Toon posts:

Fraudeurs omzeilen beveiliging ING via Paypal

Pagina: 1
Acties:

maandag 21 maart 2011 20:01

Acties:
  • Cheetah
  • Registratie: Oktober 2000
  • Laatst online: 26-06-2022

Cheetah

Try to live without WWW ;)

Topicstarter
Geachte redactie, ik denk dat de titel van bovengenoemd artikel niet correct is. Het probleem is hier niet een beveiliging van ING die omzijld wordt, maar de verificatie van Paypal/Click&Buy of ze daadwerkelijk door de rekeninghouder gemachtigd zijn op diens bankrekening die brak is :)
Zie mijn argumentatie daarvoor hieronder (is een copy/paste van een reactie van me in die thread).


@geniusboxen, om je statements even op te knippen:
1.) PayPal doet zijn verificatie door het twee malig over te maken van een enkele eurocent.
2.) In deze is het de fout van ING.
1.) als premisse van 2.) is in de logica een non-sequitur, ofwel uit 1.) volgt niet per definitie 2.).
In dit geval totaal niet, integendeel zelfs, en dat zal ik hieronder uitleggen.

Paypal/Click&Buy zijn degenen die de betalingen autoriseren en afschrijven/incasseren.
Je zegt het feitelijk zelf al: PayPal doet hun verificatie door..... de issue zit dus bij: de verificatie door Paypal en Click&Buy. Dit op basis van het feit dat zij aannemen een machtiging van de bankrekeningeigenaar te hebben ingeval de door hun verstuurde betaling/codes correct worden ingevoerd bij het koppelen van een bankrekening aan 1 van hun accounts. Dat Paypal denkt vervolgens gemachtigd te zijn tot afschrijven van bedragen is niet het probleem van ING!
Dit probleem ligt dus wel degelijk bij Paypal en Click&Buy. Zij controleren alleen of iemand zicht heeft op transacties op de bankrekening (ofwel inzage heeft in saldo-informatie), en dus niet - wat ze wel zouden moeten checken - of iemand ook geautoriseerd is om zelf transacties met de betreffende bankrekening uit te voeren! Deze check is heel makkelijk in te bouwen door iemand bijvoorbeeld te vragen het overgemaakte bedrag terug te storten vanaf het genoemde bankrekeningnummer. Zoals het er nu voorstaat met de "verificatie" kan - afgezien van phishing etc - iedereen die toegang heeft tot de bankafschriften of die een (read-only) inzage-machtiging heeft (bijv op een bedrijfsrekening) ook op deze manier frauderen.

Naar alle waarschijnlijkheid komt dit issue overigens ook volledig voor kosten van Paypal en Click&Buy. Bedragen die - zeker zonder machtiging van de eigenaar - via (automatische) incasso van een rekening worden afgeschreven kunnen gewoon worden gestorneerd. En de bank haalt dat geld rucksichtlos terug bij degene die de (automatische) incasso gedaan heeft (in dit geval dus Paypal en Click&Buy). En in dit geval zeker terecht: moeten die hun zaakjes maar beter op orde maken.

De titel van het artikel is m.i. dus ook niet juist. Het zou iets moeten zijn als: "Lekke Paypal/Click&Buy verificatie maakt fraude met bankrekening mogelijk".
Dit is immers geen ING-specifiek probleem. Iedereen met inzage in de af en bijschrijvingen van een bankrekening kan op deze manier frauderen met die betreffende bankrekening -> dankzij de lekke ontbrekende verificatie van rekening-transactie-autorisatie door Paypal en Click&Buy.


<edit, aanvulling>
@ Dlocks, maandag 21 maart 2011 18:00 "Dan nog is het ING die deze manier toestaat."
Er is geen sprake van "ING die deze manier toestaat". Dit is gewoon hoe machtigingen tot incasso op een rekening werken bij any bank: de bank gaat er bij zo'n incasso van uit dat genoemd bedrijf een machtiging heeft gekregen van de rekeninghouder. Het is de verantwoordelijkheid van het bedrijf dat incasseert om te verifieren of (cq: zeker te weten dat) die machtiging daadwerkelijk bij de rekeninghouder vandaan komt, en zo niet is het pech voor het incasserende bedrijf gezien het geld dan door de bank teruggehaald wordt.
Dat is dus precies de reden waarom veel webshops geen mogelijkheid tot eenmalige incasso door hunzelf aanbieden, maar jou vragen om zelf over te boeken. Risico op fraude. En dat is in zo'n situatie hun risico (!) - niet dat van de bank of de rekeninghouder.

[ Voor 12% gewijzigd door Cheetah op 21-03-2011 20:37 . Reden: Aanvulling ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

dinsdag 22 maart 2011 03:37

Acties:
  • tmensink
  • Registratie: Oktober 2005
  • Laatst online: 01-02 21:52

tmensink

Beste Redactie,

Dit geldt niet alleen voor ING bank, maar ook (bijvoorbeeld) voor ASN Bank.
Daar kan een rekening op dezelfde manier worden misbruikt.

Bij de ASN bank is er ook alleen een inlognaam + wachtwoord nodig om in te loggen en rekening details te zien. Voor transacties is wel een 'random reader' methode noodzakelijk.

Ik denk dat wel meer banken hetzelfde probleem hebben.

Groet, Thomas

dinsdag 22 maart 2011 04:20

Acties:
  • Homerius
  • Registratie: Augustus 2000
  • Laatst online: 21:28

Homerius

Idem voor de SNS bank.

dinsdag 22 maart 2011 04:23

Acties:

Verwijderd

Het probleem ligt niet bij de bank(en), maar bij Paypal en Click en Buy die ter verificatie een willekeurig bedrag storten. Daar zit dan een referentienummer bij die weer bij 1 van de 2 sites moet worden ingevuld.

De oorspronkelijke fout ligt nog altijd bij de eigenaar van de rekening; Ergens heeft die zijn beveiliging niet op orde of klikt het maar willekeurig op links om "Uw beveiligings-status" bij te werken op een Phishingsite, met alle gevolgen vandien.

Is gewoon erg slinks om zo toch met alleen een user/pass zonder TAN code toch geld door te sluizen.

dinsdag 22 maart 2011 05:01

Acties:
  • tmensink
  • Registratie: Oktober 2005
  • Laatst online: 01-02 21:52

tmensink

@jism

Mijn doel was om niet te discussiëren of dit een beveiligingsfout is van ING of Paypal.

Maar meer om aan te geven, dat als we het een fout noemen van ING, dat het dan ook geldt voor ASN/SNS, en waarschijnlijk meer banken.

Daarnaast, misschien moeten we de beveiliging van online bankieren maar verhogen om phising etc tegen te gaan, door alleen al voor inteloggen een random code in te voeren.

dinsdag 22 maart 2011 08:03

Acties:
  • Wilbert de Vries
  • Registratie: Augustus 2007
  • Laatst online: 01-02 21:58

Wilbert de Vries

Ex-hoofdredacteur
Ik heb de titel intact gelaten, maar in het artikel wel een zin toegevoegd. De reden dat de titel intact blijft is dat we alleen zeker weten dat het bij de ING is gebeurd, over andere banken hebben we geen bevestiging.

dinsdag 22 maart 2011 08:07

Acties:
  • Marzman
  • Registratie: December 2001
  • Niet online

Marzman

They'll never get caught.

Verwijderd schreef op dinsdag 22 maart 2011 @ 04:23:
Het probleem ligt niet bij de bank(en), maar bij Paypal en Click en Buy die ter verificatie een willekeurig bedrag storten. Daar zit dan een referentienummer bij die weer bij 1 van de 2 sites moet worden ingevuld.

De oorspronkelijke fout ligt nog altijd bij de eigenaar van de rekening; Ergens heeft die zijn beveiliging niet op orde of klikt het maar willekeurig op links om "Uw beveiligings-status" bij te werken op een Phishingsite, met alle gevolgen vandien.

Is gewoon erg slinks om zo toch met alleen een user/pass zonder TAN code toch geld door te sluizen.
Dat zou ook nog via een App kunnen op Android, er zijn al een paar keer Apps van de Google Market gehaald door de juridische afdeling van ING.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

dinsdag 22 maart 2011 10:28

Acties:

Verwijderd

Het blijft een beetje moeilijk om nou aan te geven wie er schuldig is... Natuurlijk is de manier van verificatie van Paypal niet waterdicht. Maar hoezo is het uberhaupt mogelijk om geld van een rekening af te schrijven, zonder expliciete toestemming daarvoor? Daarvan zou je toch zeggen dat het een ING kwestie is... die is immers uitvoerder van de transactie!

En dát is waar daadwerkelijk het probleem zit. In Nederland is het mogelijk een (eenmalige) incasso uit te voeren, zonder dat daar een beveiligings controle op zit. Die mogelijkheid wordt door Paypal gebruikt, en kan natuurlijk ook misbruikt worden. Dit is in gewoon exact hetzelfde als de melding over de 'bug' in de ING beveiliging enige maanden geleden. Slechts op een andere manier geimplementeerd.

dinsdag 22 maart 2011 10:38

Acties:
  • Cloud
  • Registratie: November 2001
  • Laatst online: 16:37

Cloud

FP ProMod

Ex-moderatie mobster

De oorzaak hiervan ligt uiteindelijk gewoon bij het bankensysteem en het gebruikersgemak van machtigen zonder verificatie (handtekening) te hoeven overleggen. Paypal doet er tenminste zelf nog een schepje bovenop door die verificatiebedragen over te maken, maar het is de machtiging op zich die eigenlijk lek is. :)

Sowieso kun je wel zeggen 'het is de verantwoordelijkheid van Paypal'; nou als ik klant bij de ING was zou ik het daar niet mee eens zijn. Ik wil dat mijn bank dit soort situaties gewoon voorkomt, ook al is het achteraf prima te herstellen. Ongeacht waar de schuld precies ligt, de titel is wat dat aangaat gewoon duidelijk. Deze 'exploit' (handig gebruik van phishing) is het beste toe te passen op banken zonder extra verificatie bij het inloggen; dus ING (en blijkbaar ASN?). En aangezien het makkelijker is om één bank zijn login in orde te laten maken in plaats van het hele machtigingsysteem overhoop te halen, is het dus imho terecht dat ING genoemd wordt als soort van 'schuldige'.

Overigens, maar dat gaat misschien tot in teveel detail, zou je zo'n online machtiging eigenlijk moeten geven door middel van een iDeal constructie. Nog steeds zonder handtekening, maar dan weet het bedrijf wel zeker dat de machtiging van een gemachtigd persoon af komt. Dan moet je alleen nog iets verzinnen voor telefonische bestellingen en de machtigingen daarbij. Al mogen ze die w.m.b. gewoon geheel afschaffen/onmogelijk maken. :)

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 22 maart 2011 12:45

Acties:
  • mjtdevries
  • Registratie: Augustus 2001
  • Laatst online: 14-11-2025

mjtdevries

Het artikel lijkt zichzelf nu een beetje tegen te spreken. (waarschijnlijk door de latere wijziging)
Deze methode zou niet alleen bij ING werken, maar ook andere banken, die een username en wachtwoord gebruiken, kunnen treffen.
Dit is correct, maar later staat er nog:
Andere banken in Nederland zouden niet met het probleem kampen. In Europa zouden de betaalmethodes van nog enkele andere banken kwetsbaar zijn, zoals die van de Duitse Sparkasse.
In de tweede quote word toch erg sterk gesuggereerd dat andere banken in NL niet kwetsbaar zijn, terwijl een aantal mensen hier al andere banken hebben aangegeven die net zo kwetsbaar zijn.

Het lijkt me beter om de zin: "andere banken ... kampen" te verwijderen.
Of wellicht te vervangen door: "we hebben nog geen bevestiging of andere banken in Nederland ook met dit probleem kampen" of zo iets..

dinsdag 22 maart 2011 12:54

Acties:
  • Xander
  • Registratie: Oktober 2002
  • Laatst online: 02:22

Xander

Beide betaaldiensten zetten een bepaald bedrag op de bankrekening van de aanvrager, ter verificatie dat die inderdaad eigenaar is van de rekening. Click and Buy stuurt daarnaast een code mee.
De fraudeur ziet op het rekeningoverzicht dat het bedrag overgemaakt is en geeft dit aan bij zijn Paypal-account. Bij Click and Buy vult hij de code in.
Paypal gebruikt toch net zo goed zo'n code? :?

Ik kan me niet voorstellen dat je bij Paypal alleen hoeft aan te geven dat er geld gestort is. Toen ik recent een andere creditcard koppelde aan Paypal gebruikte ze ook een code in de omschrijving, het lijkt me sterk dat dat bij een bankrekening zo veel anders is...?

edit:
Nvm, het lijkt bij Paypal om de hoogte van het bedrag te gaan. Dan nog vind ik de tweede quote een tikje verwarrend, maar het klopt wel...

[ Voor 10% gewijzigd door Xander op 22-03-2011 12:57 ]

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

dinsdag 22 maart 2011 12:56

Acties:
  • Cloud
  • Registratie: November 2001
  • Laatst online: 16:37

Cloud

FP ProMod

Ex-moderatie mobster

@mjtdevries
Eigenlijk is elke bank wel kwetsbaar, alleen de banken die zonder extra verificatie bij het inloggen werken zijn het meest kwetsbaar. Kijk als iemand's pc geïnfecteerd is met een keylogger of ander soort trojan, dan is ook alles mogelijk, ongeacht de bank.

@Xander
Die tekst is inderdaad wat kort door de bocht. Ik meen ook dat je de code uit de omschrijving door moest geven, anderen zeggen dat je puur de twee bedragen moet doorgeven die ze gestort hebben. In elk geval is het niet genoeg om te zeggen dát er geld gestort is, er is wel meer voor nodig.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 22 maart 2011 12:58

Acties:
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 22:51

SinergyX

____(>^^(>0o)>____

Xander schreef op dinsdag 22 maart 2011 @ 12:54:
Ik kan me niet voorstellen dat je bij Paypal alleen hoeft aan te geven dat er geld gestort is. Toen ik recent een andere creditcard koppelde aan Paypal gebruikte ze ook een code in de omschrijving, het lijkt me sterk dat dat bij een bankrekening zo veel anders is...?
Daar zit afaik ook gewoon zo'n code in (net als jij, heb ik enkel creditcard).

Dit is hetzelfde principe als het gros van 'hijacks' van MMO accounts, de verificatie van wachtwood wijziging of het resetten ervan, gaat via email. Als iemand in jouw email kan komen, kan hij logischerwijs dus ook alles wijzigen van het account. In principe voldoen beide kanten 'redelijk' aan beveiliging, maar is het de gebruiker die zijn inlog van zijn email dus laat slingeren.

Al zie je nu wel diverse sites/games met extra verificatie komen, niet verifieerd IP adres/computer moet de extra vraag beantwoorden (die nergens afaik te resetten is), of kan je 'account changes' naar een ander email laten sturen.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

dinsdag 22 maart 2011 14:52

Acties:
  • Cheetah
  • Registratie: Oktober 2000
  • Laatst online: 26-06-2022

Cheetah

Try to live without WWW ;)

Topicstarter
Wilbert de Vries schreef op dinsdag 22 maart 2011 @ 08:03:
Ik heb de titel intact gelaten, maar in het artikel wel een zin toegevoegd. De reden dat de titel intact blijft is dat we alleen zeker weten dat het bij de ING is gebeurd, over andere banken hebben we geen bevestiging.
Wel wat vreemd. In principe is elke bank zo "kwetsbaar", en dat heb ik ook beargumenteerd hierboven.

Het probleem ligt bij het feit dat Paypal en Click&Buy veronderstellen een machtiging te hebben terwijl ze nooit gecheckt hebben of degene de aanvraag tot koppelen van de rekening doet geautoriseerd is om met die betreffende rekening betalingen te doen. Dit is een fundamenteel foute veronderstelling. Dat iemand af- en bijschrijvingen op een bepaalde rekening kan zien wil nog absoluut niet zeggen dat diegene met die rekening ook transacties mag doen.

Bovenstaand geldt voor elke bank die incasso's afhandelt (ofwel: zo ongeveer elke bank). Het is dus niet de beveiliging van ING die wordt omzijld maar Paypal die te gemakkelijk een machtiging op de rekening veronderstelt.
Cloud schreef op dinsdag 22 maart 2011 @ 10:38:
De oorzaak hiervan ligt uiteindelijk gewoon bij het bankensysteem en het gebruikersgemak van machtigen zonder verificatie (handtekening) te hoeven overleggen. Paypal doet er tenminste zelf nog een schepje bovenop door die verificatiebedragen over te maken, maar het is de machtiging op zich die eigenlijk lek is. :)

Sowieso kun je wel zeggen 'het is de verantwoordelijkheid van Paypal'; nou als ik klant bij de ING was zou ik het daar niet mee eens zijn. Ik wil dat mijn bank dit soort situaties gewoon voorkomt, ook al is het achteraf prima te herstellen. Ongeacht waar de schuld precies ligt, de titel is wat dat aangaat gewoon duidelijk. Deze 'exploit' (handig gebruik van phishing) is het beste toe te passen op banken zonder extra verificatie bij het inloggen; dus ING (en blijkbaar ASN?). En aangezien het makkelijker is om één bank zijn login in orde te laten maken in plaats van het hele machtigingsysteem overhoop te halen, is het dus imho terecht dat ING genoemd wordt als soort van 'schuldige'.
Nee dus. Het is niet ING's zaak op basis waarvan Paypal wil veronderstellen dat ze een machtiging hebben. Dit is Paypal's manier van verificatie - die ze zelf hebben bedacht - en niet eentje die ING heeft voorgeschreven.
Dit is Paypal's zaak, en zij gaan ook de prijs hiervoor betalen. Hun risico als incasseerder.

[ Voor 38% gewijzigd door Cheetah op 22-03-2011 15:01 ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

dinsdag 22 maart 2011 15:07

Acties:
  • Cloud
  • Registratie: November 2001
  • Laatst online: 16:37

Cloud

FP ProMod

Ex-moderatie mobster

Cheetah schreef op dinsdag 22 maart 2011 @ 14:52:
[...]
Wel wat vreemd. In principe is elke bank zo "kwetsbaar", en dat heb ik ook beargumenteerd hierboven.

[...]
En zoals anderen beargumenteerd hebben is de ene bank een stuk kwetsbaarder dan de andere. Onder andere de ING is simpelweg gevoeliger voor dit probleem dan andere banken. Dus dan is het nog steeds terecht dat ING hier voornamelijk genoemd wordt. Zelfs al zou Paypal echt de schuldige zijn.
[...]
Nee dus. Het is niet ING's zaak op basis waarvan Paypal wil veronderstellen dat ze een machtiging hebben. Dit is Paypal's manier van verificatie, die ze zelf hebben bedacht, en niet eentje die ING heeft voorgeschreven.
Dat is Paypal's zaak, en zij gaan ook de prijs hiervoor betalen. Hun risico als incasseerder.
Nee dat is niet ING's zaak, dat is eigenlijk een fout in het machtigingsysteem op zich. Paypal doet nog enigszins hun best d.m.v. de verificatiebetalingen, maar eigenlijk is het systeem gewoon bugged. Er is gewoon geen goede methode voorhanden om aan te tonen dat jij de eigenaar van een rekeningnummer bent, afgezien van geld over te maken naar de andere partij. En dat is behoorlijk gebruikersonvriendelijk..

Het is dus niet de schuld van ING en eigenlijk ook niet van Paypal. Paypal zal vast de prijs wel betalen, maar tóch blijft het feit staan: de ING is hier sowieso kwetsbaarder voor dan andere banken. Dat is wat er in het artikel vermeld wordt en dat klopt dus gewoon.

edit:
@ hieronder; zo te zien heb je een sterke mening over dit alles. Ik zeg namelijk nergens dat ING schuld heeft, ik zeg alleen maar dat ING kwetsbaarder is dan andere banken. That's all. Wat mij betreft is dit mijn laatste bijdrage in dit topic, het artikel klopt namelijk gewoon zo. Ik heb overigens niets met de redactie te doen, dit alles is op persoonlijke noot.

Overigens is het probleem opgelost als de ING gewoon een TAN-code vraagt bij het inloggen. Geen calculator voor nodig en in elke situatie veiliger. :)

[ Voor 13% gewijzigd door Cloud op 22-03-2011 15:28 ]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 22 maart 2011 15:22

Acties:
  • Cheetah
  • Registratie: Oktober 2000
  • Laatst online: 26-06-2022

Cheetah

Try to live without WWW ;)

Topicstarter
ING is kwetsbaarder voor verkeerde veronderstellingen van Paypal, dus heeft ING ook schuld?? Die redenatie klopt m.i. niet hoor. Het machtigingen-systeem werkt an sich prima, zeker voor dienstverlening. Ik zit er nog steeds niet op te wachten dat ik internet, tel.abbo's, gas, licht, water, hypotheek etc allemaal met 't handje moet betalen.
Alleen moet de incasseerder goed verifieren dat hij inderdaad een machtiging heeft van de eigenaar of een gevolmachtigde op de rekening. En zijn verlies nemen als hij dit niet goed blijkt te hebben gedaan. Dit is nooit het probleem van de bank, altijd van de incasseerder!

Het machtigingssysteem is een vaststaand gegeven. Werkt universeel en gaat (voorlopig) niet gewijzigd worden.

Dus:
1.) Paypal biedt deze betaalmethode aan (koppelen bankrekening aan Paypal-rekening middels machtiging).
2.) Paypal doet de verificatie van machtiging.
3.) Paypal doet de incasso.
Volgt automatish uit: 4.) Paypal zit fout als dat misgaat.

Moet Paypal maar beter checken.


Afgezien daarvan ben ik er persoonlijk heel blij mee dat ik niet constant met een calculator hoef te leuren om mijn rekening te kunnen inzien. Dat bepaalde bedrijven (Paypal/Click&Buy) inzage in een rekening wensen te interpreteren als machtiging tot verrichten van betalingen met die rekening is voor de volle 100% hun probleem.

[ Voor 11% gewijzigd door Cheetah op 22-03-2011 16:01 ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

dinsdag 22 maart 2011 15:31

Acties:
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 22:51

SinergyX

____(>^^(>0o)>____

Hoe kan paypal fout zitten, als deze identieke werkwijze bij de Rabobank zo goed als dicht zit? Zelfde methode, andere bank, onlogisch.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

dinsdag 22 maart 2011 15:57

Acties:
  • Cheetah
  • Registratie: Oktober 2000
  • Laatst online: 26-06-2022

Cheetah

Try to live without WWW ;)

Topicstarter
SinergyX schreef op dinsdag 22 maart 2011 @ 15:31:
Hoe kan paypal fout zitten, als deze identieke werkwijze bij de Rabobank zo goed als dicht zit? Zelfde methode, andere bank, onlogisch.
Ik ga in herhaling treden:
Het probleem ligt bij het feit dat Paypal en Click&Buy veronderstellen een machtiging te hebben terwijl ze nooit gecheckt hebben of degene de aanvraag tot koppelen van de rekening doet geautoriseerd is om met die betreffende rekening betalingen te doen. Dit is een fundamenteel foute veronderstelling. Dat iemand af- en bijschrijvingen op een bepaalde rekening kan zien wil nog absoluut niet zeggen dat diegene met die rekening ook transacties mag doen.
Het enige verschil met de Rabobank is dat iemand met phising wat minder makkelijk je rekeningafschriften kan inzien. Maar ook dat is erg relatief als ik TheVMaster op de fp mag geloven.
Bij Rabo kun je ook ZOMAAR inloggen ZONDER je calculator, namelijk via (of) een mobiele applicatie (Android, iPhone) OF via de mobiele website. Het is dan misschien wel niet mogelijk om geld over te maken, maar dat is ook helemaal niet nodig.
En als dat inderdaad klopt is de Rabobank zo goed als exact even "kwetsbaar" voor... Paypal's methode van verificatie. Wat de cirkel weer rondmaakt en ons weer terugbrengt bij het echte probleem: een verkeerde veronderstelling van Paypal en op die verkeerde veronderstelling gebaseerde verificatie door Paypal.

[ Voor 3% gewijzigd door Cheetah op 22-03-2011 15:59 ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

dinsdag 22 maart 2011 16:25

Acties:
  • Cloud
  • Registratie: November 2001
  • Laatst online: 16:37

Cloud

FP ProMod

Ex-moderatie mobster

Toch nog even dan ;)
Cheetah schreef op dinsdag 22 maart 2011 @ 15:57:
Maar ook dat is erg relatief als ik TheVMaster op de fp mag geloven.
[...]
En als dat inderdaad klopt is de Rabobank zo goed als exact even "kwetsbaar" voor...
Wat TheVMaster daar vergeet te vermelden is dat de mobiele toegang van de Rabobank apart geactiveerd moet worden. Maar inderdaad, die loginmethode is ook kwetsbaar voor hetzelfde geintje. Exact even kwetsbaar wil ik het dus zeker niet noemen, maar voor een specifieke groep gebruikers wel ja.
Geen idee hoe groot die groep is, maar van alle rabo'ers die ik ken gebruikt niemand het. Juist omdát, je in kunt loggen zonder je Random reader. :) Misschien dat het populair is onder studenten ofzo.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 22 maart 2011 17:00

Acties:
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 22:51

SinergyX

____(>^^(>0o)>____

Cheetah schreef op dinsdag 22 maart 2011 @ 15:57:
En als dat inderdaad klopt is de Rabobank zo goed als exact even "kwetsbaar" voor... Paypal's methode van verificatie. Wat de cirkel weer rondmaakt en ons weer terugbrengt bij het echte probleem: een verkeerde veronderstelling van Paypal en op die verkeerde veronderstelling gebaseerde verificatie door Paypal.
Je blijft het punt missen, het principe HOE men die verificatie kan controleren. Zoals ik eerder het voorbeeld gaf met email, mag ik dan nu aannemen dat de hele beveiliging van T.net ook zo lek als een mandje is? Immers werkt dit op de identieke manier, enige verschil is dat er geen geld mee gemoeid is en blijkbaar is het dan geen issue.

Het probleem zit niet in het systeem, het probleem zit in het punt waar kan worden ingebroken. Als je op geen enkele manier kan inbreken voor bankafschrift inzage, kan je het paypal systeem ook niet omzeilen.

In jouw redenatie is namelijk hele betaalwereld waar maar iets met iets wordt gekoppeld zo lek als een mandje.

Zo'n gedachte is vrijwel zeker ook de reden waarom Rabobank zo nodig een pincode op je creditcard moest toevoegen

[ Voor 10% gewijzigd door SinergyX op 22-03-2011 17:05 ]

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

dinsdag 22 maart 2011 18:25

Acties:
  • nsa1984
  • Registratie: Maart 2005
  • Laatst online: 15:13

nsa1984

Ik denk dat Cheetah bedoeld aan te geven. Dat paypal de aanname doet dat als je de transacties kan lezen, je ook gemachtigd bent om transacties uit te voeren. Dat die aanname op zijn minst twijfelachtig te noemen is ben ik het wel mee eens. Ik hoef alleen maar te kijken naar mensen die in de schuldsanering zitten. Die mogen vaak wel hun dagafschriften ontvangen, maar mogen zelfstandig geen transacties uitvoeren met hun rekening.

Andersom ING en alle andere banken die de (recente) transacties toegankelijk maken door middel van alleen een gebruikersnaam en bijpassend wachtwoord, of een ander dergelijk systeem zonder appart apparaat (smsje op mobiel, randomreader, digipas, etc) zijn wel kwetsbaarder voor deze truc.

Voor paypal zou dit eenvoudig oplosbaar zijn door de gebruiker te vragen om 1 of 2 cent over te maken vanaf de te koppelen bankrekening. Gebruiksonvriendelijk maar wel een stuk zuiverder, immers de transactie is gelukt dus is de aanname dat het door een transactie gemachtigde persoon is gedaan staat een stuk sterker.
Voor ING (en andere gebruikersnaam/wachtwoord) zou inderdaad het inderdaad mogelijk zijn om de beveiliging te verhogen door zonder aparte code (smsje op mobiel, randomreader, digipas, etc) die op een onafhankelijk apparaat word berekend geen toegang tot het transactie overzicht te verlenen.

Naar mijn mening zou het verstandig zijn om beide oplossingen toe te passen, maar ik kan en hoef gelukkig dit soort beslissingen niet te maken.

De waarheid is leuk, maar hoe heb je die gevonden?

dinsdag 22 maart 2011 23:14

Acties:
  • Cheetah
  • Registratie: Oktober 2000
  • Laatst online: 26-06-2022

Cheetah

Try to live without WWW ;)

Topicstarter
SinergyX schreef op dinsdag 22 maart 2011 @ 17:00:
Je blijft het punt missen, het principe HOE men die verificatie kan controleren. Zoals ik eerder het voorbeeld gaf met email, mag ik dan nu aannemen dat de hele beveiliging van T.net ook zo lek als een mandje is? Immers werkt dit op de identieke manier, enige verschil is dat er geen geld mee gemoeid is en blijkbaar is het dan geen issue.

Het probleem zit niet in het systeem, het probleem zit in het punt waar kan worden ingebroken. Als je op geen enkele manier kan inbreken voor bankafschrift inzage, kan je het paypal systeem ook niet omzeilen.
Helaas blijf jij dus duidelijk het punt missen.
Nogmaals: ING (of welke andere bank maar ook) heeft er letterlijk geen ene klap mee te maken dat Paypal veronderstelt een machtiging te hebben op moment dat iemand het rekeningafschrift kan inzien. Da's Paypal's probleem. Er zijn een heleboel mensen die - al dan niet terecht - afschriften kunnen inzien van rekeningen waarop ze niet gevolmachtigd zijn (denk bijvoorbeeld ook aan de financiele administratie van bedrijfsrekeningen). Paypal's veronderstelling is dus fundamenteel fout.
ING (of welke andere bank maar ook) gaat Paypal hierin dus logischerwijs ook niet tegemoed komen door hun hele toegangs-authenticatiesysteem op de schop te gooien op basis van het feit dat Paypal verkeerde veronderstellingen doet. Zeker niet gezien (terecht) Paypal en niet de bank opdraait voor de kosten van dit geintje.
In jouw redenatie is namelijk hele betaalwereld waar maar iets met iets wordt gekoppeld zo lek als een mandje.
Nee, in mijn redenatie moet Paypal - net zoals elk bedrijf dat (automatische) incasso's doet - gewoon controleren of degene die de aanvraag tot koppeling doet ook gevolmachtigde op de betreffende bankrekening is. En dat check je heel simpel door iemand te vragen om een overboeking vanaf de betreffende rekening te doen.

[ Voor 5% gewijzigd door Cheetah op 22-03-2011 23:25 ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

woensdag 23 maart 2011 09:33

Acties:
  • zeef
  • Registratie: Januari 2000
  • Laatst online: 10-02 22:16

zeef

SinergyX schreef op dinsdag 22 maart 2011 @ 17:00:
[...]

Je blijft het punt missen, het principe HOE men die verificatie kan controleren. Zoals ik eerder het voorbeeld gaf met email, mag ik dan nu aannemen dat de hele beveiliging van T.net ook zo lek als een mandje is? Immers werkt dit op de identieke manier, enige verschil is dat er geen geld mee gemoeid is en blijkbaar is het dan geen issue.

Het probleem zit niet in het systeem, het probleem zit in het punt waar kan worden ingebroken. Als je op geen enkele manier kan inbreken voor bankafschrift inzage, kan je het paypal systeem ook niet omzeilen.

In jouw redenatie is namelijk hele betaalwereld waar maar iets met iets wordt gekoppeld zo lek als een mandje.

Zo'n gedachte is vrijwel zeker ook de reden waarom Rabobank zo nodig een pincode op je creditcard moest toevoegen
Het is toch veel beter om met de te gebruiken rekening een transactie naar Paypal te doen dan omgekeerd? Door de betaling geef je aan dat je niet alleen inzage hebt maar ook de bevoegdheid hebt om transacties uit te voeren. Natuurlijk is dat ook geen waterdicht systeem maar het uitvoeren van de handeling is een schaal hoger dan alleen de transactie bekijken.

woensdag 23 maart 2011 10:06

Acties:
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 22:51

SinergyX

____(>^^(>0o)>____

Cheetah schreef op dinsdag 22 maart 2011 @ 23:14:
Helaas blijf jij dus duidelijk het punt missen.
Nee hoor, ik mis hier niets. Jij ziet het enkel anders dan dat ik het zie, ik zie de fout bij de inzage liggen, jij bij Paypal.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

woensdag 23 maart 2011 10:06

Acties:
  • Cloud
  • Registratie: November 2001
  • Laatst online: 16:37

Cloud

FP ProMod

Ex-moderatie mobster

@zeef
Dat zou inderdaad beter (hoewel ook minder gebruikersvriendelijk) zijn. :) Het zou nog mooier zijn om via een iDeal portal jouw rechten op de betreffende rekening aan te tonen. Dat bestaat helaas niet, maar dan hoef je niet eens geld over te maken naar de andere partij. Het doen van verificatiebetalingen áán de gebruiker is overigens helemaal niet zo raar hoor. Want zijn er überhaupt wel mensen die leesrechten hebben op een rekening, maar geen geld over mogen maken van die rekening? Afgezien van bankmedewerkers dan.

Terug naar het artikel:
Er wordt echter gezegd dat het nieuwsartikel niet klopt, omdat de schuld niet bij ING ligt. En hoewel die schuld daar misschien wel niet geheel ligt, is ING simpelweg wel het meest vatbaar voor het probleem. Ik hoop ook dat iedereen het er wel over eens is dat inloggen met alleen een gebruikersnaam en een (hoofdletter ongevoelig) wachtwoord minder veilig is, dan inloggen met behulp van een tweefactor-authenticatie. Het artikel als zodanig klopt dus gewoon.

Leuk artikel bij dit alles: link.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

woensdag 23 maart 2011 12:55

Acties:
  • Cheetah
  • Registratie: Oktober 2000
  • Laatst online: 26-06-2022

Cheetah

Try to live without WWW ;)

Topicstarter
SinergyX schreef op woensdag 23 maart 2011 @ 10:06:
Nee hoor, ik mis hier niets. Jij ziet het enkel anders dan dat ik het zie, ik zie de fout bij de inzage liggen, jij bij Paypal.
Het gaat er niet om hoe jij of ik het ziet, het gaat erom hoe het is.
Cloud schreef op woensdag 23 maart 2011 @ 10:06:
@zeef
Dat zou inderdaad beter (hoewel ook minder gebruikersvriendelijk) zijn. :)
Je maakt je druk over "gebruikersonvriendelijkheid" bij het checken of iemand uberhaupt wel betalingen mag verrichten met een bankrekening voordat je uitgaat van een machtiging... en wilt de ommissie van die check door Paypal afschuiven op de bank die dan maar alle potentiele rekening-inzage achter een stalen muur moet plaatsen [uberhaupt onmogelijk overigens] om Paypal's foute manier van interpreteren van een machtiging te faciliteren :?
Hoezo de wereld op z'n kop?
Het zou nog mooier zijn om via een iDeal portal jouw rechten op de betreffende rekening aan te tonen. Dat bestaat helaas niet, maar dan hoef je niet eens geld over te maken naar de andere partij.
Dus dan zouden de banken een heel apart systeem moeten inrichten om Paypal te faciliteren? :?
Dat systeem om je rechten aan te tonen is al in place: een betaling doen. Mag ook gewoon via iDeal.
Het doen van verificatiebetalingen áán de gebruiker is overigens helemaal niet zo raar hoor. Want zijn er überhaupt wel mensen die leesrechten hebben op een rekening, maar geen geld over mogen maken van die rekening? Afgezien van bankmedewerkers dan.
Ja, zat. Er zijn hierboven al verschillende voorbeelden genoemd:
1.) Zoals je zelf al stelt: bankmedewerkers.
2.) Mensen die onder curatele staan en niet zelf transacties mogen doen.
3.) De financiele administratie en verkoop-administratie binnen een bedrijf: vaak mogen vele medewerkers de transacties op de bedrijfs-bankrekeningen inzien terwijl er maar enkele geautoriseerd zijn om transacties uit te voeren.
4.) Iedereen die jouw bankafschriften van je deurmat kan vissen, bijvoorbeeld: degene die je hond/kat/vis/kanarie te eten geeft wanneer je op vakantie bent, de kinderoppas, heck zelfs de postbode die 'm door je brievenbus duwt.
5.) Vast nog andere groepen/mensen die ik ff vergeet.

Hoe het ook niet zij: de aanname van Paypal dat iemand die (op de een of andere manier, op enig moment) af- en bijschrijvingen op een bankrekening kan bekijken perse gevolmachtigde met transactiebevoegdheid is op die rekening is gewoon domweg fout. Vervolgens - op basis van die foute veronderstelling - iedereen die een afschrift kan bekijken toestaan om via het Paypal betaalsysteem een bankrekening te koppelen en dingen te betalen is nog fouter.

Je bankafschrift is helemaal geen ultra-confidential informatie, net zo min als je salarisstrookje. Het bij een 3rd party belanden van die informatie zou niets meer dan een klein privacy-issue moeten zijn. Daarom kan het ook gewoon over de post verzonden worden.
De banken hebben niet voor niets een hele duidelijke scheiding tussen het bekijken van saldo informatie en het doen van betalingen. Een betaling moet altijd apart geauthenticeerd worden: zij het middels een challenge-response op een calculator, zij het middels een tan-code.

Het is Paypal die dit vaststaand gegeven negeert, en simpele saldo-inzage misbruikt om een volmachtiging te interpreteren. Paypal zit dus hardstikke fout, niet de bank.
Terug naar het artikel:
Er wordt echter gezegd dat het nieuwsartikel niet klopt, omdat de schuld niet bij ING ligt. En hoewel die schuld daar misschien wel niet geheel ligt, is ING simpelweg wel het meest vatbaar voor het probleem. Ik hoop ook dat iedereen het er wel over eens is dat inloggen met alleen een gebruikersnaam en een (hoofdletter ongevoelig) wachtwoord minder veilig is, dan inloggen met behulp van een tweefactor-authenticatie. Het artikel als zodanig klopt dus gewoon.

Leuk artikel bij dit alles: link.
Jouw uitgangspunt (en het uitgangspunt in dat artikel) is - wederom - dat de fout bij de bank ligt en dat die dus wat moet oplossen.
De werkelijkheid is dat de fout bij machtigingen altijd (!!) bij het bedrijf ligt dat een machtiging verondersteld. En dat bedrijf is dus Paypal. Het is niet het systeem van de bank dat onveilig/vatbaar is, maar het betalingssysteem van Paypal.

[ Voor 9% gewijzigd door Cheetah op 23-03-2011 13:23 ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

woensdag 23 maart 2011 13:17

Acties:
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 22:51

SinergyX

____(>^^(>0o)>____

Nogmaals blijf jij op het punt hoe jij VIND hoe het 'is', daar zit het verschil. Inlogcodes, account-reset, wachtwoord aanvragen, alles werkt op precies hetzelfde systeem, alles is te onderscheppen. In jouw ogen is de hele internetwereld (buiten de token/challenge principes) onveilig. Tweakers is net zo onveilig als jij vind dat Paypal is.
De banken hebben niet voor niets een hele duidelijke scheiding tussen het bekijken van saldo informatie en het doen van betalingen. Een betaling moet altijd apart geauthenticeerd worden: zij het middels een challenge-response op een calculator, zij het middels een tan-code.
Saldo opvragen bij de Rabobank (internet) heb je gewoon je calculator nodig, enkel de uitzondering zijn Rabofoon en Mobiel, maar dat zijn apart te activeren (en deactiveren) diensten.

Immers kan ik middels jouw handtekening (die relatief makkelijk te achterhalen is) ook alles overmaken wat ik wil (overschrijfformulieren, machtigingen), indentiek principe. Rabobank heeft zich hier tegen afschermt, ING bank niet, in dat geval is ING vatbaar en Rabo niet, compleet los van het principe wat Paypal hanteert. Of zij nu wel of niet een perfect waterdicht systeem hebben, is een discussie apart, maar in deze situatie is gewoon ING de 'zwakke' schakel in het systeem, waar andere banken een andere methode hanteren om dit tegen te gaan.

[ Voor 28% gewijzigd door SinergyX op 23-03-2011 13:22 ]

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

woensdag 23 maart 2011 13:20

Acties:
  • Cloud
  • Registratie: November 2001
  • Laatst online: 16:37

Cloud

FP ProMod

Ex-moderatie mobster

Cheetah schreef op woensdag 23 maart 2011 @ 12:55:
[...]

2.) Mensen die onder curatele staan en niet zelf transacties mogen doen.
3.) De financiele administratie en verkoop-administratie binnen een bedrijf: vaak mogen vele medewerkers de transacties op de bedrijfs-bankrekeningen inzien terwijl er maar enkele geautoriseerd zijn om transacties uit te voeren.
Duidelijk inderdaad :) Dat zijn groepen waar ik niet aan gedacht heb. Ik had al zo'n vermoeden dat ik wat over het hoofd zag.
[...]

Jouw uitgangspunt (en het uitgangspunt in dat artikel) is dat de fout bij de bank ligt.
De werkelijkheid is dat de fout bij machtigingen altijd (!!) bij het bedrijf ligt dat een machtiging verondersteld. En dat bedrijf is dus Paypal. Het is niet het systeem van de bank dat onveilig/vatbaar is, maar het betalingssysteem van Paypal.
Mijn uitgangspunt over wie zijn fout het is, doet er helemaal niet toe. Het gaat erom welke bank het meest kwetsbaar is en dat is de ING. Een feit is gewoon, dat de inlogmethode van de ING onveiliger is dan van andere banken en dát is nu net de reden waarom dit alles zo goed toepasbaar is. Ook al ligt het in werkelijkheid aan de verificatiemethode van Paypal.

Dit is verder mijn laatste reactie (nu echt! ;)) in dit topic. Ik blijf het bovenstaande maar moeten herhalen echter wordt het blijkbaar consequent genegeerd.

offtopic:
Verder kun je die underlines, bolds en italics wel achterwege laten hoor. Zonder al die stijlen door elkaar is het zelfs beter wat leesbaar.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

woensdag 23 maart 2011 13:44

Acties:
  • Cheetah
  • Registratie: Oktober 2000
  • Laatst online: 26-06-2022

Cheetah

Try to live without WWW ;)

Topicstarter
SinergyX schreef op woensdag 23 maart 2011 @ 13:17:
Nogmaals blijf jij op het punt hoe jij VIND hoe het 'is', daar zit het verschil. Inlogcodes, account-reset, wachtwoord aanvragen, alles werkt op precies hetzelfde systeem, alles is te onderscheppen. In jouw ogen is de hele internetwereld (buiten de token/challenge principes) onveilig. Tweakers is net zo onveilig als jij vind dat Paypal is.
Je doet via Tweakers geen betalingen dus dat boeit ook niet.
Bij inzien van een saldo doe je ook geen betaling, dus dat zou ook niet moeten boeien.

Het zijn Paypal en Click&Buy die dit wel boeiend maken, niemand anders. Dat is het verschil.
Saldo opvragen bij de Rabobank (internet) heb je gewoon je calculator nodig, enkel de uitzondering zijn Rabofoon en Mobiel, maar dat zijn apart te activeren (en deactiveren) diensten.

Immers kan ik middels jouw handtekening (die relatief makkelijk te achterhalen is) ook alles overmaken wat ik wil (overschrijfformulieren, machtigingen), indentiek principe. Rabobank heeft zich hier tegen afschermt, ING bank niet, in dat geval is ING vatbaar en Rabo niet,
Weleens van dagafschriften gehoord? Die komen door je brievenbus binnen en bevatten ook die gegevens.

Punt is dit: "saldo-informatie kunnen/mogen inzien != betaling mogen doen". Dat is een feitelijk gegeven.

Paypal begrijpt dat niet, en jij blijkbaar ook niet helaas. Want om "saldo-informatie kunnen/mogen inzien == betaling mogen doen" te verdedigen wil je "saldo-informatie kunnen/mogen inzien" achter een ijzeren bariere plaatsen [=onmogelijk] terwijl gewoon "betaling mogen doen" achter die ijzeren barriere thuishoort.
En da's ook bij elke bank het geval... behalve via het betaalsysteem van Paypal dan.
compleet los van het principe wat Paypal hanteert. Of zij nu wel of niet een perfect waterdicht systeem hebben, is een discussie apart, maar in deze situatie is gewoon ING de 'zwakke' schakel in het systeem, waar andere banken een andere methode hanteren om dit tegen te gaan.
"compleet los van wat Paypal hanteert"... "discussie apart" :?
Jij wilt de kwestie bekijken "compleet los van wat Paypal hanteert" terwijl Paypal hier degene is die machtiging veronderstelt en de incasso verricht? Volgens mij begrijp je deze kwestie echt fundamenteel niet...
Cloud schreef op woensdag 23 maart 2011 @ 13:20:
Mijn uitgangspunt over wie zijn fout het is, doet er helemaal niet toe. Het gaat erom welke bank het meest kwetsbaar is en dat is de ING. Een feit is gewoon, dat de inlogmethode van de ING onveiliger is dan van andere banken en dát is nu net de reden waarom dit alles zo goed toepasbaar is. Ook al ligt het in werkelijkheid aan de verificatiemethode van Paypal.
Daarbij is nog steeds het uitgangspunt dat de bank hier uberhaupt kwetsbaar is.
De bank is helemaal niet kwetsbaar, en de bank leidt ook geen schade maar Paypal. Het is Paypal die een relatief minor privacy issue [iemand die op enig moment je saldo kan inzien] verheft tot een betaalfraude-issue op Paypal-accounts. De kwetsbare partij is dus Paypal en niet de bank. Dat was nou net het punt ;)

[ Voor 14% gewijzigd door Cheetah op 23-03-2011 14:06 ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq