image

ABN AMRO krijgt rode kaart wegens Omniture spyware

woensdag 24 februari 2010, 14:09 door Redactie, 42 reacties

ABN AMRO verzamelt in het geheim en op een onveilige wijze gegevens over klanten en verdient daarvoor een rode kaart, aldus digitaal onderzoeksbureau Unit 10. Vorig jaar bleek, onder andere op het forum van Security.nl, dat de bank verzamelde statistieken over een onversleutelde verbinding naar derde partij Omniture doorstuurt. Via Firefox plugins zoals NoScript en Ghostery was het gebruik van de scripts zichtbaar. Inmiddels heeft ABN AMRO het verzamelen van statistische gegevens verder in de broncode verstopt, zodat de plug-ins geen alarm meer slaan op de aanwezigheid van onveilige en ongewenste scripts. "Maar uw gegevens worden nog steeds illegaal verzameld en aan derden verstrekt!", zo laat het onderzoeksbureau weten.

Cookies
Bij het bezoeken van de ABN AMRO website wordt een complete set van scripts op bezoekers afgevuurd, dat onder andere een tiental cookies laadt. Deze cookies zijn niet alleen van ABN AMRO, maar ook van Ilsemedia en 2o7.net. Een zeer omstreden domein, zo blijkt uit deze rating van Web of Trust. De eerste cookies, van Ilsemedia met de namen 'wlrcmd' en 'wlid' worden op het publieke gedeelte van de ABN AMRO website gebruikt en de tweede cookie, met de naam 's_vi_hkghdx7Bfge' is van 2o7.net (Omniture) en is actief op de beveiligde pagina's van het internetbankieren.

De cookie van 2o7.net, die vijf jaar actief op de PC blijft, stuurt de gegevens middels het ABN AMRO script naar een server van Omniture, een dochteronderneming van Adobe. Voor het gebruik van de website heeft ABN AMRO wel een privacyverklaring beschikbaar, maar daarin verklaart de bank "Dit Privacy Statement is niet van toepassing op internetsites van derden die door middel van links met deze internetsite zijn verbonden."

Fouten
Volgens Unit 10 begaat ABN AMRO hiermee vier grove fouten, die niet bijdragen aan het vertrouwen en de transparantie die een klant van de bank mag verwachten. Zo kunnen bezoekers niet zelf beslissen of ze aan het verzamelen van gegevens willen deelnemen. Verder stuurt ABN AMRO de gegevens naar derden door, om hier in de privacyverklaring afstand van te nemen. Ook is het verzamelproces niet transparant, waardoor het onduidelijk is wat ABN AMRO, Ilsemedia en Omniture over bezoekers weten.

Het laatste punt van kritiek is dat de bank door deze handelswijze zich niet aan de richtlijnen voor het gebruik van veilige EV certificaten houdt. Unit 10 adviseert gebruikers die zich tegen Omniture willen beschermen om een aanpassing aan het HOSTS bestand of het register te maken.

Update: Link naar forum vermeld

Reacties (42)
24-02-2010, 14:48 door Anoniem
En wat is de reactie van ABN AMRO?
24-02-2010, 15:01 door JackPoint
Dit is op 26-01-2010 al op het forum langs geweest: http://www.security.nl/artikel/32214/1/ING_en_2o7.net.html
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?
24-02-2010, 15:04 door Anoniem
"Dit is op 26-01-2010 al op het forum langs geweest: http://www.security.nl/artikel/32214/1/ING_en_2o7.net.html
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?"

Tja, de veronderstelling dat de landelijke media dit oppikken hier op het forum lijkt mij niet reeel. En daarnaast zou ik als journalist inderdaad meer waarde hechten aan onderzoek van een onderzoeksbureau, dan van 'zomaar iemand' - al is het alleen al vanwege het feit dat journalisten zelf vaak niet de technische kennis hebben om uit te zoeken of alles wat gezegd wordt ook feitelijk technisch klopt. Wat dat betreft verbaast je reactie me een beetje.
24-02-2010, 15:05 door Anoniem
Je kunt ook dnsmasq installeren op je router en daar Omniture in een blacklist plaatsen:
http://wiki.flexion.org/SettingUpDNSMasq.html#1.3

Werkt als een trein, heel mijn netwerk reclame vrij..... dan is internet weer leuk :P

TheYOSH
24-02-2010, 15:32 door Anoniem
Door JackPoint: Dit is op 26-01-2010 al op het forum langs geweest: http://www.security.nl/artikel/32214/1/ING_en_2o7.net.html
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?

Beste Jack,

Als 'een nobody' hier iets meldt, wat daardoor wordt 'opgepikt' en dit soort 'consequenties' heeft ... is dat toch alleen maar een positieve ontwikkeling ?!
En voor jouw informatie; Huub, (aka "Unit 10",) is hier ook vaak aanwezig, dus niet iedere 'JackPoint', is een 'nobody' .... ;)

En vergeet niet het andere positieve aspect van 'het Internet';

"We have existed before the first dawn, and will exist past the last sunset.
We are ageless, emotionless ans endless.
We do not forgive.
We do not forget.

Anonymous, pointing out since 1997" !

Suc6 met je perspectief !
24-02-2010, 15:40 door spatieman
ik denk dat een massa aanklacht van abn-oplichters bank klanten wel zou werken..
maar niet alleen de ABN, maar bijna alle banken maken zich hier aan schuldig.
24-02-2010, 16:25 door JackPoint
Door Anoniem:
Door JackPoint: Dit is op 26-01-2010 al op het forum langs geweest: http://www.security.nl/artikel/32214/1/ING_en_2o7.net.html
Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?

Beste Jack,

Als 'een nobody' hier iets meldt, wat daardoor wordt 'opgepikt' en dit soort 'consequenties' heeft ... is dat toch alleen maar een positieve ontwikkeling ?!
En voor jouw informatie; Huub, (aka "Unit 10",) is hier ook vaak aanwezig, dus niet iedere 'JackPoint', is een 'nobody' .... ;)

En vergeet niet het andere positieve aspect van 'het Internet';

"We have existed before the first dawn, and will exist past the last sunset.
We are ageless, emotionless ans endless.
We do not forgive.
We do not forget.

Anonymous, pointing out since 1997" !

Suc6 met je perspectief !

Mijn opmerking is niet zo zwart wit als het misschien over komt bij sommige mensen. Natuurlijk snap ik dat en hoe zoiets gebeurt.
Toen ik het forum las, dacht ik al, dat klopt inderdaad niet, ik had toen al een linkje naar de redactie hier kunnen sturen zodat ze er een artikel over konden schrijven. (http://www.security.nl/tip)
Op tweakers.net wordt vaker iets van gebruikers op het forum aangehaald in nieuwsberichten, vandaar het idee.
24-02-2010, 16:33 door Anoniem
Beide cookies zijn te blokkeren door het vinkje "accept third party cookies" uit te zetten in firefox.
24-02-2010, 16:52 door Anoniem
Met Firefox en de extensie Adblock Plus is het eenvoudig te blokkeren: https://easylist.adblockplus.org/
Op die pagina kan je een "Adblock Plus abonnement" toevoegen: Easyprivacy.
De site is de officiële Adblock Plus abonnementen lijst.
24-02-2010, 16:53 door Anoniem
ING doet hetzelfde. Is ook al op het forum gepost.

De inlogpagina: https://mijn.ing.nl/internetbankieren/SesamLoginServlet
Het script: https://mijn.ing.nl/internetbankieren/js/s_code.js

Ook lekker leesbaar... Niks te verbergen.
24-02-2010, 17:04 door Anoniem
Door Anoniem: Je kunt ook dnsmasq installeren op je router en daar Omniture in een blacklist plaatsen:
http://wiki.flexion.org/SettingUpDNSMasq.html#1.3
Is het niet makkelijker om "127.0.0.1 2o7.net" in je hosts-file op te nemen?
24-02-2010, 17:12 door Anoniem
Ik gebruikte Google vertalen naar deze post, dus vergeef me als het gaat over een beetje vreemd.

Omniture (http://www.omniture.com) is geen spyware. Het is een web analytics bedrijf dat nu deel uitmaakt van de Adobe Corporation. De scripts die je ziet zijn slechts collectie webgebruik gegevens, zodat de eigenaren van de website dan kunnen gebruiken om hun site te optimaliseren en te verbeteren voor de gebruikers.

Dat is niet anders dat elke andere Web Analytics scripts die er zijn. (Yahoo, Google, Webtrends ... etc)

-Rudi Shumpert (http://www.rudishumpert.com)
24-02-2010, 18:11 door Anoniem
Door Anoniem: Ik gebruikte Google vertalen naar deze post, dus vergeef me als het gaat over een beetje vreemd.

Omniture (http://www.omniture.com) is geen spyware. Het is een web analytics bedrijf dat nu deel uitmaakt van de Adobe Corporation. De scripts die je ziet zijn slechts collectie webgebruik gegevens, zodat de eigenaren van de website dan kunnen gebruiken om hun site te optimaliseren en te verbeteren voor de gebruikers.

Dat is niet anders dat elke andere Web Analytics scripts die er zijn. (Yahoo, Google, Webtrends ... etc)

-Rudi Shumpert (http://www.rudishumpert.com)
Ach wat is het verschil tussen Omniture en Google Analytics. Het is redelijk hypocriet van security.nl om hier over te rapporteren, maar zelf vrolijk een soort gelijke technologie te gebruiken. Als ze een inhouse oplossing gebruiken zou het ze sieren, maar voorlopig zijn ze niet echt geloofwaardig. En ja betaalbare inhouse oplossingen zijn er. Daarbij is het heel gevaarlijk om je sessies te delen met andere domeinen zoals Google, maar dat zullen we in de komende periodes wel mee gaan maken.
24-02-2010, 18:42 door Anoniem
Niet meer dan te vereenvoudigen, maar het belangrijkste verschil tussen Google Analytics en Omniture is dat Google is een gratis service en Omniture is een betaalde dienst.

Noch een kwaad is, of spyware of kwaadaardige code. Geen van deze diensten moeten worden vermeld als zodanig.

-Rudi
24-02-2010, 19:26 door [Account Verwijderd]
[Verwijderd]
24-02-2010, 19:55 door Anoniem
"... Inmiddels heeft ABN AMRO het verzamelen van statistische gegevens verder in de broncode verstopt, zodat de plug-ins geen alarm meer slaan op de aanwezigheid van onveilige en ongewenste scripts. ..."

Mijn NoScript en Ghostery zien nog steeds Omniture op de ABN Amro site, dus deze bewering klopt niet. Mij lijkt het meer gratis reclame voor het onderzoeksbureau.
24-02-2010, 20:18 door Anoniem
Zal niet lang meer duren voordat hackers 2o7.net overnemen. Als zo'n hack ook maar een beetje behoorlijk uitgevoerd wordt, lijkt me de schade niet meer te overzien, maar mss hebben deze banken dit risico ingecalculeerd/verzekerd. 1x raden wie de premie betaalt. Eerder hebben we al gezien wat een gehackte reclame server veroorzaakte die aan sites als nu.nl serveerde, maar ja, wie niet horen wil... Als je 3rd party scripts in je beveiligde bank pagina's toelaat, vraag je om problemen.
24-02-2010, 20:20 door [Account Verwijderd]
[Verwijderd]
24-02-2010, 21:40 door Anoniem
De ING plaats ook 207 cookies.
25-02-2010, 00:17 door Anoniem
Het blokkeren van Omniture (= 2o7) is makkelijk, maar dan werkt het beveiligde deel van de ABN AMRO site niet meer, dus dat is geen optie.

Overigens, het posten op deze site werkt ook niet als ik 3rd party cookies blokkeer, dan krijg ik geen capatcha meer te zien.
25-02-2010, 09:52 door Anoniem
Lijkt me overigens onwenselijk dat banken inhouse oplossing gaan verzinnen voor diensten die giganten als Google en Adobe al leveren als main-services. Of ze die gegevens nou vanuit de achterkant doorgeven of direct via een cookie bij de client maakt dan weinig uit lijkt me. Nu kan je nog zelfs voorkomen dus door betreffende cookies te weigeren. Neem aan dat er bij geen van de banken ook daadwerkelijk persoons of rekeninginformatie wordt doorgegeven maar alleen navigatie paden e.d.?

Mocht dit toch worden aangepakt, dan graag ook de reclames en billboards langs de verkeerswegen weghalen, ik wordt verplicht om op alle verkeersaanwijzingen te letten (agent: "stond een stopbord eerder in de straat mijnheer") maar moet daardoor verplicht publieke bannering in mijn opnemen om te zien of het om een zeeman-onderbroek reclame gaat of het een waarschuwing is voor de b.o.b., omleidingen, snelheid of flitsers..... noem maar even een niet bestaand dwarsverband over het uitdelen van rode kaarten hoor.
25-02-2010, 12:52 door Anoniem
Het blokkeren d.m.v. Firefox met Adblock Plus en EasyPrivacy list (zoals eerder beschreven) tast het functioneren van de ABN AMRO site niet aan (Dit geldt ook voor de ING-site).
25-02-2010, 21:07 door Anoniem
Indien Omniture geblokkeerd wordt met Ghostery dan kan ik met mijn PC niet meer inloggen op de ABNAMRO site. Ik krijg simpelweg het formulier niet meer te zien waarop ik mijn rekeningnummer kan invullen. Met Ghostery Omniture niet blokkeren, maar 2o7.net omleiden naar 127.0.0.1 in de host file werkt prima en heeft volgens mij hetzelfde effect.

Er zijn voldoende alternatieve oplossingen beschikbaar om gebruikersgedrag te meten zonder daar een 3th party service voor te gebruiken. In mijn ogen zou ABNAMRO dan ook gebruik moeten maken van in house gehoste software voor het meten van gebruikersgedrag. Dit hoeft op de schaal van ABNAMRO niet duurder te zijn dan een 3th party service.

ABNAMRO zou deze schijn van mogelijke gegevens lekken niet moeten willen. Even voor de duidelijkheid Omniture is in mijn ogen een legale service. Wat ik echter niet prettig vind is als de een 3th party als Omniture kan zien dat ik bankier bij de ABNAMRO en deze gegevens kan koppelen aan mijn andere site bezoeken die ook door Omniture gemeten worden.
26-02-2010, 10:16 door Anoniem
Denk dat je je toch redelijk vergist als het gaat om grote organisaties die ICT toepassen, of het nou gaat om de banken, luchtvaart, of een uitkeringsinstelling, als je denkt dat dit type bedrijven zich gaan bezighouden met het ontwikkelen, beheren of implementeren van complexe oplossingen dan heb je het mis. Zou wat zijn als de politie, belastingdienst of stelletje bankiers zelf aan het knuttselen gaan. Trek een blik managers open, bel Getronics, koop wat software en licenties, tot slot wat juridisch advies en gaan met die banaan!
26-02-2010, 12:32 door Anoniem
Door Anoniem: Denk dat je je toch redelijk vergist als het gaat om grote organisaties die ICT toepassen, of het nou gaat om de banken, luchtvaart, of een uitkeringsinstelling, als je denkt dat dit type bedrijven zich gaan bezighouden met het ontwikkelen, beheren of implementeren van complexe oplossingen dan heb je het mis. Zou wat zijn als de politie, belastingdienst of stelletje bankiers zelf aan het knuttselen gaan. Trek een blik managers open, bel Getronics, koop wat software en licenties, tot slot wat juridisch advies en gaan met die banaan!

Volgens mij heb je mijn reactie niet goed gelezen. Het is inderdaad overbodig voor ABNAMRO om dit soort software te onwikkelen. Die kun je gewoon kopen. en vervolgens in je eigen hosting centrum op je eigen servers draaien. Op die manier blijft de data binnen ABNAMRO.

Dat is namelijk het hele punt van dit artikel ABNAMRO deelt informatie van onwetende gebruikers met derde partij.
28-02-2010, 21:37 door Anoniem
betterPrivacy plugin voor FireFox delete verborgen cookies
https://addons.mozilla.org/en-US/firefox/addon/6623
01-03-2010, 13:37 door Anoniem
Door Anoniem:
Dat is namelijk het hele punt van dit artikel ABNAMRO deelt informatie van onwetende gebruikers met derde partij.

Inderdaad, en het gebruik van bijvoorbeeld Google Analytics verandert daar niets aan.
02-03-2010, 19:47 door Eerde
Onderzoeksbureau ?

1. Vage site als ik doorklik op de KvK gegevens;
http://www.kvk.nl/404.asp
404 - Pagina niet gevonden
De pagina die u zoekt, bestaat niet (meer).

2. Gooi- & Eemland maar huisvesting Enkhuizen ?

3. Verschillende Pics van (deze) Huub Roem op internet...

4. Wat Google Apps met een fake naam googlemaps op Twitter te maken heeft is mij een raadsel (overigens bestaat die naam niet meer op Twitter).

5. Vakgebied: "Aanwege kennis"

Hahaha, het lijkt sterk op die andere Internetdetective Engelsman ofzo die duizenden mensen over de hele wereld in dienst zou hebben, maar niet eens bij KvK bekend is en ook al voor *kuch* Justitie zou werken die echter nooit van de man gehoord hebben.....

Jaja...
02-03-2010, 20:10 door Anoniem
Ik heb twee vragen.

Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.

Ik weiger in het dagelijkse leven om mee te doen met zaken die niet deugen. Zoals een winkel die mij iets verplicht dat er niet toe doet. Sommige websites, bijvoorbeeld, vragen je zaken die de lokale supermarkt je nooit zou DURVEN vragn. Dus: als iemand vindt dat hij/zij niet mee wil doen met activiteiten die niet deugen, wil ik vragen: kijk eens naar Jondo en Jondofox. De engelstalige Wiki-pagina over deze prachtige software staat hier:

http://en.wikipedia.org/wiki/Java_Anon_Proxy

Mijn bericht dat ik vandaag aan ABN-AMRO schreef, is als volgt. De tekst spreekt voor zichzelf:

CITAAT
Geachte lezers,

Eind vorige week heb ik u een bericht gestuurd over de spionnage die u via uw site op mij toepast. Ik heb nog geen antwoord ontvangen -> dat is niet erg, want ik zeg altijd: beter een goed dan een snel antwoord.

Hierbij een samenvatting en een aanvulling. Volgens betrouwbare berichten (zie www.security.nl) neemt u al mijn acties op uw site waar, en u doet dat onder andere door een normale regel over externe links totaal afwijkend uit te leggen van wat iedereen normaal acht. Dat is pure misleiding.

Deze werkwijze en andere werkwijzen van u, zijn op de grens van het juridisch toelaatbare. Maar los daarvan gelden voor mij normale omgangsvormen, en daar gaat u VER overheen. Wat u doet is zeer LAAKBAAR GEDRAG.

Aan laakbaar gedrag wens ik niet mee te doen. Echter, op allerlei manieren heeft u mij daar toe gedwongen (o.a. door geheimhouding van uw handelingen tegenover mij). Dat neem ik u zeer kwalijk.

Ik verzoek u nogmaals, mijn bericht van eind vorige week volledig bevredigend te beantwoorden. Ik verzocht u o.a. een methode om uw manier van doen te blokkeren. Tot dat moment pas ik alle middelen toe die ik heb, om een correct gedrag van uw kant af te dwingen (zoals momenteel: JAP). Antwoordt u niet correct, dan plaats ik dit bericht EN uw antwoorden op de site van de Consumentenbond.

Dat kan voor u geen probleem zijn, want u gedraagt zich geheel correct, toch?

HOOGACHTEND

EINDE CITAAT
02-03-2010, 20:48 door Anoniem
--- willen jullie mijn post nog plaatsen aub? Ik denk dat mijn bijdrage erg belangrijk is. Mijn post was ----


Ik heb twee vragen.

Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.

Ik weiger in het dagelijkse leven om mee te doen met zaken die niet deugen. Zoals een winkel die mij iets verplicht dat er niet toe doet. Sommige websites, bijvoorbeeld, vragen je zaken die de lokale supermarkt je nooit zou DURVEN vragn. Dus: als iemand vindt dat hij/zij niet mee wil doen met activiteiten die niet deugen, wil ik vragen: kijk eens naar Jondo en Jondofox. De engelstalige Wiki-pagina over deze prachtige software staat hier:

[...]
23-03-2010, 17:10 door Anoniem
Wil iemand deze rode kaart mischien op http://www.rodekaart.nl zetten?
Hij is het waard om op te stemmen!
08-08-2010, 23:20 door Unit 10 Forensics
Door Eerde: Onderzoeksbureau ?

1. Vage site als ik doorklik op de KvK gegevens;
http://www.kvk.nl/404.asp
404 - Pagina niet gevonden
De pagina die u zoekt, bestaat niet (meer).

2. Gooi- & Eemland maar huisvesting Enkhuizen ?

3. Verschillende Pics van (deze) Huub Roem op internet...

4. Wat Google Apps met een fake naam googlemaps op Twitter te maken heeft is mij een raadsel (overigens bestaat die naam niet meer op Twitter).

5. Vakgebied: "Aanwege kennis"

Hahaha, het lijkt sterk op die andere Internetdetective Engelsman ofzo die duizenden mensen over de hele wereld in dienst zou hebben, maar niet eens bij KvK bekend is en ook al voor *kuch* Justitie zou werken die echter nooit van de man gehoord hebben.....

Jaja...

Vandaag via statistieken op deze thread gekomen en hierbij een reactie:

1. Website Kamer van Koophandel is blijkbaar ten tijde van je bezoek plat geweest, dit werkt gewoon.....

2. Lezen is ook vak, er staat nergens Enkhuizen

3. En wat wil je hiermee zeggen?

4. Google en Twitter hebben het blijkbaar wel begrepen, na contact met Google is er actie ondernomen

5. Bedankt voor de attentie voor deze typefout, is inmiddels hersteld

Vergelijk gaat niet op, Unit 10 is volledig transparant onderneming voor zover Wbp en Wbpr dit toelaten. Als je eens een kijkje wilt nemen ben je van harte welkom.
21-11-2010, 10:20 door Anoniem
is er al reactie op die brief van abn amro ?
ben erg benieuwd ,schrok hier ook wel van eerlijk gezegd
23-02-2011, 19:13 door Anoniem
Door Anoniem: --- willen jullie mijn post nog plaatsen aub? Ik denk dat mijn bijdrage erg belangrijk is. Mijn post was ----


Ik heb twee vragen.

Als iemand vindt dat ABN-AMRO onfatsoenlijk bezig is, laat dat dan heel duidelijk weten bij die bank. Het onfatsoen is daar groot genoeg voor. De toegepaste misleiding is mogelijk zelfs strafbaar.

[...]
Ik wil niet lullig doen, maar dit heb ik in 2009 al aangekaart
http://www.security.nl/artikel/31021/1/ABN_AMRO_inlog_probleem.html

De reactie van ABNAMRO was dat ik niet moest zeiken want het was gewoon maar een script...

Overigens was Vara's KASSA hier in 2009 ook in geinterseerd, maar daar heb ik nooit meer wat van gehoord
19-05-2011, 14:18 door Anoniem
Goedemiddag,

Mijn naam is Fabian, ik ben programmeur en gespecialiseerd in de ontwikkeling van web applicaties. Om een aantal dingen te verhelderen, leg ik even uit hoe het verzamelen van statistieken werkt, en waarom het geen beveiligingsrisico is voor uw internetbankieren.

1. U bezoekt Internetbankieren
2. Bij het laden van de pagina wordt een dergelijk script aangeroepen, dit script verzameld een aantal publiek beschikbare gegevens:
- HTTP aanvraag-headers (informatie die hieruit te halen valt: pagina die het script aanroept, uw taal zoals ingesteld in de browser)
- 'User-agent string': informatie over uw browser, de versie en welk besturingssysteem
- Uw IP adres, welke gebruikt wordt om uw locatie vast te stellen.
3. Het script plaatst een cookie in de browser welke (in de regel) gebruikt wordt om te identificeren dat de pagina al opgenomen is in de statistieken (cookies zijn tekst-bestanden, niet uitvoerbaar en kunnen enkel gelezen en herschreven worden door de site die ze toevoegt: i.e.: ING.nl kan niet in een cookie van 2o7.com, en 2o7.com kan niet in cookies van ING. Cookies zijn met nadruk géén uitvoerbare bestanden die iets met uw computer kunnen doen).
4. U kunt veilig internetbankieren. Omniture zal kunnen meten welke pagina's u bezoekt, zelfs welke knoppen u gebruikt om naar die pagina's te gaan, maar kan niet aan uw inlogcodes, TAN codes, random reader codes oid komen.

De bank, of meer specifiek het bedrijf wat het systeem van de bank ontwikkeld gebruikt deze gegevens met name om de user interface te verbeteren, eventuele zaken te identificeren die gebruikers niet begrijpen, etc.

De claim dat het een serieus risico is, is nonsens. Het verbaast me ook dat een "onderzoeksbureau" hier onderzoek naar doet, terwijl ze er overduidelijk niks van snappen. Ter ondersteuning daarvan, voor een onderzoek is het bijzonder mager: enkel identificeren welke scripts een site gebruikt, zijn nog geen 'bewijs' van onveilige praktijken.

Fabian.
21-07-2011, 20:45 door Anoniem
ABN-AMRO is een oplichtersbank, zie www.gerrit-zalm.com , www.trade-box.info, ik gedupeerde en weet zeker, hoewel moeilijk te bewijzen, zij zelf middels deze "spy-ware" mijn optie possities op TRADEBOX hebben gemanupuleerd. Mijn possities werden veel geld waard, maar waren "blanc" op hun gemanupuleerde TRADEBOX systeem. Kon niet closen omdat hun gemanupuleerde "STORING" een closing via i-banking verhinderde.

Tips, reacties en/of adviesen, verhalen over gelijke ervaringen met deze Oplichters Bank?.......mail mij op: info@birdy.nl

Ronald Huisman

www.trade-box.info
www.gerrit-zalm.com
www.trade-globe.info

06 25 28 0342
18-09-2011, 00:30 door Anoniem
Door Anoniem: Goedemiddag,

Mijn naam is Fabian, ik ben programmeur en gespecialiseerd in de ontwikkeling van web applicaties. Om een aantal dingen te verhelderen, leg ik even uit hoe het verzamelen van statistieken werkt, en waarom het geen beveiligingsrisico is voor uw internetbankieren.

1. U bezoekt Internetbankieren
2. Bij het laden van de pagina wordt een dergelijk script aangeroepen, dit script verzameld een aantal publiek beschikbare gegevens:
- HTTP aanvraag-headers (informatie die hieruit te halen valt: pagina die het script aanroept, uw taal zoals ingesteld in de browser)
- 'User-agent string': informatie over uw browser, de versie en welk besturingssysteem
- Uw IP adres, welke gebruikt wordt om uw locatie vast te stellen.
3. Het script plaatst een cookie in de browser welke (in de regel) gebruikt wordt om te identificeren dat de pagina al opgenomen is in de statistieken (cookies zijn tekst-bestanden, niet uitvoerbaar en kunnen enkel gelezen en herschreven worden door de site die ze toevoegt: i.e.: ING.nl kan niet in een cookie van 2o7.com, en 2o7.com kan niet in cookies van ING. Cookies zijn met nadruk géén uitvoerbare bestanden die iets met uw computer kunnen doen).
4. U kunt veilig internetbankieren. Omniture zal kunnen meten welke pagina's u bezoekt, zelfs welke knoppen u gebruikt om naar die pagina's te gaan, maar kan niet aan uw inlogcodes, TAN codes, random reader codes oid komen.

De bank, of meer specifiek het bedrijf wat het systeem van de bank ontwikkeld gebruikt deze gegevens met name om de user interface te verbeteren, eventuele zaken te identificeren die gebruikers niet begrijpen, etc.

De claim dat het een serieus risico is, is nonsens. Het verbaast me ook dat een "onderzoeksbureau" hier onderzoek naar doet, terwijl ze er overduidelijk niks van snappen. Ter ondersteuning daarvan, voor een onderzoek is het bijzonder mager: enkel identificeren welke scripts een site gebruikt, zijn nog geen 'bewijs' van onveilige praktijken.

Fabian.

Het gaat adobe niks aan bij welke bank ik zit, waar ik bankier, wanneer ik bankier... helemaal niet als je weet dat adobe verplicht is verzamelde gegevens aan de us goverment te geven. Ik zie dit alleen al als een GROOT RISICO

Mn http headers kunnen weldegelijk info bevatten, alleen al de referrer, weten wat/waar/bij wie etc ik iets koop. Vind ik een NOG GROTER RISICO!

Scripts van derden op je site openen een groot era aan cross site scripting, en op dat moment gaat mijn verbeelding niet ver genoeg op te bedenken welke informatie gestolen tevens ook geinject kan worden! Vind ik een ONEINDIG GROOT RISICO!

Laat staan de open deur voor een man in the middle attack... jij er van overtuigd dat je banksite geheel genuine is (zelf met een sniffer er naast ziet alles er ok uit)... maar de omniture-copy-cat kan ondertussen alles doen wat ie wil...:s

Niet dat ik adobe niet geheel wantrouw, maar van een bank verwacht ik toch iets meer! Mijn vertrouwen
12-10-2011, 17:32 door Anoniem
ABN heeft recentelijk hun internet bankieren aangepast; het is nu niet meer mogelijk om geld over te maken zonder dat Omniture actief is. Heb dit bij de afdeling internet bankieren laten bevestigen. Lijkt chantage wel
17-08-2012, 23:44 door Anoniem
Vandaag weer Omniture actief bij internetbankieren van ABN/AMRO. Het inlogscherm is in FireFox niet zichtbaar als de plug-in DNT+ (Do Not Track Plus) is geïnstalleerd!
01-02-2014, 00:10 door Anoniem
Ik heb hier: https://www.security.nl/posting/27452/ING+en+2o7_net

Een stappen plan geplaatst hoe je in Chrome cookies van 2o7.net kan blokkeren zonder dat je extra software hoeft te installeren. Voordeel is dat het secure gedeelte van de ABN site nog werkt.

Je kan natuurlijk ook (wat ik doe) internetbankieren vanuit incognito mode, dan wordt als je de browser sluit je cookie weggegooid. Nadeel is dat je iedere keer je rekening nummer en pasnummer moet invullen.
03-03-2014, 10:32 door Anoniem
"Als "zomaar iemand" dat meld wordt er niets meer gedaan, dat moet zeker via een onderzoeksbureau voordat de media er iets mee doet?"

Denk je dat het feit dat een bank gebruik maakt van analytics software ook maar enige nieuwswaarde heeft, terwijl dit tegenwoordig een vrij standaard methode is ? Leg een uit waarom dit media aandacht nodig heeft zou ik zeggen, ik ken weinig grote bedrijven die geen gebruik maken van Omniture, van Google Analytics, of van soortgelijke diensten.
03-03-2014, 10:35 door Anoniem
"Het gaat adobe niks aan bij welke bank ik zit, waar ik bankier, wanneer ik bankier... helemaal niet als je weet dat adobe verplicht is verzamelde gegevens aan de us goverment te geven. Ik zie dit alleen al als een GROOT RISICO"

Waaruit maak je op dat de ABN de gegevens ook deelt met Omniture, en dat de gegevens niet gewoon binnen de bank blijven ? Dat je een analytics pakket van een bepaalde leverancier gebruikt hoeft niet te zeggen dat je de gegevens die je via dat pakket verzamelt ook deelt met die leverancier......

---
Omniture zou via de website van ABN Amro geen herleidbare persoonsgegevens ophalen. De opgehaalde gegevens worden daarnaast niet door Omniture gebruikt of gedeeld met derden. "Omniture is een gewone en betrouwbare leverancier van webanalyticssoftware", aldus de medewerker.
---

Het is wel grappig om te zien hoeveel voorbarige conclusies er hier worden getrokken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.