image

ABN Amro: Omniture-tracker nodig voor internetbankieren

woensdag 4 november 2015, 11:44 door Redactie, 25 reacties

De Omniture-tracker die op de website van ABN Amro actief is, is nodig voor bepaalde functionaliteiten van internetbankieren, zoals rekeningafschriften, zo heeft de bank laten weten. De aanwezigheid van de Omniture-tracker is een onderwerp dat al jaren bij klanten speelt.

Het is vooral een probleem voor gebruikers van de populaire Ghostery-browseruitbreiding. Ghostery blokkeert standaard de Omniture-tracker, waardoor ABN Amro-klanten niet op internetbankieren kunnen inloggen. "Voor bepaalde functionaliteiten binnen het Internet Bankieren heb je dit nodig. Het meeste kan zonder", zo laat de bank op Twitter aan een klant weten. De klant vroeg de bank of hij ook zonder de tracker kon internetbankieren. Volgens ABN Amro is Omniture voor bijvoorbeeld rekeningafschriften nodig. Daarnaast is de data die de tracker verzamelt "voor ons van groot belang", aldus de bank.

Die liet in 2013 nog weten dat het internetbankieren zonder trackingcookies ging aanbieden. Vorig jaar zou het voor klanten mogelijk moeten zijn om bepaalde cookies, verbonden met Omniture, social media platformen en Google locator, als groep te weigeren. Voor klanten is het echter nog steeds niet mogelijk om Omniture te blokkeren. We hebben ABN Amro dan ook om een reactie gevraagd.

Update 5 november

ABN Amro laat in een reactie tegenover Security.NL weten dat de bank Omniture (nu Adobe Analytics) op haar website gebruikt om data op te halen die helpen de website te optimaliseren. Daarbij hebben gebruikers van de website de keuze om hun bezoek niet door Adobe Analytics te laten meten. "Er zijn verschillende programma's waarmee Adobe Analytics kan worden geblokkeerd. Als klanten onze website en Internet Bankieren willen gebruiken maar tevens Adobe Analytics wil blokkeren, is het advies dat zij daarvoor een programma in te zetten dat niet actief ingrijpt in de code van onze website", aldus een woordvoerster.

Image

Reacties (25)
04-11-2015, 12:02 door Anoniem
"Volgens ABN Amro is Omniture voor bijvoorbeeld rekeningafschriften nodig."

Een tracker-/marketingbedrijf (Omniture), nodig voor de rekeningafschriften? De rekeningafschrift-data komt gewoon van ABN zelf af en niet via Omniture. Wat een onzin zeg. Hier wordt gewoon lekker extra geld verdient.

Natuurlijk, het is en blijft een bank. Die gaan over lijken.
04-11-2015, 12:32 door Anoniem
Een bank die met internetbankieren trackingcookies plaatst van Adobe spoort niet helemaal en neemt de privacy van diens klanten niet serieus. Omniture wordt ook door de ING gebruikt en die blokkeer ik standaard terwijl internetbankieren gewoon werkt. De ING heeft mij nooit kunnen uitleggen waarom zo n tracking cookie nodig is en aangezien alles werkt blokkeer ik deze.
Verklaring van onze staatsbank is onzin want die tracking cookies is helemaal niet nodig voor bankafschriften omdat ze immers weten wie er ingelogd. Als ik niet meer zou kunnen internetbankieren zonder allerlei spyware te moeten accepteren dan is het vrij snel afgelopen met de bank in kwestie want er zijn andere banken die de privacy van hun klanten wel serieus nemen.
04-11-2015, 12:57 door Anoniem
Wat als de IP adressen van omniture op netwerkniveau (bv door de beheerder van kantoorruimtes) geblokkeerd zijn en de klant van de bank hier dus geen invloed op heeft?

Het is eigenlijk een beetje bizar als een bank met een enorm IT budget gaat beweren dat hun dienst onbruikbaar is zonder een link met commerciële data harvesters...

Dus bij een storing bij omniture kunnen klanten niet meer internetbankieren bij ABN, ook niet als alle systemen van de bank gewoon online zijn... Dat is echt iets waar het hoofd ICT bij ABN erg goed over nagedacht heeft... Wat een prutsers daar.
04-11-2015, 12:59 door Anoniem

Hoe we het bezoek aan deze website meten

Voor onze website gebruiken wij een webanalyticspakket van Adobe: Adobe Analytics. Vroeger heette dit pakket Omniture. Deze tool verzamelt statistische gegevens over bezochte webpagina's en websitegebruik. De meetresultaten helpen ons om onze website te verbeteren.

Hoe zit het met uw privacy?

Adobe Analytics verzamelt voor ons het zogenaamde 'klikgedrag', waaraan we kunnen zien of een pagina werkt zoals we de pagina bedoeld hebben. De gegevens die we verzamelen zijn geen persoonsgegevens. We kunnen niet zien welk IP-adres iemand gebruikt. IP-adressen worden ook door Adobe Analytics niet gebruikt of gedeeld met derden.

Als u bent ingelogd in Internet Bankieren, weten onze banksystemen wie u bent. Maar onze banksystemen delen die gegevens niet met Adobe Analytics.

Er worden dus nooit persoonlijke gegevens van of over u opgeslagen voor of door Adobe Analytics. Als u wilt weten voor welke doeleinden we wel persoonsgegevens gebruiken, kunt u dat lezen in ons privacy statement.

Wilt u uw bezoek liever niet laten 'meten'?

U kunt er natuurlijk voor kiezen uw bezoek niet te laten meten. Er zijn verschillende programma's te vinden waarmee u de dienst van Adobe kunt blokkeren. Wij hebben wel gemerkt dat sommige programma's die Adobe blokkeren ervoor zorgen dat onze website niet meer goed werkt. Als u onze website wilt gebruiken en de dienst wilt blokkeren, gebruik dan een programma dat niet actief ingrijpt in de code van onze website.
04-11-2015, 13:00 door Anoniem
Er is geen enkele informatie over het gebruik van een site die een sitebouwer niet ZELF kan verzamelen zonder gebruik
te maken van extern gehoste trackers. Dat men die tracker gebruikt is hooguit gemakzucht, geen technische noodzaak.
04-11-2015, 13:11 door Anoniem
Iets met Mijn ING een tijd geleden....

Identiek toch?
04-11-2015, 13:27 door Anoniem
Dus ik moet mijn bankgegevens delen met een derde commerciële partij?
Opzich ook wel opvallend dat DoubleClick er bij staat. In de jaren 90 hebben ze een toch niet zo betrouwbare indruk opgebouwd. Ja zins ze in handen zijn van het betrouwbare Google hebben ze hun leven gebeterd. Je mag toch verwachten dat een bank niet de gegevens verkoopt van zijn klanten, blijkbaar ben ik hier te naïef in.
04-11-2015, 13:29 door Anoniem
ABN AMRO ?@ABNAMRO 23h23 hours ago

@bensmeets …Omniture is uitgeschakeld omdat deze data voor ons van groot belang is. ^Rick 2/2

Omniture is een extern Amerikaans bedrijf met een eigen privacy policy dat je door ABN AMRO gedwongen bent te accepteren.

ABN AMRO dwingt klanten data af te staan tijdens de privesessie van het internetbankieren uit eigenbelang.

ABN AMRO is kennelijk niet op de hoogte van, of het interesseert ze nog steeds niet, dat Safe Harbor geen Safe Harbor is en dat prive gegevens in handen van Amerikaanse handen niet prive zijn.
04-11-2015, 13:47 door Anoniem
Als ABN Amro klant kan ik uit ervaring vertellen dat het blokkeren van het 2o7.net domein via requestpolicy (continued) het probleem oplost. De website blijft gewoon werken, maar het domein wordt volledig geblokkeerd. Het opvragen van rekeningafschriften heeft nog geen enkel probleem opgeleverd.
04-11-2015, 14:23 door Anoniem
Ghostery citeert Adobe als volgt (dit zouden dus de woorden van Adobe zelf zijn):
“Adobe Analytics, as part of the Adobe Marketing Cloud, provides powerful multi-channel analytics and segmentation to its customers to that customers can measure how users interact with their apps, websites, social pages, and advertising campaigns. Adobe Analytics acts as a service provider (data processor) when performing analytics and segmentation services to its customers."
Dit is niet nodig voor onderdelen van internetbankieren bij ABN-AMRO, dit is iets wat ze zelf gekozen hebben erin te injecteren. Dit is een afhankelijkheid die volslagen onnodig is om aanloggen of het produceren van een rekeningafschrift mogelijk te maken, zoals andere banken en menige niet-bank met hun websites dag in dag uit bewijzen.

Daarnaast is de data die de tracker verzamelt "voor ons van groot belang", aldus de bank.
Dat zou ik wel eens uitgelegd willen zien. Ik heb bij vroegere werkgevers, waaronder een bank, mensen uit de commerciële hoek helemaal los zien gaan op in websites verzamelde data, ze kickten op grafiekjes. Het kan aan mijn exacte insteek liggen, maar mij is nooit duidelijk geworden wat ze daar nou echt van leerden, ze leken het vooral prachtig te vinden om het te kunnen zien.

Ik heb ergens een erg fraai gegevensanalyserend systeem meegemaakt, met indrukwekkende en zeer flexibele mogelijkheden om afleidingen, aggregaties en analyses te kunnen maken. Het was werkelijk ingenieus van opzet, en de resultaten werden fraai gepresenteerd. Alleen bleken de gegevens die de gebruikers ervan het meest waardevol vonden door de webontwikkelaars met een paar eenvoudig Perl-scriptjes rechtstreeks uit applicatielogs geëxtraheerd te kunnen worden. Niet fraai vormgegeven, gewoon wat tekst, maar net zo informatief, en zo'n script had misschien enkele tientallen seconden werk om dat resultaat te produceren. Zowel de logs als de scripts waren in het leven geroepen door de ontwikkelaars om storingen op te kunnen lossen en om performance-bottlenecks op te sporen.

Ik sta op basis van die ervaringen gewoonlijk nogal sceptisch tegenover de noodzaak om zware pakketten of externe dataverwerkers los te laten op gebruiksgegevens van een website. Ik kan niet beweren dat ik alles gezien wat alle aanbieders van dat soort systemen ophoesten, en zeker geen recente versies ervan, maar als ik op hun websites kijk om te zien waarmee ze het verkopen dan zie ik (zoals eigenlijk altijd in verkoopfolders) opgepoetste algemeenheden die me geen concreet beeld geven van wat het nou werkelijk toevoegt aan wat je met veel simpelere middelen kan bereiken.
04-11-2015, 15:04 door Anoniem
Als ABN amro tijd kan investeren om die trackerdienst te gebruiken, hadden zij ook een eigen maaksel kunnen fabriceren die hetzelfde doet, maar dan niet van Omninature afkomstig is. Dan had niemand geklaagt of uberhaupt iets in de gaten gehad. Dit ettert nu al veelstelang door, slechte beurt voor de beleidsmakers daar. Luistert naar of huur een CIO in die snapt hoe het buiten het bastion werkt.
04-11-2015, 15:52 door Anoniem
Door Anoniem: Er is geen enkele informatie over het gebruik van een site die een sitebouwer niet ZELF kan verzamelen zonder gebruik
te maken van extern gehoste trackers. Dat men die tracker gebruikt is hooguit gemakzucht, geen technische noodzaak.
Om het dan nog niet te hebben over de legio mogelijk indentificeerbare info die ontstaat en dus ook bij malafide gebruik onnodig kan lekken uit het gebruik van zo'n veel te breed insteekplatform... wat ook nog een de kans op misbruik van lekken vergroot omdat het een grotere userbase heeft dan een intern ontwikkelt platform dat alleen de juiste metadata (en geen bit méér) vasthoudt...
04-11-2015, 16:20 door Anoniem
ABN-AMRO liegt hier dus keihard in een officieel persbericht; een overheidsbank die haar klanten VOORLIEGT. Ik zeg: manager meteen voor de Tuchtcommissie BankiersEed slepen ! Of gewoon aanklagen, sinds de Safe Harbor invalide is en die data dus niet meer de plas over mag; ABN-AMRO zou hier juridisch gezien mee moeten stoppen of klanten opnieuw om toestemming vragen; ook hier blijven ze in gebreke !
04-11-2015, 16:26 door Anoniem
Goed te lezen watvoor oplossingen er zijn. Maar wat betekent 2o7.net domein, wat betekent requestpolicy? Nooit van gehoord. Ik ben geen IT professional, maar stel een veilig internetgebruik netzoveel, of nog meer op prijs dan de ITers hierboven. Waar en hoe word ik juist voorgelicht? Wat is de praktische toepassing van 2o7.net enzovoort, en geldt dit alleen voor Windows, of ook voor Mac? Duidelijk is in ieder geval dat de banken je zeker niet verder helpen hiermee.
04-11-2015, 17:46 door Anoniem
SNS internetbankieren doet precies hetzelfde, voor en na inloggen.
Ghostery blockt Omniture (Adobe Analytics)
Gevalletje van ernstige privacyschending.
04-11-2015, 17:50 door Anoniem
Bij SNS heeft het blokken van Omniture geen enkel nadelig gevolg voor gegevens en/of leesbaarheid tijdens internetbankieren.
04-11-2015, 18:45 door Anoniem
Of gewoon je rekening opzeggen en overstappen naar een andere bank die op fatsoenlijke wijze omgaat met gevoelige gegevens. Zelf ook deze overstap gemaakt om deze reden en met de verhuisoptie die banken verplicht aanbieden zonder enige problemen.

Als voldoende klanten deze stap maken zal een bank weinig keuze hebben dan haar dienstverlening aan te passen
04-11-2015, 18:57 door Anoniem
Ik gebruik zelf Internetbankieren van SNS bank.
Ik zie dat ghostery ook deze Omniture tracker blokkeert.
Alles werkt goed.
ik weet niet wat men bedoeld met "nodig voor rekeningafschriften"
Ik kan mijn rekening goed inzien tot bijna 1 jaar terug.
Lijkt me dus onzinverhaal van ABn.
Gewoon weg gaan bij deze bank en naar de SNs haha.
04-11-2015, 20:30 door Anoniem
Door Anoniem: Goed te lezen watvoor oplossingen er zijn. Maar wat betekent 2o7.net domein, wat betekent requestpolicy? Nooit van gehoord. Ik ben geen IT professional, maar stel een veilig internetgebruik netzoveel, of nog meer op prijs dan de ITers hierboven. Waar en hoe word ik juist voorgelicht? Wat is de praktische toepassing van 2o7.net enzovoort, en geldt dit alleen voor Windows, of ook voor Mac? Duidelijk is in ieder geval dat de banken je zeker niet verder helpen hiermee.

2o7.net is de domeinnaam (de server) waarnaar de Omniture tracking software haar data stuurt. Omniture is jaren geleden door Adobe overgenomen en is de dus oude product-/merknaam. Request Policy = ingewikkeld voor non-ITers; maar is een manier om met uitgebreidere/complexere variant van de AdBlock plugin (b.v. Ghostery of uMatrix) bepaalde verzoeken/domeinnamen/urls te blokkeren.

Deze Omniture tracking geldt voor elke bezoeker, Windows, Mac, Firefox, Mobiel, whatever; het leeft in de browser (Javascript gebaseerd). Wat het doet: het bezoek van de website van/door elke bezoeker tot in detail vastleggen; waar is op geklikt, hoe lang was je op de pagina, van welke vorige webpagina kwam je vandaan, maar ook welke browser en besturingssysteem en taalinstellingen en beeldscherm-resoluties gebruik je. Dat geldt niet alleen per sessie of per computer, maar is sessie en browser overstijgend (vandaar OMNIture; als in omnichannel); als je volgende week met een tablet surft, dan weet de software dat prima te correleren aan je desktop account.

M.a.w. je bent uniek identificeerbaar, device-overstijgend en al die informatie gaan de grote plas over naar Adobe Amerika (illegaal sinds Safe Harbor invalide verklaard is) zodat de bank (en Adobe en de Amerikaanse overheid) prachtige statistieken over je surfgedrag op de bank website hebben en daar allerlei (meestal foutieve / onzinnige) conclusies uit probeert te trekken. Er is op geen enkele manier sprake van technische noodzaak of ook maar iets dat daarop lijkt, En ook is er geen enkele garantie meer wat er met die data gebeurd, wie er toegang tot heeft en/of in hoeverre die data (wel of niet 'zogenaamd' geanonimiseerd) verkocht wordt aan nog meer derden ...

Een voorbeeld toepassing: klik je veel op hypotheek pagina's, dan zou het kunnen zijn dat de bank je in 1x allerlei hypotheek-reclames voor gaat schotelen of je misschien zelfs ongevraagd een uitnodigingsbrief stuurt. Indien wenselijk volledig geautomatiseerd. Zelfde geldt voor verzekeringen en/of . leningen.

Gaat het Adobe of de Amerikaanse overheid iets aan dat je mogelijk geïnteresseerd bent in een lening ? Vergeet niet dat het enorm waardevolle intel is: geeft mogelijkheid tot chantage, concurrentie-vervalsing of de bank vlagt je als potentiele wanbetaler --> weet jij veel hoe beroerd die veel te duur betaalde Big Data risk-engines binnen de bank werken; die zijn zo duur dat men graag 'waardevolle' informatie / meerwaarde wil aantonen en dus is de kans groot op TellSell grafieken met onzorgvuldige data analyses --> en je bank-identiteit is gebrandmerkt voor je leven zonder dat je het weet).

Het heetste hangijzer blijft echter: het is helemaal niet noodzakelijk voor het correct functioneren van de bank website; ofwel de bank is oliedom of ze bedriegt haar klanten expres !

Waar je meer juiste informatie vindt: Bits of Freedom of anders kritische IT journalisten of IT Security Experts (klink ik erg gekleurd of schets ik gewoon de rauwe lompe commerciele waarheid ?) maar inderdaad niet bij banken en Adobe...
04-11-2015, 22:12 door Anoniem
Foute implementatie van de cookie consent.Blijft data versturen naar Adobe Analytics server. Zie log.

## Uitzetten van cookie constent volges ABN amro webpagina

In het cookie consent pop-up scherm

1. meer informatie over cookies
2. nee, liever niet
3. nee, liever niet
4. Uw keuze is opgeslagen. Blijft de cookiemelding terugkomen of wilt u uw keuze wijzigen? Onder aan elke pagina bij 'Privacy en cookies' kunt u dit aanpassen.

## Cookie consent data
pageName cookiescherm-nee(nee)
c17 nee
v71 nee

## Kies een willekeurige link, bijvoorbeeld Sparen

Data veronden naar Adobe Analytics

AQB 1
ndh 1
t 4/10/2015 21:59:23 3 -60
fid 4427B12D247219AA-3548437E9B89A22A
ce UTF-8
pageName Pri index6
g https://www.abnamro.nl/nl/prive/index6.html?s_tnt=59874:23:0
cc EUR
c8 Pri index6;main-nav;/nl/prive/sparen/
tnt 59874:23:0,
pe lnk_o
pev2 /nl/prive/sparen/
s 2560x1440
c 24
j 1.8.5
v N
k Y
bw 1232
bh 1250
p Shockwave Flash;
pid Pri index6
pidt 1
oid https://www.abnamro.nl/nl/#
ot A
AQE 1

## Nog meer data veronden naar Adobe Analytics

AQB 1
ndh 1
t 4/10/2015 21:59:25 3 -60
fid 4427B12D247219AA-3548437E9B89A22A
ce UTF-8
pageName Pri spar index
g https://www.abnamro.nl/nl/prive/sparen/index.html
r https://www.abnamro.nl/nl/prive/index6.html?s_tnt=59874:23:0
cc EUR
ch prive
server www.abnamro.nl
events event1
products sparen;sparen;1;0
c1 prive
c2 sparen
v2 prive sparen
c4 index
c9 https
c15 2015-04-14 (H27.5)
v22 1
c25 woensdag
c26 9:30PM
c32 nl
c37 https://www.abnamro.nl/nl/prive/sparen/index.html
v37 https://www.abnamro.nl/nl/prive/sparen/index.html
c38 20151104215925
v38 20151104215925
c40 1393
v40 woensdag
v41 9:30PM
v48 Firefox 38
v49 New
v54 1 second
h1 nl,prive,sparen
s 2560x1440
c 24
j 1.8.5
v N
k Y
bw 1232
bh 1250
p Shockwave Flash;
pid Pri index6
pidt 1
oid https://www.abnamro.nl/nl/prive/sparen/
ot A
AQE 1
04-11-2015, 22:14 door CrioWria - Bijgewerkt: 04-11-2015, 22:17
Door Anoniem: Als ABN Amro klant kan ik uit ervaring vertellen dat het blokkeren van het 2o7.net domein via requestpolicy (continued) het probleem oplost. De website blijft gewoon werken, maar het domein wordt volledig geblokkeerd. Het opvragen van rekeningafschriften heeft nog geen enkel probleem opgeleverd.
Requestpolicy en/of uMatrix zou standaard gebruikt moeten worden door internetters. Helaas voor velen is die extra klik op de muis veel te veel moeite..

Door Anoniem: Ik gebruik zelf Internetbankieren van SNS bank.
Deze is zelfs te gebruiken met een ingeschakelde NoScript, wat bij de Rabobank -helaas- weer niet kan.
Echter overstappen naar SNS Bank, zou het niet zomaar doen qua service is het nog beroerder dan bij de Rabo.
04-11-2015, 22:37 door Anoniem
ING geeft nul trackers op de homepage. Echter op de login pagina kom je ook Ominiture tegen.
Blokkeren van deze tracker heeft geen gevolgen voor het inloggen.
05-11-2015, 09:18 door Anoniem
Ik draai een eigen DNS blackhole server met een groot aantal advertentie domeinnamen. Als het volledige '2o7.net' domein en 'abnamro.tt.omtrdc.net' (beide uit de DNS log) opneem in de blackhole lijst blijft alles prima werken . M.a.w. het is onzin dat de 'functionaliteit' van Omniture nodig is voor een werkende website.
05-11-2015, 19:08 door Anoniem
Door Anoniem:
Door Anoniem: Goed te lezen watvoor oplossingen er zijn. Maar wat betekent 2o7.net domein, wat betekent requestpolicy? ... Duidelijk is in ieder geval dat de banken je zeker niet verder helpen hiermee.

2o7.net is de domeinnaam (de server) waarnaar de Omniture tracking software haar data stuurt. ... maar inderdaad niet bij banken en Adobe...

Bedankt. Ik ga dit eerst eens 10 keer lezen, erover nadenken, en misschien kan ik er dan iets mee. Ik had de bedoeling om weer eens een algemene oproep de ruimte in te werpen voor meer toegankelijke begeleiding. De assistentie die je nu op enkele plekken kunt krijgen in buurthuizen, of bijv. via SeniorWeb enzovoort is van een belabberd laag nivo dat een jaar of 15, 20 achterloopt op de werkelijkheid. In winkels heeft men al helemaal geen verstand van apparatuur die men verkoopt, laat staan van bijzondere instellingen of beveiligingsmaatregelen.
04-12-2015, 16:27 door Anoniem
Mensen die niet al te bang zijn kunnen binnen Windows veel ellende zelf blokkeren via de HOSTS file.

Kijk maar eens op http://winhelp2002.mvps.org/hosts.htm

Ik gebruik dit op mijn laptop en bij mij worden nu vanzelf een dikke 15.000 onzin-internetadressen geblokkeerd :-)

Ik vindt het prachtig. Heel soms moet ik een site aanzetten maar dat komt maar zelden voor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.