Privacy
- Wat niemand over je mag weten
ASNbank gebruikt assets.adobedtm.com op hun iDeal pagina
29-09-2023, 10:03 door Anoniem, 10 reacties
Ik wilde een betaling verrichten via iDeal en de pagina de link laadde niet en ik keek toen in uBlock wat de oorzaak zou kunnen zijn en zag dat Adobe meekeek terwijl ik mijn betaling pagina opende.
De link voor de betaling is en ik heb die ingekort om geen gegevens te lekken:
https://diensten.asnbank.nl/online/betalen-ideal/#/v2/deeplink?payloadUri=https%3A%2F%2Ftx.ideal.......
Bij iets wat privé is en en het maken van een betaling valt hier volgens mij onder zie ik graag niemand meekijken anders dan de direct betrokken partijen.
Hoe zit het bij andere banken dan de ASNbank en gebruiken die ook allerlei 'meekijkers' als je een betaling wilt doen?
De link voor de betaling is en ik heb die ingekort om geen gegevens te lekken:
https://diensten.asnbank.nl/online/betalen-ideal/#/v2/deeplink?payloadUri=https%3A%2F%2Ftx.ideal.......
Bij iets wat privé is en en het maken van een betaling valt hier volgens mij onder zie ik graag niemand meekijken anders dan de direct betrokken partijen.
Hoe zit het bij andere banken dan de ASNbank en gebruiken die ook allerlei 'meekijkers' als je een betaling wilt doen?
Reacties (10)
abnamro.nl
www.abnamro.nl
abnamro.com
adobedc.net
demdex.net
dscb.akamaiedge.net
omtrdc.net
tiqcdn.com
Zeg het maar.
www.abnamro.nl
abnamro.com
adobedc.net
demdex.net
dscb.akamaiedge.net
omtrdc.net
tiqcdn.com
Zeg het maar.
De Piratenpartij in Delft heeft NL bankieren apps wel eens bekeken:
https://delft.piratenpartij.nl/2022/08/22/tikkie-deze-partijen-kijken-met-je-mee/
TL;DR: een privacy vriendelijke bank bestaat niet.
Handig om websites te checken is https://themarkup.org/blacklight
Voor ASN zie je dat niet alleen adobe met je mee kijkt, maar Google ook:
https://themarkup.org/blacklight?url=asnbank.nl&device=desktop&location=eu
https://delft.piratenpartij.nl/2022/08/22/tikkie-deze-partijen-kijken-met-je-mee/
TL;DR: een privacy vriendelijke bank bestaat niet.
Handig om websites te checken is https://themarkup.org/blacklight
Voor ASN zie je dat niet alleen adobe met je mee kijkt, maar Google ook:
https://themarkup.org/blacklight?url=asnbank.nl&device=desktop&location=eu
Door Anoniem: Ik wilde een betaling verrichten via iDeal en de pagina de link laadde niet en ik keek toen in uBlock wat de oorzaak zou kunnen zijn en zag dat Adobe meekeek terwijl ik mijn betaling pagina opende.
De link voor de betaling is en ik heb die ingekort om geen gegevens te lekken:
https://diensten.asnbank.nl/online/betalen-ideal/#/v2/deeplink?payloadUri=https%3A%2F%2Ftx.ideal.......
Bij iets wat privé is en en het maken van een betaling valt hier volgens mij onder zie ik graag niemand meekijken anders dan de direct betrokken partijen.
Hoe zit het bij andere banken dan de ASNbank en gebruiken die ook allerlei 'meekijkers' als je een betaling wilt doen?
Misschien gebruiken ze dit wel.... Voor fraude te traceren?De link voor de betaling is en ik heb die ingekort om geen gegevens te lekken:
https://diensten.asnbank.nl/online/betalen-ideal/#/v2/deeplink?payloadUri=https%3A%2F%2Ftx.ideal.......
Bij iets wat privé is en en het maken van een betaling valt hier volgens mij onder zie ik graag niemand meekijken anders dan de direct betrokken partijen.
Hoe zit het bij andere banken dan de ASNbank en gebruiken die ook allerlei 'meekijkers' als je een betaling wilt doen?
Dat klopt niet helemaal. Als je ditect naar diensten.asnbank.nl gaat dan wordt je doorverwezen naar de homepage en daar staat dan ook Alphabet tussen.
Ik ben bezig geweest met het nalezen van wat zij zelf schrijven over cookies en privacy en de eerste test ging als mis. Wat zij schrijven en doen komt niet altijd overeen.
De test was dat met pagina's waar het woord 'overlijden' in voorkwam, de trackers zouden uitgeschakeld zou zijn. Er zijn nog meer trefwoorden gedefinieerd door hun.
Ik ben bezig geweest met het nalezen van wat zij zelf schrijven over cookies en privacy en de eerste test ging als mis. Wat zij schrijven en doen komt niet altijd overeen.
De test was dat met pagina's waar het woord 'overlijden' in voorkwam, de trackers zouden uitgeschakeld zou zijn. Er zijn nog meer trefwoorden gedefinieerd door hun.
Door Anoniem: Misschien gebruiken ze dit wel.... Voor fraude te traceren?
Misschien besef je het niet, maar een bank een betaling voor je uitvoert dan is die bank op de hoogte van die betaling. Je kan je transactie alleen maar terugzien in online bankieren of op je rekeningafschrift omdat de bank dat heeft vastgelegd in zijn eigen bancaire informatiesysteem. Ze hebben daarmee de informatie om fraude te traceren, daar hebben ze geen marketing-trackingpixels voor nodig, en die zijn daar ook niet voor gemaakt en niet geschikt voor.Door Anoniem:
Door Anoniem: Misschien gebruiken ze dit wel.... Voor fraude te traceren?
Misschien besef je het niet, maar een bank een betaling voor je uitvoert dan is die bank op de hoogte van die betaling. Je kan je transactie alleen maar terugzien in online bankieren of op je rekeningafschrift omdat de bank dat heeft vastgelegd in zijn eigen bancaire informatiesysteem. Ze hebben daarmee de informatie om fraude te traceren, daar hebben ze geen marketing-trackingpixels voor nodig, en die zijn daar ook niet voor gemaakt en niet geschikt voor.Misschien besef je het niet , maar er zijn meer red flags bij fraude detectie dan alleen de transactie zelf die gedaan wordt na succesvolle authenticatie.
(geo) IP ligt voor de hand, invoerpatronen die hinten op niet-handmatig invoer etc.
Ik weet niet of ASN dergelijke detectie doet - en evenmin of ze dat doen via sommige herkenbaar-externe URLs.
Maar het is in elk geval veel te kort door de bocht om te stellen dat fraude detectie (slechts/pas) gedaan wordt aan de hand van de transactie die ingegeven wordt.
Door Anoniem: Misschien besef je het niet , maar er zijn meer red flags bij fraude detectie dan alleen de transactie zelf die gedaan wordt na succesvolle authenticatie.
(geo) IP ligt voor de hand, invoerpatronen die hinten op niet-handmatig invoer etc.
Waarom denk je dat een tracking-pixel die een advertentienetwerk gebruikt om gebruikers te tracken met gericht advertenties plaatsen als doel die informatie gaat leveren aan de website waarop die pixel geplaatst wordt? Misschien besef je het niet ;-), maar dat "tm" in "adobetm" staat voor "tag management" en dat is een fancy naam voor wat meestal een tracking pixel wordt genoemd.(geo) IP ligt voor de hand, invoerpatronen die hinten op niet-handmatig invoer etc.
Het IP-adres van een client kan een webapplicatie zelf kinderlijk eenvoudig opvragen. Als ze dat nodig hebben bij een bank kunnen ze het zelf vastleggen, op een manier die niet onderuit wordt gehaald als klanten zoiets als Ublock Origin gebruiken, en die veel minder omslachtig is dan achteraf gegevens uit een externe bron (als die al bruikbare gegevens bevat voor dit doel) koppelen aan de sessies. Voor live-fraudedetectie is het wel zo handig om met direct beschikbare gegevens te werken.
En als advertentieplatforms in staat zijn om de invoer toetsaanslag voor toetsaanslag te volgen is er des te meer reden om ze te blokkeren, die kunnen dan veel te veel.
Maar het is in elk geval veel te kort door de bocht om te stellen dat fraude detectie (slechts/pas) gedaan wordt aan de hand van de transactie die ingegeven wordt.
Mogelijk. Maar dan nog zou ik raar staan te kijken als een advertentieplatform de juiste partner is voor een bank om hiervoor in te schakelen.Fraude detectie, daar heeft Adobe niets mee te maken of andere partijen die direct contact hebben. ASN creëert dit door via hun pagina Adobe mee te laten kijken.
Wat ASN achter hun eigen IP doet weet ASN en als klant moet ik hun eenmaal vertrouwen. Adobe vertrouw ik voor geen millimeter.
Wat ASN achter hun eigen IP doet weet ASN en als klant moet ik hun eenmaal vertrouwen. Adobe vertrouw ik voor geen millimeter.
Door Anoniem:
Het IP-adres van een client kan een webapplicatie zelf kinderlijk eenvoudig opvragen. Als ze dat nodig hebben bij een bank kunnen ze het zelf vastleggen, op een manier die niet onderuit wordt gehaald als klanten zoiets als Ublock Origin gebruiken, en die veel minder omslachtig is dan achteraf gegevens uit een externe bron (als die al bruikbare gegevens bevat voor dit doel) koppelen aan de sessies. Voor live-fraudedetectie is het wel zo handig om met direct beschikbare gegevens te werken.
En als advertentieplatforms in staat zijn om de invoer toetsaanslag voor toetsaanslag te volgen is er des te meer reden om ze te blokkeren, die kunnen dan veel te veel.
Door Anoniem: Misschien besef je het niet , maar er zijn meer red flags bij fraude detectie dan alleen de transactie zelf die gedaan wordt na succesvolle authenticatie.
(geo) IP ligt voor de hand, invoerpatronen die hinten op niet-handmatig invoer etc.
Waarom denk je dat een tracking-pixel die een advertentienetwerk gebruikt om gebruikers te tracken met gericht advertenties plaatsen als doel die informatie gaat leveren aan de website waarop die pixel geplaatst wordt? Misschien besef je het niet ;-), maar dat "tm" in "adobetm" staat voor "tag management" en dat is een fancy naam voor wat meestal een tracking pixel wordt genoemd.(geo) IP ligt voor de hand, invoerpatronen die hinten op niet-handmatig invoer etc.
Het IP-adres van een client kan een webapplicatie zelf kinderlijk eenvoudig opvragen. Als ze dat nodig hebben bij een bank kunnen ze het zelf vastleggen, op een manier die niet onderuit wordt gehaald als klanten zoiets als Ublock Origin gebruiken, en die veel minder omslachtig is dan achteraf gegevens uit een externe bron (als die al bruikbare gegevens bevat voor dit doel) koppelen aan de sessies. Voor live-fraudedetectie is het wel zo handig om met direct beschikbare gegevens te werken.
En als advertentieplatforms in staat zijn om de invoer toetsaanslag voor toetsaanslag te volgen is er des te meer reden om ze te blokkeren, die kunnen dan veel te veel.
Maar het is in elk geval veel te kort door de bocht om te stellen dat fraude detectie (slechts/pas) gedaan wordt aan de hand van de transactie die ingegeven wordt.
Mogelijk. Maar dan nog zou ik raar staan te kijken als een advertentieplatform de juiste partner is voor een bank om hiervoor in te schakelen.Ik zou inderdaad hopen en verwachten dat deze functies door de 'eigen' servers van de bank gedaan worden.
Maar dat geld natuurlijk ook voor alle marketing statistieken die ze (nu) van Adobe krijgen - als ze zouden het zelf ook kunnen doen.
Maar goed - bij een kleine bank zou het me niet helemaal verbazen als ze dingen outsourcen of niet-optimaal hebben omdat ze gebruiken wat ze makkelijk van een extern platform krijgen en niet ook nog intern ontwikkelen.
Zoals alle IT zaken - je hebt een forse eenmalige start/investeringskosten voor een platform , en daarna heel beperkte (extra) kosten voor iedere extra gebruiker.
De pech voor kleine spelers is dat ze vergelijkbare kosten moeten maken, maar die over veel minder klanten en omzet kunnen uitsmeren.
Als je dat niet intern doet , moet je het inkopen - zoals zovelen doen met O365 .
Asnbank wil af van bankieren via de desktop.Dit in tegenstelling met b.v.Ing-bank.
Ik heb ook de trackers gezien op mijn de-googled telefoon en na discussie overgegaan naar de Ing-bank en waar ik nu wel mijn linux pc kan gebruiken zonder enig probleem. Well jammer dat ik de Asn moest verlaten.
Jan.
Ik heb ook de trackers gezien op mijn de-googled telefoon en na discussie overgegaan naar de Ing-bank en waar ik nu wel mijn linux pc kan gebruiken zonder enig probleem. Well jammer dat ik de Asn moest verlaten.
Jan.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
