Privacy
- Wat niemand over je mag weten
Nogmaals: trackers bij banken
24-02-2021, 18:57 door Anoniem, 36 reacties
Omdat https://www.security.nl/posting/557577/Gek+he+%2Cprivacy+wetgeving+en+internet+bankieren_ is afgesloten, en omdat ik de taktiek van
https://www.security.nl/posting/691634/Onderzoek%3A+toename+van+CNAME-gebaseerde+tracking+op+websites
bij mijn bank heb aangetroffen.
Het gaat in dit geval om SNSbank. Ooit vond ik hun internetbankierapplicatie de beste van allemaal.
Het deed wat het moest doen, en zonder flauwekul. Ook "security and privacy-wise" leek het me een prima keuze.
Een unieke feature was destijds de mogelijkheid (geen verplichting) om te kunnen internetbankieren met javascript uit.
Dat is allang niet meer zo. De laatste keer (lang geleden) werkte het voor een beperkt deel nog wel zonder javascript ,
maar voor bepaalde functies moest je toch echt javascript inschakelen.
Gelukkig kon ik in ieder geval nog m'n firewall zo instellen, dat er met geen enkele andere server contact kon worden gemaakt dan met www.snsbank.nl. Dit heeft jarenlang zonder problemen gewerkt. Tot een paar maanden geleden.
Er is blijkbaar een "vernieuwing" doorgevoerd. Vorig jaar kon je dat als klant al uitproberen.
Hierbij was het overboeken vereenvoudigd. Op zich beviel de nieuwe methode mij prima.
Maar voor zover ik kan nagaan hebben ze het eind vorig jaar of begin dit jaar verplicht gemaakt.
En daarbij is kennelijk iets gebeurd waar ik niet blij mee ben.
Als ik naar "overboeken" wilde, ging het mis, en soms zelfs al bij het starten van het inlogproces (browserafhankelijk):
wit scherm en hangen.
Ik kwam er achter dat mijn computer contact probeerde te maken met assets.adobedtm.com.
Blijkbaar gaat het om een DTM-applicatie. (Dynamic Tag Management)
Het komt op me over als een soort "analytics".
Maar waarom moet ik daarvoor met een Amerikaans bedrijf (Adobe) contact maken?
Geen klant die hier volgens mij om heeft gevraagd, en SNSbank vraagt klanten niet of ze dit okee vinden.
Ja, over cookies wordt je netjes gevraagd. Maar privacy draait niet alleen om cookies!
Ik doe toch zaken met SNSbank. Niet met Adobe.
En als SNSbank de bankactiviteiten van zijn klanten nader wil analyseren, dan zorgen ze er maar voor dat ze dit doen
onder de hoed van snsbank.nl in plaats van klanten door te sturen naar een Amerikaans bedrijf.
Want als je toegang geeft tot assets.adobedtm.com, krijg je vervolgens een tracker op je bord van 2o7.net
(ik vermoed dat die tracker door Adobe in de maag wordt gesplitst, maar eventueel zou het ook snsbank zelf kunnen zijn)
Dit gebeurt door eerst een dns te doen naar swa.snsbank.nl. ("o, hee, snsbank, ah, dat lijkt vertrouwd").
Echter geheel volgens het security.nl -artikel https://www.security.nl/posting/691634/Onderzoek%3A+toename+van+CNAME-gebaseerde+tracking+op+websites heeft swa.snsbank.nl niets met snsbank te maken. De dns verwijst namelijk naar een domein van 2o7.net en laat jouw computer daar contact mee maken.
Vragen:
----------
1. Mag dit? Ik vind dat dit niet zomaar mag kunnen.
Je bent bijna verplicht om het toe te laten, anders werkt internietbankieren niet of niet lekker.
2. Ik ben benieuwd wat de ervaringen zijn van technici op dit forum die bij andere banken internetbankieren.
https://www.security.nl/posting/691634/Onderzoek%3A+toename+van+CNAME-gebaseerde+tracking+op+websites
bij mijn bank heb aangetroffen.
Het gaat in dit geval om SNSbank. Ooit vond ik hun internetbankierapplicatie de beste van allemaal.
Het deed wat het moest doen, en zonder flauwekul. Ook "security and privacy-wise" leek het me een prima keuze.
Een unieke feature was destijds de mogelijkheid (geen verplichting) om te kunnen internetbankieren met javascript uit.
Dat is allang niet meer zo. De laatste keer (lang geleden) werkte het voor een beperkt deel nog wel zonder javascript ,
maar voor bepaalde functies moest je toch echt javascript inschakelen.
Gelukkig kon ik in ieder geval nog m'n firewall zo instellen, dat er met geen enkele andere server contact kon worden gemaakt dan met www.snsbank.nl. Dit heeft jarenlang zonder problemen gewerkt. Tot een paar maanden geleden.
Er is blijkbaar een "vernieuwing" doorgevoerd. Vorig jaar kon je dat als klant al uitproberen.
Hierbij was het overboeken vereenvoudigd. Op zich beviel de nieuwe methode mij prima.
Maar voor zover ik kan nagaan hebben ze het eind vorig jaar of begin dit jaar verplicht gemaakt.
En daarbij is kennelijk iets gebeurd waar ik niet blij mee ben.
Als ik naar "overboeken" wilde, ging het mis, en soms zelfs al bij het starten van het inlogproces (browserafhankelijk):
wit scherm en hangen.
Ik kwam er achter dat mijn computer contact probeerde te maken met assets.adobedtm.com.
Blijkbaar gaat het om een DTM-applicatie. (Dynamic Tag Management)
Het komt op me over als een soort "analytics".
Maar waarom moet ik daarvoor met een Amerikaans bedrijf (Adobe) contact maken?
Geen klant die hier volgens mij om heeft gevraagd, en SNSbank vraagt klanten niet of ze dit okee vinden.
Ja, over cookies wordt je netjes gevraagd. Maar privacy draait niet alleen om cookies!
Ik doe toch zaken met SNSbank. Niet met Adobe.
En als SNSbank de bankactiviteiten van zijn klanten nader wil analyseren, dan zorgen ze er maar voor dat ze dit doen
onder de hoed van snsbank.nl in plaats van klanten door te sturen naar een Amerikaans bedrijf.
Want als je toegang geeft tot assets.adobedtm.com, krijg je vervolgens een tracker op je bord van 2o7.net
(ik vermoed dat die tracker door Adobe in de maag wordt gesplitst, maar eventueel zou het ook snsbank zelf kunnen zijn)
Dit gebeurt door eerst een dns te doen naar swa.snsbank.nl. ("o, hee, snsbank, ah, dat lijkt vertrouwd").
Echter geheel volgens het security.nl -artikel https://www.security.nl/posting/691634/Onderzoek%3A+toename+van+CNAME-gebaseerde+tracking+op+websites heeft swa.snsbank.nl niets met snsbank te maken. De dns verwijst namelijk naar een domein van 2o7.net en laat jouw computer daar contact mee maken.
Vragen:
----------
1. Mag dit? Ik vind dat dit niet zomaar mag kunnen.
Je bent bijna verplicht om het toe te laten, anders werkt internietbankieren niet of niet lekker.
2. Ik ben benieuwd wat de ervaringen zijn van technici op dit forum die bij andere banken internetbankieren.
Reacties (36)
$ nslookup swa.snsbank.nl
Non-authoritative answer:
swa.snsbank.nl canonical name = snsbank.nl.102.122.2o7.net.
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.136.106
Name: snsbank.nl.102.122.2o7.net
Address: 35.181.18.61
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.76.117
Zo, mijn pihole maakt er korte metten mee.
Name: swa.snsbank.nl
Address: 0.0.0.0
Dank.
Non-authoritative answer:
swa.snsbank.nl canonical name = snsbank.nl.102.122.2o7.net.
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.136.106
Name: snsbank.nl.102.122.2o7.net
Address: 35.181.18.61
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.76.117
Zo, mijn pihole maakt er korte metten mee.
Name: swa.snsbank.nl
Address: 0.0.0.0
Dank.
De Rabobank maakt ook gebruik van een tracker die zijn oorsprong in de VS heeft. Helaas weigert de Rabobank inhoudelijk in te gaan op de vraag wat dit doet met mijn privacy.
Het enge van de Rabobank is verder dat ze mensen pushen hun applicatie te gebruiken. Teksten zijn zelfs zo geschreven dat ze enkel nog over de app spreken. Je kunt op de website feedback geven hoe jij de applicatie vindt, niet van de site zelf (waardeloos, lijkt steeds meer op de app).
Denk dan ook een kwestie van tijd dat ze de stekker uit het bankiergedeelte van de site trekken.
Snap niet dat ze daar niet beseffen dat een applicatie altijd een privacy-risico is. Google/Apple kijken altijd mee wat jij doet.
Daarnaast blijft het vreemd dat ik niet kan aangeven dat nooit een telefoon gekoppeld mag worden aan mijn rekening. Naast privacy heeft de Rabobank blijkbaar ook veiligheid op een laag pitje staan.
Het enge van de Rabobank is verder dat ze mensen pushen hun applicatie te gebruiken. Teksten zijn zelfs zo geschreven dat ze enkel nog over de app spreken. Je kunt op de website feedback geven hoe jij de applicatie vindt, niet van de site zelf (waardeloos, lijkt steeds meer op de app).
Denk dan ook een kwestie van tijd dat ze de stekker uit het bankiergedeelte van de site trekken.
Snap niet dat ze daar niet beseffen dat een applicatie altijd een privacy-risico is. Google/Apple kijken altijd mee wat jij doet.
Daarnaast blijft het vreemd dat ik niet kan aangeven dat nooit een telefoon gekoppeld mag worden aan mijn rekening. Naast privacy heeft de Rabobank blijkbaar ook veiligheid op een laag pitje staan.
Dit is precies waarom ik niet aan internet bankieren doe. Weinig banken hebben echt kaas gegeten van privacy als het gaat om hun besloten omgevingen, en als iets vandaag werkt heb ik geen enkele garantie dat het morgen nog steeds werkt terwijl je er wel volledig afhankelijk van gemaakt wordt.
Door Anoniem: Het enge van de Rabobank is verder dat ze mensen pushen hun applicatie te gebruiken. Teksten zijn zelfs zo geschreven dat ze enkel nog over de app spreken. Je kunt op de website feedback geven hoe jij de applicatie vindt, niet van de site zelf (waardeloos, lijkt steeds meer op de app)..
Die terugkoppelingsmogelijkheid is er wel degelijk. Vanuit het overzichtscherm: service -> contact. Los van een chatfunctie en andere contactmogelijkheden kan je onderaan op drie icoontjes van een tevreden, neutraal en ontevreden gezichtje klikken bij de vraag wat je van online bankieren vindt. Je kan bij elke keuze een bericht toevoegen."Service" en vervolgens "contact" waren echt de eerste dingen die ik geneigd was te volgen op zoek naar een terugkoppelmogelijkheid, en die had ik dan ook in een oogwenk gevonden. Waar ik wel ooit, toen de app-achtige interface nog nieuw was, tegenaan ben gelopen is dat het "service"-knopje ontbreekt in het transactieoverzicht. Dat kan beter (al denk ik dat ze erover nagedacht hebben en wel degelijk redenen hadden om het daar weg te laten), maar daar is goed uit te komen met het algemeen toepasbare inzicht dat wat je op een specifieke pagina niet vindt wellicht via de beginpagina (het rekeningenoverzicht in dit geval) wel te vinden is. Dat inzicht werkte al toen we de meeste informatie nog op papier tot ons namen, bij een boek of tijdschrift grijp je naar de inhoudsopgave, en die wordt daar ook niet op elke pagina herhaald.
Aangezien geen enkele user-interface perfect is voor iedereen verwacht ik goede bruikbaarheid maar geen perfectie vanuit het perspectief van mijn specifieke voorkeuren. Dat betekent dat ik verwacht dat ik in elke user-interface die ik gebruik een beetje moeite moet doen om er de weg in te leren kennen, net als ik bij elk naslagwerk dat ik gebruik, online of op papier, die moeite doe en daar vervolgens veel plezier van heb. Dat was ook nodig bij de Rabo-interface, maar ik moet zeggen dat ik hem na die gewenningsperiode prima vind werken. Ik zou je aanbevelen om die moeite te doen: kijk even rond wat er allemaal in zit, leer de weg kennen, en herhaal dat af en toe als je merkt dat je weinig gebruikte dingen moeilijk weet te vinden.
Een flink deel van dit soort problemen ontstaat natuurlijk gewoon door ontwikkelaars die niet alles van de grond af zelf programmeren maar die bibliotheken importeren met handige functionaliteit voor zo'n website (of app).
Als je een bibliotheek van Adobe gebruikt dan doet die wellicht "phone home" acties, ook om te checken of deze niet buiten de licentie gebruikt wordt.
Nu is de vraag, moet de reactie zijn "gebruik geen bibliotheken! programmeer alles zelf!"?
Wellicht geeft dat weer kans op broddelwerk en informatielekken?
Wat is het advies?
Als je een bibliotheek van Adobe gebruikt dan doet die wellicht "phone home" acties, ook om te checken of deze niet buiten de licentie gebruikt wordt.
Nu is de vraag, moet de reactie zijn "gebruik geen bibliotheken! programmeer alles zelf!"?
Wellicht geeft dat weer kans op broddelwerk en informatielekken?
Wat is het advies?
Wat denkt u van dit soort inline script code op de hoofd pagina van SNS bank
Is maar een snapshot, edoch.
"AAM allowed": {
defaultValue: "",
modulePath: "core/src/lib/dataElements/customCode.js",
settings: {
source: function() {
var e = _satellite.cookie.get("CLC_GDPR"),
t = /overlijden|scheiden|rood|schulden|betalingsproblemen|achterstand|zwanger|arbeidsongeschikt|werkloos/i;
return -1 != location.href.search(t) ? (_satellite.logger.info("AAM Allowed: Advertising blocked, sensitive word in url"), "false") : -1 != document.title.search(t) ? (_satellite.logger.info("AAM Allowed: Advertising blocked, sensitive word in title"), "false") : -1 != location.href.indexOf("setGDPRcookie") ? (_satellite.cookie.set("CLC_GDPR", _satellite.getVar("setGDPRcookie param") + ":setbylaunchfordebugging", {
expires: 100
}), "true") : void 0 === e || "" == e ? "false" : -1 < (e = e.split(":")[0]).indexOf("C") ? "true" : "false"
defaultValue: "",
modulePath: "core/src/lib/dataElements/customCode.js",
settings: {
source: function() {
var e = _satellite.cookie.get("CLC_GDPR"),
t = /overlijden|scheiden|rood|schulden|betalingsproblemen|achterstand|zwanger|arbeidsongeschikt|werkloos/i;
return -1 != location.href.search(t) ? (_satellite.logger.info("AAM Allowed: Advertising blocked, sensitive word in url"), "false") : -1 != document.title.search(t) ? (_satellite.logger.info("AAM Allowed: Advertising blocked, sensitive word in title"), "false") : -1 != location.href.indexOf("setGDPRcookie") ? (_satellite.cookie.set("CLC_GDPR", _satellite.getVar("setGDPRcookie param") + ":setbylaunchfordebugging", {
expires: 100
}), "true") : void 0 === e || "" == e ? "false" : -1 < (e = e.split(":")[0]).indexOf("C") ? "true" : "false"
Is maar een snapshot, edoch.
Net als de ASN en de Regiobank, maakt SNS deel uit van de Volksbank. Al deze banken maken gebruik van een soort gelijk systeem en alle maken gebruik van adobedtm en google tag manager. Google tag manager en adobedtm doen ongeveer het zelfde: cross site scripting as a service.
Een jaar of 2 a 3 geleden heb ik ooit een rekening willen openen bij de ASN bank en toen kwam ik er tot mijn schrik achter dat deze scripts ook geladen worden op een pagina waar je al je persoonsgegevens (incl. je BSN) moet opgeven. Hier kwam ik echter pas achter doordat een vervolg pagina een sessie probleem had, waardoor ik niet verder kon. Dit blijkt er (vermoedelijk) aan te liggen dat ik beide services blokkeer.
Hierop heb ik navraag gedaan bij de ASN en ik kreeg alleen een standaard antwoord over "het accepteren van cookies", maar niets over het injecteren van scripts op pagina's waar zeer gevoelige informatie ingevuld moet worden. Ook als ik vraag naar een statement van de security officer krijg ik geen antwoord. Uiteindelijk heb ik maar geen rekening aangemaakt bij de ASN (of bij een van de andere banken van de Volksbank).
Vanmorgen heb ik de "maakt een rekening aan" pagina nog maar eens geopend en blijken deze scripts nog steeds geladen te worden. Zou dit iets voor de Autoriteit Persoonsgegevens kunnen zijn?
Een jaar of 2 a 3 geleden heb ik ooit een rekening willen openen bij de ASN bank en toen kwam ik er tot mijn schrik achter dat deze scripts ook geladen worden op een pagina waar je al je persoonsgegevens (incl. je BSN) moet opgeven. Hier kwam ik echter pas achter doordat een vervolg pagina een sessie probleem had, waardoor ik niet verder kon. Dit blijkt er (vermoedelijk) aan te liggen dat ik beide services blokkeer.
Hierop heb ik navraag gedaan bij de ASN en ik kreeg alleen een standaard antwoord over "het accepteren van cookies", maar niets over het injecteren van scripts op pagina's waar zeer gevoelige informatie ingevuld moet worden. Ook als ik vraag naar een statement van de security officer krijg ik geen antwoord. Uiteindelijk heb ik maar geen rekening aangemaakt bij de ASN (of bij een van de andere banken van de Volksbank).
Vanmorgen heb ik de "maakt een rekening aan" pagina nog maar eens geopend en blijken deze scripts nog steeds geladen te worden. Zou dit iets voor de Autoriteit Persoonsgegevens kunnen zijn?
Door Anoniem: Net als de ASN en de Regiobank, maakt SNS deel uit van de Volksbank. Al deze banken maken gebruik van een soort gelijk systeem en alle maken gebruik van adobedtm en google tag manager. Google tag manager en adobedtm doen ongeveer het zelfde: cross site scripting as a service.
Een jaar of 2 a 3 geleden heb ik ooit een rekening willen openen bij de ASN bank en toen kwam ik er tot mijn schrik achter dat deze scripts ook geladen worden op een pagina waar je al je persoonsgegevens (incl. je BSN) moet opgeven. Hier kwam ik echter pas achter doordat een vervolg pagina een sessie probleem had, waardoor ik niet verder kon. Dit blijkt er (vermoedelijk) aan te liggen dat ik beide services blokkeer.
Hierop heb ik navraag gedaan bij de ASN en ik kreeg alleen een standaard antwoord over "het accepteren van cookies", maar niets over het injecteren van scripts op pagina's waar zeer gevoelige informatie ingevuld moet worden. Ook als ik vraag naar een statement van de security officer krijg ik geen antwoord. Uiteindelijk heb ik maar geen rekening aangemaakt bij de ASN (of bij een van de andere banken van de Volksbank).
Vanmorgen heb ik de "maakt een rekening aan" pagina nog maar eens geopend en blijken deze scripts nog steeds geladen te worden. Zou dit iets voor de Autoriteit Persoonsgegevens kunnen zijn?
Ik zou zeggen, doe een aangifte in plaats van hier te klagen!Een jaar of 2 a 3 geleden heb ik ooit een rekening willen openen bij de ASN bank en toen kwam ik er tot mijn schrik achter dat deze scripts ook geladen worden op een pagina waar je al je persoonsgegevens (incl. je BSN) moet opgeven. Hier kwam ik echter pas achter doordat een vervolg pagina een sessie probleem had, waardoor ik niet verder kon. Dit blijkt er (vermoedelijk) aan te liggen dat ik beide services blokkeer.
Hierop heb ik navraag gedaan bij de ASN en ik kreeg alleen een standaard antwoord over "het accepteren van cookies", maar niets over het injecteren van scripts op pagina's waar zeer gevoelige informatie ingevuld moet worden. Ook als ik vraag naar een statement van de security officer krijg ik geen antwoord. Uiteindelijk heb ik maar geen rekening aangemaakt bij de ASN (of bij een van de andere banken van de Volksbank).
Vanmorgen heb ik de "maakt een rekening aan" pagina nog maar eens geopend en blijken deze scripts nog steeds geladen te worden. Zou dit iets voor de Autoriteit Persoonsgegevens kunnen zijn?
Ik vraag me af of dataverzameling via genoemde additionele sites niet hoofdzakelijk bedoeld is voor degenen die een smartphone met banking-app gebruiken.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Door Anoniem: Ik vraag me af of dataverzameling via genoemde additionele sites niet hoofdzakelijk bedoeld is voor degenen die een smartphone met banking-app gebruiken.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Vertel hier eens iets meer over, hoezo geeft mijn mobiel meer data af dan mijn PC?
ik zou me meer zorgen maken over dit dan trackers:
https://www.security.nl/posting/667332/Banken+en+Cloudflare_Akamai
https://www.security.nl/posting/667332/Banken+en+Cloudflare_Akamai
Door Anoniem: Ik vraag me af of dataverzameling via genoemde additionele sites niet hoofdzakelijk bedoeld is voor degenen die een smartphone met banking-app gebruiken.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Groot onderbuik gevoelens, kom eens met een bewijs, dus geen " iedereen weet"Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Door Anoniem: Ik vraag me af of dataverzameling via genoemde additionele sites niet hoofdzakelijk bedoeld is voor degenen die een smartphone met banking-app gebruiken.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Dit dus. Terwijl het vrij eenvoudig is om dit probleem te mitigeren: Het aantal permissies voor je bank-app beperken, geldt in de eerste plaats voor gps tracking. Mijn bank-app 'krijgt' slechts mijn ip.Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Door Anoniem:
Door Anoniem: Ik vraag me af of dataverzameling via genoemde additionele sites niet hoofdzakelijk bedoeld is voor degenen die een smartphone met banking-app gebruiken.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Dit dus. Terwijl het vrij eenvoudig is om dit probleem te mitigeren: Het aantal permissies voor je bank-app beperken, geldt in de eerste plaats voor gps tracking. Mijn bank-app 'krijgt' slechts mijn ip.Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Dit doet de SNS Bankieren app wel goed: de enige permissie voor die app is de camera om QR codes te scannen en om acceptgiro gegevens snel in die app te krijgen, maar zelfs die permissie zou ik zonder problemen uit kunnen zetten. Dan blijft er lijkt mij weinig over om via die app te tracken?
25-02-2021, 17:39 door
spatieman
tja.
ik heb dit punt voor jaren terug al eens aangehaald dat banken stikken van de trackers, en toen werd ik voor gek verklaard.
het ergste is, als je deze doet blokkeren eindig je in een sinkhole en kan totaal niets doen.
ik heb dit punt voor jaren terug al eens aangehaald dat banken stikken van de trackers, en toen werd ik voor gek verklaard.
het ergste is, als je deze doet blokkeren eindig je in een sinkhole en kan totaal niets doen.
25-02-2021, 17:46 door
Briolet
Door Anoniem: Dit dus. Terwijl het vrij eenvoudig is om dit probleem te mitigeren: Het aantal permissies voor je bank-app beperken, geldt in de eerste plaats voor gps tracking. Mijn bank-app 'krijgt' slechts mijn ip.
Zelfs GPS tracking kan legitiem zijn als dat alleen intern gebruikt wordt om je vaste betaal locatie te bepalen. Misbruik kun je dan sneller opsporen. Bij de bank kan dan een belletje gaan rinkelen dat de transacties vanaf een ongebruikelijke locatie plaats vind. Hoeft natuurlijk niet per definitie fout te zijn omdat je ook op vakantie bent of net bij een auto-dealer, je droomauto tegenkomt.
1. Mag dit? Ik vind dat dit niet zomaar mag kunnen.
Je bent bijna verplicht om het toe te laten, anders werkt internietbankieren niet of niet lekker.
2. Ik ben benieuwd wat de ervaringen zijn van technici op dit forum die bij andere banken internetbankieren.
2. Ik zit zelf bij ASN, deels vanwege het duurzame karakter maar ook deels omdat het gewoon werkt. Een tijd geleden had ik wel wat problemen met inloggen, maar dat was met de Tor browser ook wel te omzeilen. (Ik ga natuurlijk niet mijn adblocker uitzetten voor een bank.) Verder ervaar ik weinig problemen. En voor de techneuten die ook bij ASN zitten, dit zijn mijn uBlock regels:
3. Je schrijft terecht over die CNAME cloaking. In dat artikel staan ook enkele security implicaties beschreven (session fixation). Het lijkt mij de moeite om onder die noemen dit ook nog te melden als mogelijk security probleem. Het inladen van andere code binnen de eigen 'site' is toch wel wat gevaarlijker dan wanneer deze vanaf een andere 'site' komt.
('site' = registreerbaar domein, denk aan security.nl in www.security.nl. Een deel van de website bescherming geldt per 'site', niet per domein of 'origin'. Zoals die cookies uitlezen, waar bij CNAME cloaking misbruik van gemaakt wordt.)
In mijn vorige reactie had ik iets te snel op reageren gedrukt. Ik wilde mijn uBlock Origin regels er nog inzetten, maar zag dat ik alleen JavaScript heb toegestaan. De website werkt dus ook prima zonder dat allerlei scripts moeten ingeladen worden van andere domeinen/'origins'.
Een tip van de sluier van de situatie op 3 juni 2020:
zie https://www.consumentenbond.nl/internet-privacy/privacytest-jonge-banken-slordiger
zie https://www.consumentenbond.nl/internet-privacy/privacytest-jonge-banken-slordiger
L.S. We kunnen het de ontwikkelaar-codeurs van de bank-site niet kwalijk nemen.
Werkt echt netjes in React en via Babel (een van de meer beta-eenduidiger javascript varianten).
Het is toch meer de richting van waarin alles zich beweegt. Vanmiddag iets gekocht aan de deur van een winkel.
Kon binnen niet pinnen, dus of op zoek naar een ATM voor cash of via smartphone app betalen.
Anders zat er niet op op dat moment.
Alle ATMs in de stad verdwenen (veel plofkraken geweest wellicht?), behalve een doodenkele bij de Appie en voor de Kruidvat, dus binnen. Bij bankfiliaal was alleen geld storten mogelijk, geld binnen pinnen kon tijdelijk niet.
ATM buiten bij deze bank is weggehaald, dichtgemaakt met roestvrij stalen plaat, ergo verdwenen.
Waar wil men ons naar toe hebben? Artificial Intelligence Blockchain, nu nog via een device, straks ben je misschien zelf wel het device (nano-technologie voor de future). Of herhaalt zich een grote bankkrach als een kleine eeuw geleden?
Wij doen in feite al het werk van de bankmedewerkers via Internetbankieren.
De kantoren worden en masse gesloten en bankmedewerkers komen op straat te staan.
De groei is uit de economie. Straks liggen we op apegapen, mensen.
Dat duurt wellicht niet meer zo lang.
Als je dit bovenstaande allemaal in overweging wil nemen, wordt het steeds belangrijker om te weten en transparant te laten maken of krijgen, waar al je data via Cloud en CDNs (via grote data-centra hier in ons land, die gratis meeprofiteren van onze groene windmolenparkenstroom) heengaan en lieden giga-groot laten binnenlopen voor iets wat wij als eindgebruikers voor ze doen en uiteindelijk in het rood moeten belanden.
Ongelijk verdeeld in deze New Babylon wereld, toch?
Jodocus Oyevaer
Werkt echt netjes in React en via Babel (een van de meer beta-eenduidiger javascript varianten).
Het is toch meer de richting van waarin alles zich beweegt. Vanmiddag iets gekocht aan de deur van een winkel.
Kon binnen niet pinnen, dus of op zoek naar een ATM voor cash of via smartphone app betalen.
Anders zat er niet op op dat moment.
Alle ATMs in de stad verdwenen (veel plofkraken geweest wellicht?), behalve een doodenkele bij de Appie en voor de Kruidvat, dus binnen. Bij bankfiliaal was alleen geld storten mogelijk, geld binnen pinnen kon tijdelijk niet.
ATM buiten bij deze bank is weggehaald, dichtgemaakt met roestvrij stalen plaat, ergo verdwenen.
Waar wil men ons naar toe hebben? Artificial Intelligence Blockchain, nu nog via een device, straks ben je misschien zelf wel het device (nano-technologie voor de future). Of herhaalt zich een grote bankkrach als een kleine eeuw geleden?
Wij doen in feite al het werk van de bankmedewerkers via Internetbankieren.
De kantoren worden en masse gesloten en bankmedewerkers komen op straat te staan.
De groei is uit de economie. Straks liggen we op apegapen, mensen.
Dat duurt wellicht niet meer zo lang.
Als je dit bovenstaande allemaal in overweging wil nemen, wordt het steeds belangrijker om te weten en transparant te laten maken of krijgen, waar al je data via Cloud en CDNs (via grote data-centra hier in ons land, die gratis meeprofiteren van onze groene windmolenparkenstroom) heengaan en lieden giga-groot laten binnenlopen voor iets wat wij als eindgebruikers voor ze doen en uiteindelijk in het rood moeten belanden.
Ongelijk verdeeld in deze New Babylon wereld, toch?
Jodocus Oyevaer
Bedrijven reageren heel vreemd als je ze onder de neus wrijft dat hun websites vol met trackers staan.
https://twitter.com/uw_privacy/status/1355504193671487488?s=20
https://twitter.com/uw_privacy/status/1348619461255974917?s=20
https://twitter.com/uw_privacy/status/1355504193671487488?s=20
https://twitter.com/uw_privacy/status/1348619461255974917?s=20
Van een bank zou je toch wel een CSP verwachten.
Zie hier CSP Evaluator
Evaluated CSP as seen by a browser supporting CSP Version 3
expand/collapse all
checkframe-ancestors
check'none'
errorscript-src [missing]
script-src directive is missing.
errorobject-src [missing]
Missing object-src allows the injection of plugins which can execute JavaScript. Can you set it to 'none'?
, die van de SNS-bank website.
luntrus
Zie hier CSP Evaluator
Evaluated CSP as seen by a browser supporting CSP Version 3
expand/collapse all
checkframe-ancestors
check'none'
errorscript-src [missing]
script-src directive is missing.
errorobject-src [missing]
Missing object-src allows the injection of plugins which can execute JavaScript. Can you set it to 'none'?
luntrus
Door Anoniem:
Door Anoniem: Ik vraag me af of dataverzameling via genoemde additionele sites niet hoofdzakelijk bedoeld is voor degenen die een smartphone met banking-app gebruiken.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Groot onderbuik gevoelens, kom eens met een bewijs, dus geen " iedereen weet"Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Iedereen weet maar iedereen is bang. Zo leven wij in Babylon America. Het is wachten tot iedereen in tongen gaat spreken.
Jodocus Q
Door Anoniem: Van een bank zou je toch wel een CSP verwachten.
Zie hier CSP Evaluator
Evaluated CSP as seen by a browser supporting CSP Version 3
expand/collapse all
checkframe-ancestors
check'none'
errorscript-src [missing]
script-src directive is missing.
errorobject-src [missing]
Missing object-src allows the injection of plugins which can execute JavaScript. Can you set it to 'none'?
, die van de SNS-bank website.
luntrus
Zie hier CSP Evaluator
Evaluated CSP as seen by a browser supporting CSP Version 3
expand/collapse all
checkframe-ancestors
check'none'
errorscript-src [missing]
script-src directive is missing.
errorobject-src [missing]
Missing object-src allows the injection of plugins which can execute JavaScript. Can you set it to 'none'?
luntrus
Zou dit de reden kunnen zijn dat de boel minutenlang "hangt" als je je computer geen toegang geeft tot www.adobedtm.com?
Ik stel me namelijk voor dat deze ontbrekende verbinding leidt tot een error in het script,
maar als er helemaal geen error-afwerking is, dan gebeurt er dus niks.
Door Anoniem:
Iedereen weet maar iedereen is bang. Zo leven wij in Babylon America. Het is wachten tot iedereen in tongen gaat spreken.
Jodocus Q
Dus geen bewijs, alleen maar dat stomme " iedereen weet" , de grootste dooddoener van deze tijd!Door Anoniem:
Door Anoniem: Ik vraag me af of dataverzameling via genoemde additionele sites niet hoofdzakelijk bedoeld is voor degenen die een smartphone met banking-app gebruiken.
Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Groot onderbuik gevoelens, kom eens met een bewijs, dus geen " iedereen weet"Een mobieltje kan veel interessantere data afgeven dan een PC op een vaste locatie.
Vandaar dat mobiel bankieren ook sterk is gepromoot door banken.
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Iedereen weet maar iedereen is bang. Zo leven wij in Babylon America. Het is wachten tot iedereen in tongen gaat spreken.
Jodocus Q
Anoniem,
Een propriety vendor lock-in OS is altijd een groter risico.
Er is wel wat aan te doen met bijvoorbeeld blokada op android en de e-blocker,
thans een 'gratis' open source blokkerings-kubus en onderhouden door en met vrijwilligers via donaties.
Het "Iedereen weet" mantra volgt vaak een redenering van veronderstelde basis-kennis en/of reeds bevestigde vermoedens,
omdat Big Tech, overheden en diensten niet vanzelfsprekend overal open kaart wensen te spelen.
Drie kabbalisten gingen in tot de appelgaard (paradijs) en slechts een ervan hield nadien z'n verstand.
Joris Goedbloed.
Een propriety vendor lock-in OS is altijd een groter risico.
Er is wel wat aan te doen met bijvoorbeeld blokada op android en de e-blocker,
thans een 'gratis' open source blokkerings-kubus en onderhouden door en met vrijwilligers via donaties.
Het "Iedereen weet" mantra volgt vaak een redenering van veronderstelde basis-kennis en/of reeds bevestigde vermoedens,
omdat Big Tech, overheden en diensten niet vanzelfsprekend overal open kaart wensen te spelen.
Drie kabbalisten gingen in tot de appelgaard (paradijs) en slechts een ervan hield nadien z'n verstand.
Joris Goedbloed.
Door Anoniem: $ nslookup swa.snsbank.nl
Non-authoritative answer:
swa.snsbank.nl canonical name = snsbank.nl.102.122.2o7.net.
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.136.106
Name: snsbank.nl.102.122.2o7.net
Address: 35.181.18.61
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.76.117
Zo, mijn pihole maakt er korte metten mee.
Name: swa.snsbank.nl
Address: 0.0.0.0
Dank.
Fun fact, add-blocker in je browser doet precies hetzelfde als de "dns blackhole routes" in de pihole, waarom zou je een pihole installeren? Als je echt een router oplossing wilt dan kan je hetzelfde ook installeren op pfsense, deed ik vroeger ook. Wel een leuk projectje, ik wil je niet ontmoedigen.Non-authoritative answer:
swa.snsbank.nl canonical name = snsbank.nl.102.122.2o7.net.
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.136.106
Name: snsbank.nl.102.122.2o7.net
Address: 35.181.18.61
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.76.117
Zo, mijn pihole maakt er korte metten mee.
Name: swa.snsbank.nl
Address: 0.0.0.0
Dank.
- RAMLETHAL
Groot onderbuik gevoelens, kom eens met een bewijs, dus geen " iedereen weet"
https://www.zdnet.com/article/security-flaws-in-banking-apps-expose-data-and-source-code/:
A researcher examined 30 financial apps for Android and found issues, including exposed source code and leaks of sensitive data.
85% of web banking apps failed GDPR.
https://www.youtube.com/watch?v=b6s4QPKUcdE
https://www.youtube.com/watch?v=b6s4QPKUcdE
Door Anoniem:
https://www.zdnet.com/article/security-flaws-in-banking-apps-expose-data-and-source-code/:
Groot onderbuik gevoelens, kom eens met een bewijs, dus geen " iedereen weet"
https://www.zdnet.com/article/security-flaws-in-banking-apps-expose-data-and-source-code/:
A researcher examined 30 financial apps for Android and found issues, including exposed source code and leaks of sensitive data.
Het "iedereen weet" ging over het volgende stuk:
M.b.v. je mobiel kunnen ze immers beter nagaan wat voor een type persoon jij bent.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Dat is interessant voor je bank als je eens een lening of hypotheek wilt afsluiten.
Dat is wat anders dan slecht geprogrammeerde code, zoals in het artikel wordt beschreven. Waaruit blijkt dat banken mensen traceren via de bank app? Ik wil het best geloven, maar dan wel met de juiste bewijzen.
Door Anoniem: 85% of web banking apps failed GDPR.
https://www.youtube.com/watch?v=b6s4Q....
https://www.youtube.com/watch?v=b6s4Q....
Bijzondere video. Roept meer vragen op dan dat het antwoorden geeft. Sowieso: een App die de GDPR faalt... hoe controleer je of een App de GDPR faalt? Veel van GDPR zijn namelijk contracten die op orde moeten zijn, of hoe je dat persoonsgegevens ergens opslaat.
En vergeet niet: als die test is uitgevoerd op banken buiten Europa is dat niet bijzonder, want die hoeven zich helemaal niet te houden aan de Europesche GDPR.
Door Anoniem:
- RAMLETHAL
Door Anoniem: $ nslookup swa.snsbank.nl
Non-authoritative answer:
swa.snsbank.nl canonical name = snsbank.nl.102.122.2o7.net.
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.136.106
Name: snsbank.nl.102.122.2o7.net
Address: 35.181.18.61
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.76.117
Zo, mijn pihole maakt er korte metten mee.
Name: swa.snsbank.nl
Address: 0.0.0.0
Dank.
Fun fact, add-blocker in je browser doet precies hetzelfde als de "dns blackhole routes" in de pihole, waarom zou je een pihole installeren? Als je echt een router oplossing wilt dan kan je hetzelfde ook installeren op pfsense, deed ik vroeger ook. Wel een leuk projectje, ik wil je niet ontmoedigen.Non-authoritative answer:
swa.snsbank.nl canonical name = snsbank.nl.102.122.2o7.net.
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.136.106
Name: snsbank.nl.102.122.2o7.net
Address: 35.181.18.61
Name: snsbank.nl.102.122.2o7.net
Address: 15.237.76.117
Zo, mijn pihole maakt er korte metten mee.
Name: swa.snsbank.nl
Address: 0.0.0.0
Dank.
- RAMLETHAL
Een tip:
Op Windows 7,8 en 10 kun je beter regels toevoegen aan de firewall dan blackholen via de hosts file omdat deze door sommige applicaties geskipped wordt.
JodoQus
Door Anoniem: Dit dus. Terwijl het vrij eenvoudig is om dit probleem te mitigeren: Het aantal permissies voor je bank-app beperken, geldt in de eerste plaats voor gps tracking. Mijn bank-app 'krijgt' slechts mijn ip.
In geval van Android klik dan eens op 'alle rechten'. Vind je onder de hamburgermenupuntjes. En?Door Anoniem:
Door Anoniem: Dit dus. Terwijl het vrij eenvoudig is om dit probleem te mitigeren: Het aantal permissies voor je bank-app beperken, geldt in de eerste plaats voor gps tracking. Mijn bank-app 'krijgt' slechts mijn ip.
In geval van Android klik dan eens op 'alle rechten'. Vind je onder de hamburgermenupuntjes. En?Yes!
Sommige mensen wonen gewoon mentaal in de Playstore. Apple (van de Garden of Eden project, Ha Ha) heeft het beter aangepakt. Zij happen hun store "Appstore" genoemd. Dan woon je mentaal in een Appstore, wat beter aansluit op wat er werkelijk aan de hand is. Natte software noemen ze dat geloof ik.
Via ADB ruim ik mijn Android manueel op (het gaat om profile directories van andere users die ingelogd zijn op mijn systeem, vaak na het installeren van een malafide app) :
mv ~ben/dreidel /dev/null && echo "system secured"
Wat doet het ertoe of ze tracken of niet als de ING zomaar het account van Willem Engel en zijn organisatie Viruswaarheid kunnen stopzetten. https://www.youtube.com/watch?v=uLk6IxyKpik
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
