Security Professionals
- ipfw add deny all from eindgebruikers to any
ING login doet raar
26-04-2022, 21:33 door Anoniem, 18 reacties
Ja, "ING login doet raar", is de user level omschrijving van wat er gebeurt met ing.nl.
De login gebruikt ineens niet meer de Digipass maar een sms wachtwoord. Na invullen faalt het inloggen door timeout.
Ik zie meerdere van dit soort meldingen:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://127.0.0.1:[4cijfers]/[7cijfers].png. (Reason: CORS request did not succeed).
Er draait niks op localhost op die poort. Websockets staat uit.
URL: https://mijn.ing.nl/login
Dit is de Content-Security-Policy:
"default-src 'self'; prefetch-src 'self'; font-src 'self' data:; base-uri 'self'; object-src 'self' blob:; frame-ancestors 'self' api.mijn.ing.nl; form-action 'self' api.mijn.ing.nl; upgrade-insecure-requests; block-all-mixed-content; connect-src 'self' http://127.0.0.1:* api.mijn.ing.nl data: https://*.twilio.com wss://*.twilio.com https://*.sdlmedia.com https://services.measureworks.nl https://c.go-mpulse.net https://jsmon.ingbank.nl https://cdn.ing.com; media-src 'self' https://*.sdlmedia.com https://cdn.ing.com https://*.bynder.com data:; style-src 'self' 'unsafe-inline' https://cdn.ing.com data:; img-src https: https://cdn.ing.com data:; script-src 'self' blob: 'unsafe-inline' 'unsafe-eval' api.mijn.ing.nl tms.ingservices.nl https://cdn.ing.com data:; frame-src 'self' blob: api.mijn.ing.nl https://*.keylanehosting.com https://paskamer.ingbank.nl https://aweucn1-2.advanced-web-analytics.com"
Waar is men mee bezig bij ING? Waarom staat 127.0.0.1 er in? Hoe denken ze dat dat het opvragen van png files op localhost zou werken?
Certificaat Entrust, Inc.
fingerprint
SHA256: A4:EB:1E:78:69:BC:26:B2:B0:63:3D:3B:41:26:EA:D6:39:DE:EE:E0:B9:21:35:58:5A:9C:B9:10:B2:8C:94:CB
SHA1: C8:8A:5B:63:C5:23:2E:50:BD:A4:44:A9:95:2B:E8:D4:17:F6:43:EE
De login gebruikt ineens niet meer de Digipass maar een sms wachtwoord. Na invullen faalt het inloggen door timeout.
Ik zie meerdere van dit soort meldingen:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://127.0.0.1:[4cijfers]/[7cijfers].png. (Reason: CORS request did not succeed).
Er draait niks op localhost op die poort. Websockets staat uit.
URL: https://mijn.ing.nl/login
Dit is de Content-Security-Policy:
"default-src 'self'; prefetch-src 'self'; font-src 'self' data:; base-uri 'self'; object-src 'self' blob:; frame-ancestors 'self' api.mijn.ing.nl; form-action 'self' api.mijn.ing.nl; upgrade-insecure-requests; block-all-mixed-content; connect-src 'self' http://127.0.0.1:* api.mijn.ing.nl data: https://*.twilio.com wss://*.twilio.com https://*.sdlmedia.com https://services.measureworks.nl https://c.go-mpulse.net https://jsmon.ingbank.nl https://cdn.ing.com; media-src 'self' https://*.sdlmedia.com https://cdn.ing.com https://*.bynder.com data:; style-src 'self' 'unsafe-inline' https://cdn.ing.com data:; img-src https: https://cdn.ing.com data:; script-src 'self' blob: 'unsafe-inline' 'unsafe-eval' api.mijn.ing.nl tms.ingservices.nl https://cdn.ing.com data:; frame-src 'self' blob: api.mijn.ing.nl https://*.keylanehosting.com https://paskamer.ingbank.nl https://aweucn1-2.advanced-web-analytics.com"
Waar is men mee bezig bij ING? Waarom staat 127.0.0.1 er in? Hoe denken ze dat dat het opvragen van png files op localhost zou werken?
Certificaat Entrust, Inc.
fingerprint
SHA256: A4:EB:1E:78:69:BC:26:B2:B0:63:3D:3B:41:26:EA:D6:39:DE:EE:E0:B9:21:35:58:5A:9C:B9:10:B2:8C:94:CB
SHA1: C8:8A:5B:63:C5:23:2E:50:BD:A4:44:A9:95:2B:E8:D4:17:F6:43:EE
Reacties (18)
Dit is een vrij normale respons als je tegelijkertijd via IoT jouw wasmachine hebt aangezet. ING weet dan niet meer waar het witwassen gedaan moet worden. Begrijpt je.
Ik zie hier precies hetzelfde maar inloggen verloopt wel hetzelfde met een melding van de app om inloggen te bevestigen. Digipass == ING Scanner?
Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
ING helpdesk al eens gebeld?
Of gewoon nog een keer geprobeerd?
Wat is trouwens een "Digipass"
Of gewoon nog een keer geprobeerd?
Wat is trouwens een "Digipass"
@Vandaag, 12:23 door Anoniem
Dit is het forum voor security professionals. Op de ING helpdesk zitten geen mensen die hier verstand van hebben.
De storing (de aanleiding, waarschijnlijk niet de oorzaak) is overigens inmiddels verholpen, maar bij een volgende storing kan dit weer optreden.
@Vandaag, 10:03 door Anoniem
Digipass is de naam van het ding dat het blokjespatroon scant en waarop je een code kunt intypen.
Een stukje script over het laden van de ".png" bestanden (extensie hoeft niet gelijk te zijn aan content!):
Het kan zo zijn dat ze naar hun eigen localhost proberen te verwijzen. Maar de Content-Security-Policy is van toepassing op clients, er zou geen localhost in moeten staan en er mogen sowieso geen localhost laadpogingen worden gedaan op een client, zeker niet in een inlogomgeving. Zo maar willekeurige bestandsnaam opvragen via variabele poorten op localhost kan een methode zijn die gebruikt kan worden voor het scannen van lokale bestanden of poorten, of erger: het laden van scripts. Dit is verdacht. Het kan ook worden misbruikt door hackers door een lokale web server te draaien die scripts serveert (HTTP GET voor http://127.0.0.1:..). Dit gebeurt tijdens het inlogproces.
Dit is het forum voor security professionals. Op de ING helpdesk zitten geen mensen die hier verstand van hebben.
De storing (de aanleiding, waarschijnlijk niet de oorzaak) is overigens inmiddels verholpen, maar bij een volgende storing kan dit weer optreden.
@Vandaag, 10:03 door Anoniem
Digipass is de naam van het ding dat het blokjespatroon scant en waarop je een code kunt intypen.
Een stukje script over het laden van de ".png" bestanden (extensie hoeft niet gelijk te zijn aan content!):
e=performance.now()-s;n(parseFloat(e.toFixed(3)))}));const i=Math.random().toString().replace(\"0.\",\"\").slice(0,7);t.postMessage(`http://127.0.0.1:${e}/${i}.png`
Het kan zo zijn dat ze naar hun eigen localhost proberen te verwijzen. Maar de Content-Security-Policy is van toepassing op clients, er zou geen localhost in moeten staan en er mogen sowieso geen localhost laadpogingen worden gedaan op een client, zeker niet in een inlogomgeving. Zo maar willekeurige bestandsnaam opvragen via variabele poorten op localhost kan een methode zijn die gebruikt kan worden voor het scannen van lokale bestanden of poorten, of erger: het laden van scripts. Dit is verdacht. Het kan ook worden misbruikt door hackers door een lokale web server te draaien die scripts serveert (HTTP GET voor http://127.0.0.1:..). Dit gebeurt tijdens het inlogproces.
Het werkt bij mij normaal (ik neem aan dat je het over inloggen op de bankieren site hebt en niet over de app).
Wellicht heb je iets teveel privacy plugins geinstalleerd, of een of ander stuk "veiligheidssoftware"?
Probeer het eens op een schone (virtuele) machine.
Wellicht heb je iets teveel privacy plugins geinstalleerd, of een of ander stuk "veiligheidssoftware"?
Probeer het eens op een schone (virtuele) machine.
Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
Met NoScript zie je scripts verwijzen naar 127.0.0.1Door Anoniem:
Dit kan wijzen op de mogelijkheid om een authenticatiedevice te hebben wat "ingeplugd" is in de computer.Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
Met NoScript zie je scripts verwijzen naar 127.0.0.1Ik wist niet dat ING dat had, maar wellicht zijn er ze mee bezig. ABN heeft dat wel, een "calculator" type device wat je
met USB kunt aansluiten (en dan moet je software installeren) zodat de info via die weg naar het device gaat, ipv de
"laat QR-achtige code zien op het scherm en scan die met een camera" methode die ING in ieder geval wel gebruikt.
Mij lijkt die isolatie die je hebt met een code en camera beter dan zo'n USB device wat wellicht dingen heen en weer
kan sturen waar je geen weet van hebt. Maar misschien zijn er wel weer ontwikkelingen waardoor een gekoppeld device
toch weer beter is, en zijn daar al testen mee aan de gang.
Als security professional weet je als het goed is dat je dit soort zaken kunt melden onder responsible disclosure en niet bij een reguliere klanten helpdesk. Zie: https://www.ing.nl/de-ing/veilig-bankieren/fraude-melden/meldpunt-kwetsbaarheden/index.html
ING mag zo zachtjes aan door hun eigen stront zakken.
Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.
Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.
Door Anoniem: ING mag zo zachtjes aan door hun eigen stront zakken.
Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.
Jij zit toch allerlei beperkingen door te voeren, niet de ING.Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.
Dit is het forum voor security professionals. Op de ING helpdesk zitten geen mensen die hier verstand van hebben.
Je kan natuurlijk beter vragen stellen aan mensen zonder toegang toe, of kennis van, het platform waarover het gaat. Of eventuele mogelijke storingen, die nu aan de orde zijn.... ;))))
Door Anoniem: ING mag zo zachtjes aan door hun eigen stront zakken.
Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.
Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.
Waarom?
Jij doet allemaal vage dingen met vage plugins. Wie zijn probleem is het dan?
Dit komt overeen met je koopt iets, past het daarna zelf aan, en gaat klachten als het niet meer werkt.
Bij mij doet die het gewoon zonder enige problemen.
Door Anoniem: Waarom wil je nog een Digipass gebruiken anno 2022?
Waarom niet. Niet iedereen gebruikt een mobieltje voor bankzaken.Wat mij meer opvalt (of eigenlijk tegenvalt) is dat hier minimaal 2 trackers tussen staan, en dat op hun "beveiligde" omgeving: https://services.measureworks.nl en https://c.go-mpulse.net
... nu weet ik weer waarom ik niet aan internetbankieren doe :-)
... nu weet ik weer waarom ik niet aan internetbankieren doe :-)
22-06-2022, 13:46 door
_R0N_
Door Anoniem: ING helpdesk al eens gebeld?
Of gewoon nog een keer geprobeerd?
Wat is trouwens een "Digipass"
Of gewoon nog een keer geprobeerd?
Wat is trouwens een "Digipass"
Het ding voor mensen die het verdommen de app te installen.
Door _R0N_:
Het ding voor mensen die het verdommen de app te installen.
Door Anoniem: ING helpdesk al eens gebeld?
Of gewoon nog een keer geprobeerd?
Wat is trouwens een "Digipass"
Of gewoon nog een keer geprobeerd?
Wat is trouwens een "Digipass"
Het ding voor mensen die het verdommen de app te installen.
Of mensen zoals mijn vader die geen smartphone hebben / willen maar wel digitaal moeten bankieren omdat wat lokaal was door de ING gesloten wordt. Ik hoop tegen de tijd dat ik 80 ben we wat meer rekening houden met ouderen die digitaal wat minder vaardig zijn. Dus aub niet alleen de gedachte hebben "te verdommen te installen" maar doorhebben dat veel mensen gewoon niet meekunnen in deze digitale wereld.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
