Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ING "lek"gevonden. Anoniem melden is onmogelijk

24-09-2011, 11:02 door Anoniem, 13 reacties
Vroeg me af of de ING een financiële vergoeding geeft voor een lek op de ING site waar men inlogt.
Helpdesk gebeld en die wil mij alleen doorverbinden met de juiste afdeling als ik mijn naam en gironummer geef.
Ik wil dit niet.
"Dan kunnen wij u niet doorverbinden" zei de mevrouw aan de telefoon.

Het zal wel aan mij liggen maar ik begrijp het niet.
Is mijn naam en nummer belangrijker dan de ellende die ING klanten kunnen krijgen wanneer er misbruik gemaakt
gaat worden van dit "lek" ?
Iemand een tip wie ik het beste kan benaderen zodat ik te weten kan komen of ING dit soort dingen beloond.
Dat er naar gekeken kan worden waar ik het over heb.

De financiële vergoeding wil ik naar een goed doel laten overmaken.
voor niks gaat de zon op.

Dank u
.
Reacties (13)
26-09-2011, 07:21 door Anoniem
Wat een walgelijke mentaliteit; alleen op basis van een beloning wil je een probleem doorgeven ...
Laat jij een gewonde op straat soms ook liggen totdat er een vergoeding is geregeld?
26-09-2011, 10:07 door choi
Um..., als je een beloning wilt zullen ze toch eerst een rekeningnummer van je moeten hebben (of wil je het in bitcoins of zo), hoewel ik betwijfel of een bank een dergelijk beloningsbeleid heeft.

Gaat het vooral om het melden van het 'lek' dan kan je de bank anoniem mailen en een deadline opgeven alvorens zelf tot disclosure over te gaan, bijv. op security.nl.
Als het om een serieuze zaak gaat zal de redactie zeker geïnteresseerd zijn in een primeur.
26-09-2011, 12:06 door 0101
Door Anoniem: Wat een walgelijke mentaliteit; alleen op basis van een beloning wil je een probleem doorgeven ...
Laat jij een gewonde op straat soms ook liggen totdat er een vergoeding is geregeld?
Je kunt het bericht ook verstaan als: TS wil een lek bij de bank rapporteren, bank wil eerst rekeningnummer weten (vanwege beloning?); TS wil dit niet geven en vraagt zich nu af wat de bank met zijn rekeningnummer moet.

Inderdaad een post die heel dubbel opgevat kan worden.
26-09-2011, 12:20 door Anoniem
De helpdesk bellen is kansloos. Die mensen hebben belscripts voor alle gewone bedrijfsprocessen en het aanmelden van beveiligingsproblemen is niet iets wat in die scripts staat*. Elke bank heeft een security afdeling, die moet je hebben, domme vragen over je rekening nummer gewoon beantwoorden met vragen naar de manager.
26-09-2011, 14:27 door Anoniem
Altijd de naam vragen van diegene die je nu aan de lijn hebt/kreeg.
Vervolgens vragen of je zijn/haar manager mag spreken. Let maar eens op hoe snel je wordt doorverbonden.

Zo niet, kan je zeggen dat je een stukje publiceert over het gevonden lek. (Met daarbij uiteraard de reactie van de bankmedewerker ;-) )

Ik vind het trouwens helemaal niet dom dat mensen hier een beloning voor willen hebben. Je kan dit ook absoluut niet vergelijken met een gewond persoon die je op straat zou laten liggen als je er niks voor krijgt. Sterker nog... Van de gewonde persoon krijg je vrijwel 100% zeker eeuwige dank en/of vergoeding achteraf als je zijn/haar leven zou hebben gered. Van de bank is dat nog maar zeer de vraag... Sterker nog... je zou nog wel eens aangeklaagd kunnen worden voor hacking/fraude.
Zie voorbeeld OV chipkaart (Brenno de Winter).

Anderzijds... het is niet geheel ongewoon dat mensen een slachtoffer (van zinloos geweld) links laten liggen. Heeft verder weinig met beloningen te maken, maar vooral met het kiezen voor eigen veiligheid. (of ik het daarmee eens ben laat ik in het midden)
27-09-2011, 03:06 door Anoniem
Vergeet je beloning maar, Ik heb zelf een ernstige beveiligingslek ontdekt bij de ING.
Ten eerste moest ik daarnaartoe gaan, krijg je 2 rechercheurs te spreken, die helemaal niks snappen van wat ik bedoelde.
Vroegen ze wat het beste is om veilig te bankieren voor de consument:
Had ik ze raad gegeven, dat ze beter kunnen booten dmv een live-cd/usb, zeggen ze dat het te duur is...
dan zoek het lekker zelf uit.
27-09-2011, 13:39 door [Account Verwijderd]
[Verwijderd]
27-09-2011, 15:41 door Anoniem
@ Anoniem 03:06 uur.

Als ik die vraag had gekregen hoe het beter had gekund, had ik gezegd:

Daar zal ik graag mijn kennis en advies over delen, tegen het tarief van x euro per uur. Ik neem aan dat die 2 stuks rechercheurs daar ook niet voor niets rondlopen?
Als vervolgens blijkt dat mijn oplossing te duur is, moeten ze het inderdaad zelf maar weten, maar dan zou ik op mijn beurt weer niet schromen daar eea over te publiceren.
Ik kan me overigens moeilijk voorstellen dat rechercheurs gaan (uitspraak zullen doen ) over het investeren in dergelijke projecten bij een bank, maar dat terzijde...

Ik denk als je met een goed kosten baten plaatje komt, elke investeerder kiest voor een oplossing die hem uiteindelijk het minste risico en geld kost. Als daaruit komt dat het goedkoper is om zo nu en dan een fraudegevalletje te vergoeden aan een klant, is dat hun zaak, en wordt er -als het goed is- niemand gedupeerd (behalve de bankl, maar die neemt dat risico blijkbaar). De banken zijn in NL namelijk verantwoordelijk voor jou geld en zullen ook vergoeden als er dus fraude/misbruik wordt gemaakt van je gegevens (buiten jou schuld om natuurlijk).
27-09-2011, 23:55 door Anoniem
Mail dat je een serieus lek hebt gevonden, en dat je dit voor 20.000 euro aan ze wilt laten zien.
Ze meoten aantoonbaar geld overmaken naar een goeddoel van jou keuze (een grote, niet die van de buurvrouw haar looprek-stichting) en aantonen dat dit niet in mindering wordt gebracht op hun reguliere goededoelen/reclame budget.

Geef aan wat je kunt met het lek, en bied aan een proof of concept te sturen nadat ze je een vrijwaring van vervolging geven, immers, een PoC is een illegale handeling hoogstwaarschijnlijk.

Geef ook aan dat je tot full disclosure overgaat, (dat woord kennen ze niet) maar dat je ook een interview bij Geenstijl gaat aanbieden over de zaak (dat woord kennen ze wel)

Mail dit naar een heel stel interne helpdeskadressen (website staat er vol mee) en wacht even af. ;-)
28-09-2011, 10:09 door Anoniem
mijn tip: benader Brenno de Winter.
Journalisten hebben recht op bron bescherming.
28-09-2011, 13:02 door suder
Ik zou het een goede zaak vinden als de ING een beloning zou geven voor zo,n belangrijke tip .
bv 200 Euro ? Dat is niks vergeleken met de kosten die de bank moet maken als computercriminelen achter dit lek komen .
En wat dat je van de ellende van de mogelijke slachtoffers die duizenden euro,s kunnen verliezen door zo,n lek .

Doe nog eens een poging bij de ING om dit lek te melden bij de juiste personen a.u.b ?

Ik weet niet of je een beloning krijgt maar misschien voorkom je veel stress en ellende bij heel veel mensen met
deze melding .

Mijn dank heb je in ieder geval :)

Groetjes .
28-09-2011, 13:18 door Anoniem
zoals suder hierboven me zegt kan je ze er ook op wijzen

Je kan naar het hoofdkantoor bellen, en het probleem uitleggen tegen over vergoeding en erbij vermelden dat deze lek in verkeerde handen kan vallen en de schade 100x groter kan worden dan de vergoeding

ik zou het niet publiceren de lek want dan heb je mee gewerkt aan de schade, dan moet je het pas publiceren ALS het probleem verholpen is en ING het er mee eens is anders krijg je nog meer schijt aan je broek
29-09-2011, 17:53 door Anoniem
Je kan via de website van ING heus wel aan een mail / nummer komen van de technische club of hoofdkantoor. Logisch dat je via de servicedesk geen stap verder komt. Of vragen naar de manager via de servicedesk, of een mail sturen naar de technische support afdeling met een algemene beschrijving. Vrij logisch toch?

p.s. Niet over gaan tot disclosure. Ik weet zeker dat zodra je de juiste mensen bij ING te pakken hebt ze heus wel geinterreseerd zijn. En bovendien heeft dit ook te maken met een stukje maatschappelijke verantwoordelijkheid toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.