen om te zien of het om een zeeman-onderbroek reclame gaat of het een waarschuwing is voor de b.o.b., omleidingen, snelheid of flitsers..... noem maar even een niet bestaand dwarsverband over het uitdelen van rode kaarten hoor.
Het blokkeren d.m.v. Firefox met Adblock Plus en EasyPrivacy list (zoals eerder beschreven) tast het functioneren van de ABN AMRO site niet aan (Dit geldt ook voor de ING-site).
Indien Omniture geblokkeerd wordt met Ghostery dan kan ik met mijn PC niet meer inloggen op de ABNAMRO site. Ik krijg simpelweg het formulier niet meer te zien waarop ik mijn rekeningnummer kan invullen. Met Ghostery Omniture niet blokkeren, maar 2o7.net omleiden naar 127.0.0.1 in de host file werkt prima en heeft volgens mij hetzelfde effect.
Er zijn voldoende alternatieve oplossingen beschikbaar om gebruikersgedrag te meten zonder daar een 3th party service voor te gebruiken. In mijn ogen zou ABNAMRO dan ook gebruik moeten maken van in house gehoste software voor het meten van gebruikersgedrag. Dit hoeft op de schaal van ABNAMRO niet duurder te zijn dan een 3th party service.
ABNAMRO zou deze schijn van mogelijke gegevens lekken niet moeten willen. Even voor de duidelijkheid Omniture is in mijn ogen een legale service. Wat ik echter niet prettig vind is als de een 3th party als Omniture kan zien dat ik bankier bij de ABNAMRO en deze gegevens kan koppelen aan mijn andere site bezoeken die ook door Omniture gemeten worden.
Er zijn voldoende alternatieve oplossingen beschikbaar om gebruikersgedrag te meten zonder daar een 3th party service voor te gebruiken. In mijn ogen zou ABNAMRO dan ook gebruik moeten maken van in house gehoste software voor het meten van gebruikersgedrag. Dit hoeft op de schaal van ABNAMRO niet duurder te zijn dan een 3th party service.
ABNAMRO zou deze schijn van mogelijke gegevens lekken niet moeten willen. Even voor de duidelijkheid Omniture is in mijn ogen een legale service. Wat ik echter niet prettig vind is als de een 3th party als Omniture kan zien dat ik bankier bij de ABNAMRO en deze gegevens kan koppelen aan mijn andere site bezoeken die ook door Omniture gemeten worden.
Denk dat je je toch redelijk vergist als het gaat om grote organisaties die ICT toepassen, of het nou gaat om de banken, luchtvaart, of een uitkeringsinstelling, als je denkt dat dit type bedrijven zich gaan bezighouden met het ontwikkelen, beheren of implementeren van complexe oplossingen dan heb je het mis. Zou wat zijn als de politie, belastingdienst of stelletje bankiers zelf aan het knuttselen gaan. Trek een blik managers open, bel Getronics, koop wat software en licenties, tot slot wat juridisch advies en gaan met die banaan!
Door Anoniem: Denk dat je je toch redelijk vergist als het gaat om grote organisaties die ICT toepassen, of het nou gaat om de banken, luchtvaart, of een uitkeringsinstelling, als je denkt dat dit type bedrijven zich gaan bezighouden met het ontwikkelen, beheren of implementeren van complexe oplossingen dan heb je het mis. Zou wat zijn als de politie, belastingdienst of stelletje bankiers zelf aan het knuttselen gaan. Trek een blik managers open, bel Getronics, koop wat software en licenties, tot slot wat juridisch advies en gaan met die banaan!
Volgens mij heb je mijn reactie niet goed gelezen. Het is inderdaad overbodig voor ABNAMRO om dit soort software te onwikkelen. Die kun je gewoon kopen. en vervolgens in je eigen hosting centrum op je eigen servers draaien. Op die manier blijft de data binnen ABNAMRO.
Dat is namelijk het hele punt van dit artikel ABNAMRO deelt informatie van onwetende gebruikers met derde partij.
betterPrivacy plugin voor FireFox delete verborgen cookies
https://addons.mozilla.org/en-US/firefox/addon/6623
https://addons.mozilla.org/en-US/firefox/addon/6623
Door Anoniem:
Dat is namelijk het hele punt van dit artikel ABNAMRO deelt informatie van onwetende gebruikers met derde partij.
Dat is namelijk het hele punt van dit artikel ABNAMRO deelt informatie van onwetende gebruikers met derde partij.
Inderdaad, en het gebruik van bijvoorbeeld Google Analytics verandert daar niets aan.
02-03-2010, 19:47 door
Eerde
Onderzoeksbureau ?
1. Vage site als ik doorklik op de KvK gegevens;
http://www.kvk.nl/404.asp
404 - Pagina niet gevonden
De pagina die u zoekt, bestaat niet (meer).
2. Gooi- & Eemland maar huisvesting Enkhuizen ?
3. Verschillende Pics van (deze) Huub Roem op internet...
4. Wat Google Apps met een fake naam googlemaps op Twitter te maken heeft is mij een raadsel (overigens bestaat die naam niet meer op Twitter).
5. Vakgebied: "Aanwege kennis"
Hahaha, het lijkt sterk op die andere Internetdetective Engelsman ofzo die duizenden mensen over de hele wereld in dienst zou hebben, maar niet eens bij KvK bekend is en ook al voor *kuch* Justitie zou werken die echter nooit van de man gehoord hebben.....
Jaja...
1. Vage site als ik doorklik op de KvK gegevens;
http://www.kvk.nl/404.asp
404 - Pagina niet gevonden
De pagina die u zoekt, bestaat niet (meer).
2. Gooi- & Eemland maar huisvesting Enkhuizen ?
3. Verschillende Pics van (deze) Huub Roem op internet...
4. Wat Google Apps met een fake naam googlemaps op Twitter te maken heeft is mij een raadsel (overigens bestaat die naam niet meer op Twitter).
5. Vakgebied: "Aanwege kennis"
Hahaha, het lijkt sterk op die andere Internetdetective Engelsman ofzo die duizenden mensen over de hele wereld in dienst zou hebben, maar niet eens bij KvK bekend is en ook al voor *kuch* Justitie zou werken die echter nooit van de man gehoord hebben.....
Jaja...
Ik heb twee vragen.
Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.
Ik weiger in het dagelijkse leven om mee te doen met zaken die niet deugen. Zoals een winkel die mij iets verplicht dat er niet toe doet. Sommige websites, bijvoorbeeld, vragen je zaken die de lokale supermarkt je nooit zou DURVEN vragn. Dus: als iemand vindt dat hij/zij niet mee wil doen met activiteiten die niet deugen, wil ik vragen: kijk eens naar Jondo en Jondofox. De engelstalige Wiki-pagina over deze prachtige software staat hier:
http://en.wikipedia.org/wiki/Java_Anon_Proxy
Mijn bericht dat ik vandaag aan ABN-AMRO schreef, is als volgt. De tekst spreekt voor zichzelf:
CITAAT
Geachte lezers,
Eind vorige week heb ik u een bericht gestuurd over de spionnage die u via uw site op mij toepast. Ik heb nog geen antwoord ontvangen -> dat is niet erg, want ik zeg altijd: beter een goed dan een snel antwoord.
Hierbij een samenvatting en een aanvulling. Volgens betrouwbare berichten (zie www.security.nl) neemt u al mijn acties op uw site waar, en u doet dat onder andere door een normale regel over externe links totaal afwijkend uit te leggen van wat iedereen normaal acht. Dat is pure misleiding.
Deze werkwijze en andere werkwijzen van u, zijn op de grens van het juridisch toelaatbare. Maar los daarvan gelden voor mij normale omgangsvormen, en daar gaat u VER overheen. Wat u doet is zeer LAAKBAAR GEDRAG.
Aan laakbaar gedrag wens ik niet mee te doen. Echter, op allerlei manieren heeft u mij daar toe gedwongen (o.a. door geheimhouding van uw handelingen tegenover mij). Dat neem ik u zeer kwalijk.
Ik verzoek u nogmaals, mijn bericht van eind vorige week volledig bevredigend te beantwoorden. Ik verzocht u o.a. een methode om uw manier van doen te blokkeren. Tot dat moment pas ik alle middelen toe die ik heb, om een correct gedrag van uw kant af te dwingen (zoals momenteel: JAP). Antwoordt u niet correct, dan plaats ik dit bericht EN uw antwoorden op de site van de Consumentenbond.
Dat kan voor u geen probleem zijn, want u gedraagt zich geheel correct, toch?
HOOGACHTEND
EINDE CITAAT
Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.
Ik weiger in het dagelijkse leven om mee te doen met zaken die niet deugen. Zoals een winkel die mij iets verplicht dat er niet toe doet. Sommige websites, bijvoorbeeld, vragen je zaken die de lokale supermarkt je nooit zou DURVEN vragn. Dus: als iemand vindt dat hij/zij niet mee wil doen met activiteiten die niet deugen, wil ik vragen: kijk eens naar Jondo en Jondofox. De engelstalige Wiki-pagina over deze prachtige software staat hier:
http://en.wikipedia.org/wiki/Java_Anon_Proxy
Mijn bericht dat ik vandaag aan ABN-AMRO schreef, is als volgt. De tekst spreekt voor zichzelf:
CITAAT
Geachte lezers,
Eind vorige week heb ik u een bericht gestuurd over de spionnage die u via uw site op mij toepast. Ik heb nog geen antwoord ontvangen -> dat is niet erg, want ik zeg altijd: beter een goed dan een snel antwoord.
Hierbij een samenvatting en een aanvulling. Volgens betrouwbare berichten (zie www.security.nl) neemt u al mijn acties op uw site waar, en u doet dat onder andere door een normale regel over externe links totaal afwijkend uit te leggen van wat iedereen normaal acht. Dat is pure misleiding.
Deze werkwijze en andere werkwijzen van u, zijn op de grens van het juridisch toelaatbare. Maar los daarvan gelden voor mij normale omgangsvormen, en daar gaat u VER overheen. Wat u doet is zeer LAAKBAAR GEDRAG.
Aan laakbaar gedrag wens ik niet mee te doen. Echter, op allerlei manieren heeft u mij daar toe gedwongen (o.a. door geheimhouding van uw handelingen tegenover mij). Dat neem ik u zeer kwalijk.
Ik verzoek u nogmaals, mijn bericht van eind vorige week volledig bevredigend te beantwoorden. Ik verzocht u o.a. een methode om uw manier van doen te blokkeren. Tot dat moment pas ik alle middelen toe die ik heb, om een correct gedrag van uw kant af te dwingen (zoals momenteel: JAP). Antwoordt u niet correct, dan plaats ik dit bericht EN uw antwoorden op de site van de Consumentenbond.
Dat kan voor u geen probleem zijn, want u gedraagt zich geheel correct, toch?
HOOGACHTEND
EINDE CITAAT
--- willen jullie mijn post nog plaatsen aub? Ik denk dat mijn bijdrage erg belangrijk is. Mijn post was ----
Ik heb twee vragen.
Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.
Ik weiger in het dagelijkse leven om mee te doen met zaken die niet deugen. Zoals een winkel die mij iets verplicht dat er niet toe doet. Sommige websites, bijvoorbeeld, vragen je zaken die de lokale supermarkt je nooit zou DURVEN vragn. Dus: als iemand vindt dat hij/zij niet mee wil doen met activiteiten die niet deugen, wil ik vragen: kijk eens naar Jondo en Jondofox. De engelstalige Wiki-pagina over deze prachtige software staat hier:
[...]
Ik heb twee vragen.
Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.
Ik weiger in het dagelijkse leven om mee te doen met zaken die niet deugen. Zoals een winkel die mij iets verplicht dat er niet toe doet. Sommige websites, bijvoorbeeld, vragen je zaken die de lokale supermarkt je nooit zou DURVEN vragn. Dus: als iemand vindt dat hij/zij niet mee wil doen met activiteiten die niet deugen, wil ik vragen: kijk eens naar Jondo en Jondofox. De engelstalige Wiki-pagina over deze prachtige software staat hier:
[...]
Wil iemand deze rode kaart mischien op http://www.rodekaart.nl zetten?
Hij is het waard om op te stemmen!
Hij is het waard om op te stemmen!
08-08-2010, 23:20 door
Unit 10 Forensics
Door Eerde: Onderzoeksbureau ?
1. Vage site als ik doorklik op de KvK gegevens;
http://www.kvk.nl/404.asp
404 - Pagina niet gevonden
De pagina die u zoekt, bestaat niet (meer).
2. Gooi- & Eemland maar huisvesting Enkhuizen ?
3. Verschillende Pics van (deze) Huub Roem op internet...
4. Wat Google Apps met een fake naam googlemaps op Twitter te maken heeft is mij een raadsel (overigens bestaat die naam niet meer op Twitter).
5. Vakgebied: "Aanwege kennis"
Hahaha, het lijkt sterk op die andere Internetdetective Engelsman ofzo die duizenden mensen over de hele wereld in dienst zou hebben, maar niet eens bij KvK bekend is en ook al voor *kuch* Justitie zou werken die echter nooit van de man gehoord hebben.....
Jaja...
1. Vage site als ik doorklik op de KvK gegevens;
http://www.kvk.nl/404.asp
404 - Pagina niet gevonden
De pagina die u zoekt, bestaat niet (meer).
2. Gooi- & Eemland maar huisvesting Enkhuizen ?
3. Verschillende Pics van (deze) Huub Roem op internet...
4. Wat Google Apps met een fake naam googlemaps op Twitter te maken heeft is mij een raadsel (overigens bestaat die naam niet meer op Twitter).
5. Vakgebied: "Aanwege kennis"
Hahaha, het lijkt sterk op die andere Internetdetective Engelsman ofzo die duizenden mensen over de hele wereld in dienst zou hebben, maar niet eens bij KvK bekend is en ook al voor *kuch* Justitie zou werken die echter nooit van de man gehoord hebben.....
Jaja...
Vandaag via statistieken op deze thread gekomen en hierbij een reactie:
1. Website Kamer van Koophandel is blijkbaar ten tijde van je bezoek plat geweest, dit werkt gewoon.....
2. Lezen is ook vak, er staat nergens Enkhuizen
3. En wat wil je hiermee zeggen?
4. Google en Twitter hebben het blijkbaar wel begrepen, na contact met Google is er actie ondernomen
5. Bedankt voor de attentie voor deze typefout, is inmiddels hersteld
Vergelijk gaat niet op, Unit 10 is volledig transparant onderneming voor zover Wbp en Wbpr dit toelaten. Als je eens een kijkje wilt nemen ben je van harte welkom.
is er al reactie op die brief van abn amro ?
ben erg benieuwd ,schrok hier ook wel van eerlijk gezegd
ben erg benieuwd ,schrok hier ook wel van eerlijk gezegd
Door Anoniem: --- willen jullie mijn post nog plaatsen aub? Ik denk dat mijn bijdrage erg belangrijk is. Mijn post was ----
Ik heb twee vragen.
Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.
[...]
Ik wil niet lullig doen, maar dit heb ik in 2009 al aangekaartIk heb twee vragen.
Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.
[...]
http://www.security.nl/artikel/31021/1/ABN_AMRO_inlog_probleem.html
De reactie van ABNAMRO was dat ik niet moest zeiken want het was gewoon maar een script...
Overigens was Vara's KASSA hier in 2009 ook in geinterseerd, maar daar heb ik nooit meer wat van gehoord
Goedemiddag,
Mijn naam is Fabian, ik ben programmeur en gespecialiseerd in de ontwikkeling van web applicaties. Om een aantal dingen te verhelderen, leg ik even uit hoe het verzamelen van statistieken werkt, en waarom het geen beveiligingsrisico is voor uw internetbankieren.
1. U bezoekt Internetbankieren
2. Bij het laden van de pagina wordt een dergelijk script aangeroepen, dit script verzameld een aantal publiek beschikbare gegevens:
- HTTP aanvraag-headers (informatie die hieruit te halen valt: pagina die het script aanroept, uw taal zoals ingesteld in de browser)
- 'User-agent string': informatie over uw browser, de versie en welk besturingssysteem
- Uw IP adres, welke gebruikt wordt om uw locatie vast te stellen.
3. Het script plaatst een cookie in de browser welke (in de regel) gebruikt wordt om te identificeren dat de pagina al opgenomen is in de statistieken (cookies zijn tekst-bestanden, niet uitvoerbaar en kunnen enkel gelezen en herschreven worden door de site die ze toevoegt: i.e.: ING.nl kan niet in een cookie van 2o7.com, en 2o7.com kan niet in cookies van ING. Cookies zijn met nadruk géén uitvoerbare bestanden die iets met uw computer kunnen doen).
4. U kunt veilig internetbankieren. Omniture zal kunnen meten welke pagina's u bezoekt, zelfs welke knoppen u gebruikt om naar die pagina's te gaan, maar kan niet aan uw inlogcodes, TAN codes, random reader codes oid komen.
De bank, of meer specifiek het bedrijf wat het systeem van de bank ontwikkeld gebruikt deze gegevens met name om de user interface te verbeteren, eventuele zaken te identificeren die gebruikers niet begrijpen, etc.
De claim dat het een serieus risico is, is nonsens. Het verbaast me ook dat een "onderzoeksbureau" hier onderzoek naar doet, terwijl ze er overduidelijk niks van snappen. Ter ondersteuning daarvan, voor een onderzoek is het bijzonder mager: enkel identificeren welke scripts een site gebruikt, zijn nog geen 'bewijs' van onveilige praktijken.
Fabian.
Mijn naam is Fabian, ik ben programmeur en gespecialiseerd in de ontwikkeling van web applicaties. Om een aantal dingen te verhelderen, leg ik even uit hoe het verzamelen van statistieken werkt, en waarom het geen beveiligingsrisico is voor uw internetbankieren.
1. U bezoekt Internetbankieren
2. Bij het laden van de pagina wordt een dergelijk script aangeroepen, dit script verzameld een aantal publiek beschikbare gegevens:
- HTTP aanvraag-headers (informatie die hieruit te halen valt: pagina die het script aanroept, uw taal zoals ingesteld in de browser)
- 'User-agent string': informatie over uw browser, de versie en welk besturingssysteem
- Uw IP adres, welke gebruikt wordt om uw locatie vast te stellen.
3. Het script plaatst een cookie in de browser welke (in de regel) gebruikt wordt om te identificeren dat de pagina al opgenomen is in de statistieken (cookies zijn tekst-bestanden, niet uitvoerbaar en kunnen enkel gelezen en herschreven worden door de site die ze toevoegt: i.e.: ING.nl kan niet in een cookie van 2o7.com, en 2o7.com kan niet in cookies van ING. Cookies zijn met nadruk géén uitvoerbare bestanden die iets met uw computer kunnen doen).
4. U kunt veilig internetbankieren. Omniture zal kunnen meten welke pagina's u bezoekt, zelfs welke knoppen u gebruikt om naar die pagina's te gaan, maar kan niet aan uw inlogcodes, TAN codes, random reader codes oid komen.
De bank, of meer specifiek het bedrijf wat het systeem van de bank ontwikkeld gebruikt deze gegevens met name om de user interface te verbeteren, eventuele zaken te identificeren die gebruikers niet begrijpen, etc.
De claim dat het een serieus risico is, is nonsens. Het verbaast me ook dat een "onderzoeksbureau" hier onderzoek naar doet, terwijl ze er overduidelijk niks van snappen. Ter ondersteuning daarvan, voor een onderzoek is het bijzonder mager: enkel identificeren welke scripts een site gebruikt, zijn nog geen 'bewijs' van onveilige praktijken.
Fabian.
ABN-AMRO is een oplichtersbank, zie www.gerrit-zalm.com , www.trade-box.info, ik gedupeerde en weet zeker, hoewel moeilijk te bewijzen, zij zelf middels deze "spy-ware" mijn optie possities op TRADEBOX hebben gemanupuleerd. Mijn possities werden veel geld waard, maar waren "blanc" op hun gemanupuleerde TRADEBOX systeem. Kon niet closen omdat hun gemanupuleerde "STORING" een closing via i-banking verhinderde.
Tips, reacties en/of adviesen, verhalen over gelijke ervaringen met deze Oplichters Bank?.......mail mij op: info@birdy.nl
Ronald Huisman
www.trade-box.info
www.gerrit-zalm.com
www.trade-globe.info
06 25 28 0342
Tips, reacties en/of adviesen, verhalen over gelijke ervaringen met deze Oplichters Bank?.......mail mij op: info@birdy.nl
Ronald Huisman
www.trade-box.info
www.gerrit-zalm.com
www.trade-globe.info
06 25 28 0342
Door Anoniem: Goedemiddag,
Mijn naam is Fabian, ik ben programmeur en gespecialiseerd in de ontwikkeling van web applicaties. Om een aantal dingen te verhelderen, leg ik even uit hoe het verzamelen van statistieken werkt, en waarom het geen beveiligingsrisico is voor uw internetbankieren.
1. U bezoekt Internetbankieren
2. Bij het laden van de pagina wordt een dergelijk script aangeroepen, dit script verzameld een aantal publiek beschikbare gegevens:
- HTTP aanvraag-headers (informatie die hieruit te halen valt: pagina die het script aanroept, uw taal zoals ingesteld in de browser)
- 'User-agent string': informatie over uw browser, de versie en welk besturingssysteem
- Uw IP adres, welke gebruikt wordt om uw locatie vast te stellen.
3. Het script plaatst een cookie in de browser welke (in de regel) gebruikt wordt om te identificeren dat de pagina al opgenomen is in de statistieken (cookies zijn tekst-bestanden, niet uitvoerbaar en kunnen enkel gelezen en herschreven worden door de site die ze toevoegt: i.e.: ING.nl kan niet in een cookie van 2o7.com, en 2o7.com kan niet in cookies van ING. Cookies zijn met nadruk géén uitvoerbare bestanden die iets met uw computer kunnen doen).
4. U kunt veilig internetbankieren. Omniture zal kunnen meten welke pagina's u bezoekt, zelfs welke knoppen u gebruikt om naar die pagina's te gaan, maar kan niet aan uw inlogcodes, TAN codes, random reader codes oid komen.
De bank, of meer specifiek het bedrijf wat het systeem van de bank ontwikkeld gebruikt deze gegevens met name om de user interface te verbeteren, eventuele zaken te identificeren die gebruikers niet begrijpen, etc.
De claim dat het een serieus risico is, is nonsens. Het verbaast me ook dat een "onderzoeksbureau" hier onderzoek naar doet, terwijl ze er overduidelijk niks van snappen. Ter ondersteuning daarvan, voor een onderzoek is het bijzonder mager: enkel identificeren welke scripts een site gebruikt, zijn nog geen 'bewijs' van onveilige praktijken.
Fabian.
Mijn naam is Fabian, ik ben programmeur en gespecialiseerd in de ontwikkeling van web applicaties. Om een aantal dingen te verhelderen, leg ik even uit hoe het verzamelen van statistieken werkt, en waarom het geen beveiligingsrisico is voor uw internetbankieren.
1. U bezoekt Internetbankieren
2. Bij het laden van de pagina wordt een dergelijk script aangeroepen, dit script verzameld een aantal publiek beschikbare gegevens:
- HTTP aanvraag-headers (informatie die hieruit te halen valt: pagina die het script aanroept, uw taal zoals ingesteld in de browser)
- 'User-agent string': informatie over uw browser, de versie en welk besturingssysteem
- Uw IP adres, welke gebruikt wordt om uw locatie vast te stellen.
3. Het script plaatst een cookie in de browser welke (in de regel) gebruikt wordt om te identificeren dat de pagina al opgenomen is in de statistieken (cookies zijn tekst-bestanden, niet uitvoerbaar en kunnen enkel gelezen en herschreven worden door de site die ze toevoegt: i.e.: ING.nl kan niet in een cookie van 2o7.com, en 2o7.com kan niet in cookies van ING. Cookies zijn met nadruk géén uitvoerbare bestanden die iets met uw computer kunnen doen).
4. U kunt veilig internetbankieren. Omniture zal kunnen meten welke pagina's u bezoekt, zelfs welke knoppen u gebruikt om naar die pagina's te gaan, maar kan niet aan uw inlogcodes, TAN codes, random reader codes oid komen.
De bank, of meer specifiek het bedrijf wat het systeem van de bank ontwikkeld gebruikt deze gegevens met name om de user interface te verbeteren, eventuele zaken te identificeren die gebruikers niet begrijpen, etc.
De claim dat het een serieus risico is, is nonsens. Het verbaast me ook dat een "onderzoeksbureau" hier onderzoek naar doet, terwijl ze er overduidelijk niks van snappen. Ter ondersteuning daarvan, voor een onderzoek is het bijzonder mager: enkel identificeren welke scripts een site gebruikt, zijn nog geen 'bewijs' van onveilige praktijken.
Fabian.
Het gaat adobe niks aan bij welke bank ik zit, waar ik bankier, wanneer ik bankier... helemaal niet als je weet dat adobe verplicht is verzamelde gegevens aan de us goverment te geven. Ik zie dit alleen al als een GROOT RISICO
Mn http headers kunnen weldegelijk info bevatten, alleen al de referrer, weten wat/waar/bij wie etc ik iets koop. Vind ik een NOG GROTER RISICO!
Scripts van derden op je site openen een groot era aan cross site scripting, en op dat moment gaat mijn verbeelding niet ver genoeg op te bedenken welke informatie gestolen tevens ook geinject kan worden! Vind ik een ONEINDIG GROOT RISICO!
Laat staan de open deur voor een man in the middle attack... jij er van overtuigd dat je banksite geheel genuine is (zelf met een sniffer er naast ziet alles er ok uit)... maar de omniture-copy-cat kan ondertussen alles doen wat ie wil...:s
Niet dat ik adobe niet geheel wantrouw, maar van een bank verwacht ik toch iets meer! Mijn vertrouwen
ABN heeft recentelijk hun internet bankieren aangepast; het is nu niet meer mogelijk om geld over te maken zonder dat Omniture actief is. Heb dit bij de afdeling internet bankieren laten bevestigen. Lijkt chantage wel
Vandaag weer Omniture actief bij internetbankieren van ABN/AMRO. Het inlogscherm is in FireFox niet zichtbaar als de plug-in DNT+ (Do Not Track Plus) is geïnstalleerd!
Ik heb hier: https://www.security.nl/posting/27452/ING+en+2o7_net
Een stappen plan geplaatst hoe je in Chrome cookies van 2o7.net kan blokkeren zonder dat je extra software hoeft te installeren. Voordeel is dat het secure gedeelte van de ABN site nog werkt.
Je kan natuurlijk ook (wat ik doe) internetbankieren vanuit incognito mode, dan wordt als je de browser sluit je cookie weggegooid. Nadeel is dat je iedere keer je rekening nummer en pasnummer moet invullen.
Een stappen plan geplaatst hoe je in Chrome cookies van 2o7.net kan blokkeren zonder dat je extra software hoeft te installeren. Voordeel is dat het secure gedeelte van de ABN site nog werkt.
Je kan natuurlijk ook (wat ik doe) internetbankieren vanuit incognito mode, dan wordt als je de browser sluit je cookie weggegooid. Nadeel is dat je iedere keer je rekening nummer en pasnummer moet invullen.
"Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?"
Denk je dat het feit dat een bank gebruik maakt van analytics software ook maar enige nieuwswaarde heeft, terwijl dit tegenwoordig een vrij standaard methode is ? Leg een uit waarom dit media aandacht nodig heeft zou ik zeggen, ik ken weinig grote bedrijven die geen gebruik maken van Omniture, van Google Analytics, of van soortgelijke diensten.
Denk je dat het feit dat een bank gebruik maakt van analytics software ook maar enige nieuwswaarde heeft, terwijl dit tegenwoordig een vrij standaard methode is ? Leg een uit waarom dit media aandacht nodig heeft zou ik zeggen, ik ken weinig grote bedrijven die geen gebruik maken van Omniture, van Google Analytics, of van soortgelijke diensten.
"Het gaat adobe niks aan bij welke bank ik zit, waar ik bankier, wanneer ik bankier... helemaal niet als je weet dat adobe verplicht is verzamelde gegevens aan de us goverment te geven. Ik zie dit alleen al als een GROOT RISICO"
Waaruit maak je op dat de ABN de gegevens ook deelt met Omniture, en dat de gegevens niet gewoon binnen de bank blijven ? Dat je een analytics pakket van een bepaalde leverancier gebruikt hoeft niet te zeggen dat je de gegevens die je via dat pakket verzamelt ook deelt met die leverancier......
---
Omniture zou via de website van ABN Amro geen herleidbare persoonsgegevens ophalen. De opgehaalde gegevens worden daarnaast niet door Omniture gebruikt of gedeeld met derden. "Omniture is een gewone en betrouwbare leverancier van webanalyticssoftware", aldus de medewerker.
---
Het is wel grappig om te zien hoeveel voorbarige conclusies er hier worden getrokken.
Waaruit maak je op dat de ABN de gegevens ook deelt met Omniture, en dat de gegevens niet gewoon binnen de bank blijven ? Dat je een analytics pakket van een bepaalde leverancier gebruikt hoeft niet te zeggen dat je de gegevens die je via dat pakket verzamelt ook deelt met die leverancier......
---
Omniture zou via de website van ABN Amro geen herleidbare persoonsgegevens ophalen. De opgehaalde gegevens worden daarnaast niet door Omniture gebruikt of gedeeld met derden. "Omniture is een gewone en betrouwbare leverancier van webanalyticssoftware", aldus de medewerker.
---
Het is wel grappig om te zien hoeveel voorbarige conclusies er hier worden getrokken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
