Verdachte dingen bij inloggen op mijn.ing.nl

vrijdag 5 augustus 2011 11:59

Acties:

0 Henk 'm!

Webdeveloper since 2003

De veiligste manier van een wachtwoord opslaan is encryptie niet een hash.
http://codahale.com/how-to-safely-store-a-password/
http://stackoverflow.com/...12-vs-blowfish-and-bcrypt
Maar dat is weer een ander verhaal

• Zakelijke klanten over laten stappen van calculator naar gebruikersnaam/wachtwoord (waar ik ze overigens nog steeds heel dankbaar voor ben. niet dus)
• Wachtwoord versturen per SMS.
• En nu dit weer?!

Het lijkt wel of ze daar echt de domheid van de Postbank hebben overgenomen.

Vroeger had ik juist voor de ING gekozen als ondernemer, omdat de kosten te doen zijn en je toch een goede service hebt. Ik had al een persoonlijke rekening bij de Postbank, met uiteraard de nodige problemen en storingen. En over ING had tot die tijd geen klachten gehoord. Ze stonden echt voor kwaliteit, en werkte via een formele manier. Het voelde echt een bank en niet als een partij bij je geld plaatst.

Maar sinds die fusie van de Postbank is de kwaliteit, competentheid echt dramatische geworden.
Waarom moest ik mijn calculator opgeven? Ik vond dat veel prettiger en veiliger werken dan de Postbank.
Waarom moet de de veiligheid wijken, voor het gemak. Een calculator werkt net zo makkelijk.

Je hoord bijna nooit iets over gekraakte rekeningen van andere banken, altijd weer de ING (Postbank).
En toch niet op het idee komen of het misschien anders moet!! Gaan ze als klap op de vuurpijl zonder aankondiging een beveiligingstest uitvoeren IN PRODUCTIE! (dit laatste incident)

Waar is die formele mentaliteit? Waar is die kwaliteit?
Ik hoef geen dure hypotheek, ik wil geen lening.
Ik wil gewoon veilig kunnen bankieren. Als je als bank dat niet kan bieden ben je te dom om te bestaan.

Ik nomineer hierbij ING voor de Facepalm award van het jaar

"fouten verifieer je niet met een "; DROP DATABASE" commando. " Arnoud Engelfriet (Security.nl)

vrijdag 5 augustus 2011 12:04

Acties:

0 Henk 'm!

DCG909

Henk007 schreef op vrijdag 05 augustus 2011 @ 08:25:
Wel typisch dat die site nog online is dan..
whois wijst naar Istanbul. Voor de zekerheid nog maar een mail naar abuse@domein gestuurd, heeft waarschijnlijk geen zin.

Moet je een mail naar de ING sturen, ze schijnen (aldus mijn vader die het vaker heeft) samen te werken met andere banken en instanties wat dit betreft en ze laten die site offline halen

vrijdag 5 augustus 2011 12:06

Acties:

0 Henk 'm!

Osiris

s.stok schreef op vrijdag 05 augustus 2011 @ 11:59:
De veiligste manier van een wachtwoord opslaan is encryptie niet een hash.
http://codahale.com/how-to-safely-store-a-password/
http://stackoverflow.com/...12-vs-blowfish-and-bcrypt
Maar dat is weer een ander verhaal

Grappig dat je nu zelf 'encryptie' noemt, terwijl bcrypt (waar de twee URL's over gaan) helemaal geen vorm van encryptie is

s.stok schreef op vrijdag 05 augustus 2011 @ 11:59:
Waarom moest ik mijn calculator opgeven? Ik vond dat veel prettiger en veiliger werken dan de Postbank.
Waarom moet de de veiligheid wijken, voor het gemak. Een calculator werkt net zo makkelijk.

Eerlijk gezegd vond ik zo'n strikt persoonlijke calculator onhandig. Als ik ooit bij m'n bankrekening moest online, had ik per se dat kreng nodig. Nu kan ik eventueel via m'n telefoon probleemloos in de middle of nowhere (mits internetverbinding) een bankzaak regelen. En ik ga dus niet zo'n calculator meeslepen

Wat dan wel weer handig zou zijn, zou een officiele 'goedgekeurde' of erkende vorm van one-way password zijn waar een (open-source) Android-app voor is

Daar kan ik dan wel weer mee leven

[ Voor 46% gewijzigd door Osiris op 05-08-2011 12:09 ]

vrijdag 5 augustus 2011 12:09

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

s.stok schreef op vrijdag 05 augustus 2011 @ 11:59:
De veiligste manier van een wachtwoord opslaan is encryptie niet een hash.
http://codahale.com/how-to-safely-store-a-password/
http://stackoverflow.com/...12-vs-blowfish-and-bcrypt
Maar dat is weer een ander verhaal

[...]

Dan moet je die twee links nog eens een keer lezen

In beide links wordt namelijk een hash functie als beste verkozen, geen encryptie-algoritme. En gelukkig maar.

Leuk topic hierover trouwens: Beveiliging: laatste 3 wachtwoorden-check & encryptie

s.stok schreef op vrijdag 05 augustus 2011 @ 12:10:
Soort encryptie
"It uses a variant of the Blowfish encryption algorithm's keying schedule".

Hashing lijkt inderdaad veel op encryptie, maar is dat niet. Iets is óf hashing óf encryption, niet een 'soort encryptie'. Je kunt de input terugkrijgen of je kunt dat niet. Voor wachtwoordopslag heb je het originele wachtwoord nooit meer nodig, dus is een hash-functie beter.

[ Voor 27% gewijzigd door Cloud op 05-08-2011 12:18 ]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

vrijdag 5 augustus 2011 12:10

Acties:

0 Henk 'm!

s.stok

Webdeveloper since 2003

Oh leuk, maak ik zelf de fout om het encryptie te noemen

De tweede link beschrijft het in meer details.
Voor simpele websites is dit overkill, maar voor een bank zou ik toch wel echt als een must zien.

Hashing is inderdaad beter (mits goed gedaan), maar ik doelde meer op feit van sha1( salt + password ) principe dat heel veel wordt gebruikt.

[ Voor 95% gewijzigd door s.stok op 05-08-2011 12:19 ]

"fouten verifieer je niet met een "; DROP DATABASE" commando. " Arnoud Engelfriet (Security.nl)

vrijdag 5 augustus 2011 12:59

Acties:

0 Henk 'm!

LnC

The offending line...

Vandaag even gebeld met de klantenservice van ING. Zij vertelde mij dat de site waar dit topic over gaat niet van hun is.Dus vaag als zij zeggen dat het een test is.
Dadelijk als ik thuis ben maar even goed mijn rekeningen nakijken en noscript en F-Secure nalopen om bepaalde scripts / sites te blocken. Ik ben al een keer slachtoffer geweest van skimming (wel alles netjes terug gekregen van ING), dus heb er geen zin in om dat nog een keer te worden.

vrijdag 5 augustus 2011 13:03

Acties:

0 Henk 'm!

W1LL3M

⭐⭐⭐⭐⭐

s.stok schreef op vrijdag 05 augustus 2011 @ 12:10:
Oh leuk, maak ik zelf de fout om het encryptie te noemen

De tweede link beschrijft het in meer details.
Voor simpele websites is dit overkill, maar voor een bank zou ik toch wel echt als een must zien.

Hashing is inderdaad beter (mits goed gedaan), maar ik doelde meer op feit van sha1( salt + password ) principe dat heel veel wordt gebruikt.

Ik heb het dan ook over de implementatie van een hash, maakt niet uit welke, die niet gebruikt lijkt te zijn bij de ING.

Dat men hier inhoudelijk begint over welk type algoritme doet er dan niet toe. Zelfs SHA1 is beter dan een alleen geëncrypt password of plaintext.
Als een hacker (/medewerker) bij de wachtwoorden en salt kan, kan deze ook wel aan de encryptiekey komen... Bij de hash kan in ieder geval niet zomaar het originele wachtwoord worden achterhaald om elders ook nog te misbruiken.

[ Voor 16% gewijzigd door W1LL3M op 05-08-2011 13:09 ]

vrijdag 5 augustus 2011 13:15

Acties:

0 Henk 'm!

Robtimus

me Robtimus no like you

Osiris schreef op vrijdag 05 augustus 2011 @ 12:06:
Wat dan wel weer handig zou zijn, zou een officiele 'goedgekeurde' of erkende vorm van one-way password zijn waar een (open-source) Android-app voor is Daar kan ik dan wel weer mee leven

Een beetje zoals de authenticator van Blizzard, die ze oa gebruiken voor World of Warcraft? Die heeft zowel een fysieke versie als apps voor Android en iPhone. Je moet daarbij eenmaal de authenticator koppelen aan je account, en daarna moet je inloggen met zowel username / password als een steeds veranderende token die je van de authenticator krijgt. Een token is ook maar voor een paar seconden geldig, daarna moet je een nieuwe token laten genereren.

LnC schreef op vrijdag 05 augustus 2011 @ 12:59:
Vandaag even gebeld met de klantenservice van ING. Zij vertelde mij dat de site waar dit topic over gaat niet van hun is.Dus vaag als zij zeggen dat het een test is.

Hoewel voorzichtig zijn nooit kwaad kan (zelf heb ik die 2 domeinen geblokkeerd) hoeft het niet zo erg te zijn. Bij dit soort grote organisaties komt het erg vaak (te vaak) voor dat de ene afdeling geen idee heeft waar de andere afdeling mee bezig is. Vooral klantenserviceafdelingen lopen vaak achter de feiten aan.

More than meets the eye
There is no I in TEAM... but there is ME
system specs

vrijdag 5 augustus 2011 14:23

Acties:

0 Henk 'm!

Mitchelll010

Uhhh waarom is mijning.nl offline...

vrijdag 5 augustus 2011 14:24

Acties:

0 Henk 'm!

Patrijz

MaChOmIdGeT schreef op vrijdag 05 augustus 2011 @ 14:23:
Uhhh waarom is mijning.nl offline...

http://mijn.ing.nl/ is niet offline?

vrijdag 5 augustus 2011 14:25

Acties:

0 Henk 'm!

Mitchelll010

Deze webpagina is niet beschikbaar
De webpagina op https://mijn.ing.nl/internetbankieren/ is mogelijk tijdelijk uitgeschakeld of permanent verplaatst naar een nieuw webadres.
Hier zijn enkele suggesties:
Reload this web page later.
Fout 118 (net::ERR_CONNECTION_TIMED_OUT): Er heeft een time-out voor de bewerking plaatsgevonden.

vrijdag 5 augustus 2011 14:26

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

Omdat je het verkeerd typt waarschijnlijk. Het is mijn.ing.nl

En ik log net in, en is dus gewoon online.

Ey!! Macarena \o/

vrijdag 5 augustus 2011 14:27

Acties:

0 Henk 'm!

Mitchelll010

Vreeeemd, nu doettie t weer..

En ja was de goede link

vrijdag 5 augustus 2011 14:32

Acties:

0 Henk 'm!

BDHowner

Wow, ik wist niet dat dat wachtwoord niet case-sensitive is, dat vind ik echt gigantisch slecht eigenlijk!

Net even geprobeerd, en i.d.d., kom er gewoon in.

vrijdag 5 augustus 2011 14:34

Acties:

0 Henk 'm!

Mitchelll010

Och een goed wachtwoord bestaat niet uit alleen normale letters ( hoofd of klein )...

vrijdag 5 augustus 2011 14:34

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

Op zich zouden we natuurlijk ook blij kunnen zijn dat ze er blijkbaar (op een bijzonder knullige manier op een productie omgeving maar goed) mee bezig zijn. Met security bedoel ik dan dus

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

vrijdag 5 augustus 2011 14:37

Acties:

0 Henk 'm!

Knud

Sandvich

Als ik naar www.ing.nl ga, begint McAfee siteadvisor meteen alarm te slaan. Maar als ik naar mijn.ing.nl ga, lijkt er niets aan de hand te zijn.
Is het nog wel veilig om nu in te loggen?

vrijdag 5 augustus 2011 14:58

Acties:

0 Henk 'm!

Verwijderd

BDHowner schreef op vrijdag 05 augustus 2011 @ 14:32:
Wow, ik wist niet dat dat wachtwoord niet case-sensitive is, dat vind ik echt gigantisch slecht eigenlijk!

Net even geprobeerd, en i.d.d., kom er gewoon in.

Maar een leesteken is dan wel weer verplicht

vrijdag 5 augustus 2011 15:19

Acties:

0 Henk 'm!

W1LL3M

⭐⭐⭐⭐⭐

Gebruik letters, leestekens en minimaal 1 cijfer

Dat is optioneel, je kunt gewoon je wachtwoord wijzigen naar één zonder leesteken(s)!
Cijfer is wel verplicht

edit: Het script is spontaan van de site verdwenen!
Is het testen nu opeens afgelopen?

[ Voor 82% gewijzigd door W1LL3M op 05-08-2011 16:08 ]

vrijdag 5 augustus 2011 16:09

Acties:

0 Henk 'm!

Martijn13

Knud schreef op vrijdag 05 augustus 2011 @ 14:37:
Als ik naar www.ing.nl ga, begint McAfee siteadvisor meteen alarm te slaan. Maar als ik naar mijn.ing.nl ga, lijkt er niets aan de hand te zijn.
Is het nog wel veilig om nu in te loggen?

Opera gaf bij mij ook een melding, na het verbinden met https://www.ing.nl was de melding voor http ook weer weg.

En niet case-sensitive wachtwoorden?

EDIT: script is hier nu ook weggehaald. Stond er 5 minuten geleden nog? Ik denk dat ik mijn rekening ga opzeggen.

[ Voor 8% gewijzigd door Martijn13 op 05-08-2011 16:11 ]

vrijdag 5 augustus 2011 16:14

Acties:

0 Henk 'm!

Royz

Kleurenblind!!

Yeps, prime script is nu weg. heeft precies 24 uur geduurd dus

Fotografie kanalen: Website - Royz.nl | YouTube - @Royz.nl | Instagram - @Royz.nl.

vrijdag 5 augustus 2011 16:17

Acties:

0 Henk 'm!

Martijn13

Ik heb inmiddels een vraag gestuurd naar de ING, eens kijken wat ze als reden aangeven.

vrijdag 5 augustus 2011 16:18

Acties:

0 Henk 'm!

Mektheb

Huhm het is inderdaad nu weg, zou het dan toch iets geweest zijn ?

vrijdag 5 augustus 2011 16:18

Acties:

0 Henk 'm!

L-VIS

Volgens hun webcare team is het idd weg: http://twitter.com/#!/INGnl_webcare/status/99479386549522432

vrijdag 5 augustus 2011 16:19

Acties:

0 Henk 'm!

Mektheb

Naja, we zullen het misschien nooit weten.
Slordig blijft het.

vrijdag 5 augustus 2011 16:21

Acties:

0 Henk 'm!

Knud

Sandvich

Martijn13 schreef op vrijdag 05 augustus 2011 @ 16:09:
[...]

Opera gaf bij mij ook een melding, na het verbinden met https://www.ing.nl was de melding voor http ook weer weg.

En niet case-sensitive wachtwoorden?

EDIT: script is hier nu ook weggehaald. Stond er 5 minuten geleden nog? Ik denk dat ik mijn rekening ga opzeggen.

Ook met https blijf ik de melding krijgen op ing.nl
Blijft het apart vinden...

vrijdag 5 augustus 2011 16:29

Acties:

0 Henk 'm!

W1LL3M

⭐⭐⭐⭐⭐

Ben toch wel benieuwd wat het nu was, als het een hack was is het nu dan verholpen? Wat zijn de gevolgen? En als het echt een test was, wie heeft het dan in z'n hoofd gehaald om dat op een manier te doen die door verschillende security programmas wordt geflagged als risico? Gaan er nu koppen rollen om een van voorgaande scenario's?

Lijkt me dat de ING in ieder geval veel heeft kunnen leren van de test, al is het maar dat ze geleerd hebben dat de klant (sommige althans) oplettender is dan hun eigen security-afdeling... En dat ze zoiets in het vervolg beter op een testserver doen.

[ Voor 5% gewijzigd door W1LL3M op 05-08-2011 16:35 ]

vrijdag 5 augustus 2011 16:42

Acties:

0 Henk 'm!

Soldaatje

Nee, wachtwoorden in plain-text opslaan zou de ING nooit doen!

nieuws: Sites van Belgische banken ING en Dexia gehackt

vrijdag 5 augustus 2011 18:36

Acties:

0 Henk 'm!

Biersteker

Misschien niet heel netjes om hier te roepen maar stellen jullie eens de volgende situatie voor (Helaas het kan en ING is hier bewust van)
Door middel van Phishing haal je inloggegevens binnen. (Misschien via een .js in de homepage, misschien via een phishing mail, misschien via een keylogger, hardware of software).
Dan kan je bij de adresgegevens en heb je een naam.
Dan vraag je in een telecom winkel per direct nummerbehoud aan op het nummer van je ING klant. (De 1 cent pintransactie doe je via een gesloten pinpas of je zoekt een winkel die geen 1 cent transactie aanhoud)
Vanaf het moment dat nummerbehoud werkt, boek je de hele zooi over.

Sorry maar dit noem ik echt alles behalve veilig. Ja dit is mogelijk, echt waar, ik geloofde het ook niet totdat ik een demo hiervan zag. (Wel controlled environment, maar toch)

Ik begin echt de kriebels hiervan te krijgen!
(Mocht ING meelezen, stuur me een DM en ik geef jullie meer uitleg hierover)

Originally, a hacker was someone who makes furniture with an axe.

vrijdag 5 augustus 2011 19:03

Acties:

0 Henk 'm!

W1LL3M

⭐⭐⭐⭐⭐

Dat is allang bekend en ook al actief misbruikt, maar dan in combinatie met paypal:
nieuws: Fraudeurs omzeilen beveiliging ING via Paypal

vrijdag 5 augustus 2011 19:11

Acties:

0 Henk 'm!

Qunix

Dit is ook mooi. Een quote van een andere site:

Dit is hersenloos gedrag van ING:
- Klik in https://mijn.ing.nl/internetbankieren/SesamLoginServlet op "5 augustus - Veiligheidsnieuws Mijn ING"
- Klik linksonder op "Naar de website Veilig bankieren "
- Klik bovenaan op het menu "Internetbankieren" en dan "Werwijze crimineel" (http://www.veiligbankieren.nl/index.php?p=561830). Daar staat ondermeer:

Citaat ING:

In het eerste geval verandert de malware de routes die u op internet aflegt zo, dat u terechtkomt op de servers van criminelen. Bij het internetbankieren kunt u bijvoorbeeld onmerkbaar worden doorgelinkt naar een andere site dan die van uw bank.

"doorgelinkt naar een andere site dan die van uw bank" - dat is precies wat hier gebeurde.

Bron: http://www.security.nl/ar...G_veroorzaakt_paniek.html

vrijdag 5 augustus 2011 19:18

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

W1LL3M schreef op vrijdag 05 augustus 2011 @ 19:03:
Dat is allang bekend en ook al actief misbruikt, maar dan in combinatie met paypal:
nieuws: Fraudeurs omzeilen beveiliging ING via Paypal

Tsja, je hoeft ook maar iemands MSN-wachtwoord te achterhalen (en dat is niet moeilijk) of de computer in een onbewaakt moment over te nemen om via Yvette de laatste transacties van de Rabobank op te vragen, en dan kun je hetzelfde geintje uithalen.

Maar zoiets komt natuurlijk wel in de persoonlijke sfeer omdat je toegang nodig hebt tot de pc van het slachtoffer, al zal dat het tuig dat dit soort acties uithaalt niet tegenhouden.

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

vrijdag 5 augustus 2011 19:23

Acties:

0 Henk 'm!

itsalwaysme

Graast voor DB

Martijn13 schreef op vrijdag 05 augustus 2011 @ 16:09:
[...]
En niet case-sensitive wachtwoorden?

Dit was vroeger (lees 2 jaar geleden wel het geval).

Hier toch maar eens een mailtje over gestuurd. Gelijk mijn diensten als Software Engineer aangeboden voor het verbeteren van de site

Graast voor Division Brabant
It's hardware that makes a machine. It's software that makes it work (most of the time).

vrijdag 5 augustus 2011 19:34

Acties:

0 Henk 'm!

Biersteker

W1LL3M schreef op vrijdag 05 augustus 2011 @ 19:03:
Dat is allang bekend en ook al actief misbruikt, maar dan in combinatie met paypal:
nieuws: Fraudeurs omzeilen beveiliging ING via Paypal

Klopt, maar mocht je een insider hebben bij de ING, is het nog makkelijker.
Beste ING, AUB gebruik securitytokens, jullie beveiliging is echt een doelwit.

Originally, a hacker was someone who makes furniture with an axe.

vrijdag 5 augustus 2011 20:49

Acties:

0 Henk 'm!

Verwijderd

Naar aanleiding van een hack actie bij een aantal bedrijven waar ik klant was ben ik eens goed gaan nadenken over de beveiligiging van mijn wachtwoorden. Ik gebruikte bijna overal hetzelfde wachtwoord / username.

Uiteindelijk ben ik bij het programma password manager van kaspersky uitgekomen. Niet heel duur en het werkt perfect. Het maakt wachtwoorden aan voor sites op basis van jouw voorkeuren en ik heb nu elk wachtwoord van minimaal 15 tekens en dat is met hoofdletters/vreemde tekens etc.

Ik ben nu op vakantie en heb het programma + mijn passwords op een usb stick gezet (mogelijkheid vanuit het programma zelf). Het enige nadeel is nu wel dat ik mijn usb stick bij me moet hebben omdat ik anders nergens meer kan inloggen omdat ik de wachtwoorden echt niet kan onthouden. En het programma zelf is via een masterpassword weer beveligd voor als je usb stick gestolen wordt.

Nou, het begint wat op reclame te lijken, maar als meer mensen met deze vraag zitten zou ik zeker naar dit pakket kijken. Ik ben in iedereval niet bang meer als mijn gegevens ergens gestolen worden, elke inlognaam heeft nu een eigen wachtwoord en veel schade kan het bij mij niet meer doen.

vrijdag 5 augustus 2011 21:12

Acties:

0 Henk 'm!

Vinze

Verwijderd schreef op vrijdag 05 augustus 2011 @ 20:49:
Naar aanleiding van een hack actie bij een aantal bedrijven waar ik klant was ben ik eens goed gaan nadenken over de beveiligiging van mijn wachtwoorden. Ik gebruikte bijna overal hetzelfde wachtwoord / username.

Uiteindelijk ben ik bij het programma password manager van kaspersky uitgekomen. Niet heel duur en het werkt perfect. Het maakt wachtwoorden aan voor sites op basis van jouw voorkeuren en ik heb nu elk wachtwoord van minimaal 15 tekens en dat is met hoofdletters/vreemde tekens etc.

Ik ben nu op vakantie en heb het programma + mijn passwords op een usb stick gezet (mogelijkheid vanuit het programma zelf). Het enige nadeel is nu wel dat ik mijn usb stick bij me moet hebben omdat ik anders nergens meer kan inloggen omdat ik de wachtwoorden echt niet kan onthouden. En het programma zelf is via een masterpassword weer beveligd voor als je usb stick gestolen wordt.

Nou, het begint wat op reclame te lijken, maar als meer mensen met deze vraag zitten zou ik zeker naar dit pakket kijken. Ik ben in iedereval niet bang meer als mijn gegevens ergens gestolen worden, elke inlognaam heeft nu een eigen wachtwoord en veel schade kan het bij mij niet meer doen.

Ik gebruik daarvoor al jaren KeePass, doet het zelfde maar dan gratis.
Mooi bijkomend voordeel is dat er ook een Android versie is, dus icm Dropbox altijd toegang tot je wachtwoorden.

Ontopic:
Ben benieuwd of ING nog met een verklaring of iets dergelijks komt, lijkt me sterk dat de programmeurs bij ING een stukje software/script gaan testen op hun productie servers.

[ Voor 5% gewijzigd door Vinze op 05-08-2011 21:16 ]

vrijdag 5 augustus 2011 21:38

Acties:

0 Henk 'm!

vayana

Dit is nou precies waarom ik een hekel heb aan alles wat java is. JS is nog steeds het meest onveilige stuk rommel wat er is, en word door heel wat virusscanners domweg maar al te vaak gemist.
Heb al menig klant over de vloer gehad met zo'n fake virusscanner die er plotseling opstond bij opstarten van de pc, en elke keer was het een stuk JS wat door het openen van een site uitgevoerd werd. Deze klanten hadden overigens uiteenlopende AV/Internet-security-programma's van Norton, AVG, Bitdefender, G-data, Avira en Panda.
Ik heb het gelukkig niet nodig voor mn internet, dus het komt er bij mij ook niet op.

vrijdag 5 augustus 2011 21:49

Acties:

0 Henk 'm!

Matis

Rubber Rocket

vayana schreef op vrijdag 05 augustus 2011 @ 21:38:
Dit is nou precies waarom ik een hekel heb aan alles wat java is. JS is nog steeds het meest onveilige stuk rommel wat er is, en word door heel wat virusscanners domweg maar al te vaak gemist.
Heb al menig klant over de vloer gehad met zo'n fake virusscanner die er plotseling opstond bij opstarten van de pc, en elke keer was het een stuk JS wat door het openen van een site uitgevoerd werd. Deze klanten hadden overigens uiteenlopende AV/Internet-security-programma's van Norton, AVG, Bitdefender, G-data, Avira en Panda.
Ik heb het gelukkig niet nodig voor mn internet, dus het komt er bij mij ook niet op.

Java != javascript. Daarnaast ligt het niet aan javascript, maar aan de gebruikers die klakkeloos op Ja en Amen drukken.
Overigens is het niet mogelijk om geen javascript op je pc te hebben. Het zit standaard in elke browser op elk platform.

If money talks then I'm a mime
If time is money then I'm out of time

vrijdag 5 augustus 2011 21:55

Acties:

0 Henk 'm!

bitshape

japanse vechtvis

Bij Opera die ik gebruik heb ik standaard Javascript & iFrames uitgeschakeld. Pas als ik een site (domein) bezoek, pas ik de instellingen (sitevoorkeuren) voor het betreffende domein (bvb. mijn.ing.nl) permanent aan, ik zet dan een vinkje bij Inline Frames (iFrame) & Javascript om dit dan in te schakelen voor alleen dit domein. Het stukje code (iFrame of JS) waarnaar er gelinkt wordt op de pagina, zal dan niet worden uitgevoerd, daar het domein van dat betreffende script anders is (primebyte.net).

Bij Firefox moet je de NoScript-addon gebruiken om iFrames & Javascript van andere domeinen te blokkeren.

Ik snap wel dat bij Henk&Anita alles uitgevoerd wordt, daar veel gebruikers het gewoon niet snappen hoe je onnodige script's op webpagina's kan blokkeren. Ook is mijn ervaring dat Henk&Anita het gewoon lastig vinden (NoScript) en de betreffende add-on weer verwijderen.

[ Voor 4% gewijzigd door bitshape op 05-08-2011 22:07 ]

avatar redux
bit 2.0: i7-8700K - Z370 Apex - 32GB 3200c14 - Strix GTX1080 - Prime 850W - LSI 9207-8i - 22TB HDD - 5.5TB SSD

vrijdag 5 augustus 2011 21:56

Acties:

0 Henk 'm!

Thralas

Vinze schreef op vrijdag 05 augustus 2011 @ 21:12:
[...]

Ik gebruik daarvoor al jaren KeePass, doet het zelfde maar dan gratis.
Mooi bijkomend voordeel is dat er ook een Android versie is, dus icm Dropbox altijd toegang tot je wachtwoorden.

Inderdaad, Keepass is gratis en werkt prima. Momenteel gebruik ik Lastpass, dat is een Firefoxplugin (wachtwoorden worden remote, encrypted opgeslagen)..

[ Voor 5% gewijzigd door Thralas op 05-08-2011 21:56 ]

vrijdag 5 augustus 2011 22:11

Acties:

0 Henk 'm!

Matis

Rubber Rocket

Thralas schreef op vrijdag 05 augustus 2011 @ 21:56:
Inderdaad, Keepass is gratis en werkt prima. Momenteel gebruik ik Lastpass, dat is een Firefoxplugin (wachtwoorden worden remote, encrypted opgeslagen)..

Ik had eerst Xmarks, die had zowel bookmarks als password-synchronisatie. Maar na de overname van LastPass, heb ik nu twee plugins nodig.

If money talks then I'm a mime
If time is money then I'm out of time

zaterdag 6 augustus 2011 00:11

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

vayana schreef op vrijdag 05 augustus 2011 @ 21:38:
Dit is nou precies waarom ik een hekel heb aan alles wat java is. JS is nog steeds het meest onveilige stuk rommel wat er is, en word door heel wat virusscanners domweg maar al te vaak gemist.

Waar slaat dat dan op?

Ten eerste heeft Java idd helemaal niets met Javascript te maken.

Javascript is trouwens ook niet onveilig: Het is in principe even veilig als andere web-based client-side scripttalen zoals HTML.

Heb al menig klant over de vloer gehad met zo'n fake virusscanner die er plotseling opstond bij opstarten van de pc, en elke keer was het een stuk JS wat door het openen van een site uitgevoerd werd.

Dus omdat een virus bestaat uit een stuk Javascript is Javascript onveilig? Dat is de grootste onzin die ik ooit heb gehoord. Dus als ik een virus maak in C++ is C++ ook ineens onveilig?

Ik heb het gelukkig niet nodig voor mn internet

Jawel. Ik weet niet wat voor sites jij allemaal bezoekt (hoef ik ook niet te weten trouwens

), maar ik denk dat je wel anders piept als jij met een extension als NoScript wel anders piept als je helemaal geen Javascript meer kunt gebruiken. Dan ga je met veel (web 2.0) websites problemen ondervinden.

, dus het komt er bij mij ook niet op.

Kan niet idd, een Javascript-interpreter zit standaard in elke browser.

ontopic: Ik gebruik ook naar alle tevredenheid LastPass

Gewoon de gratis versie trouwens. Werkt prima, vooral het automatisch genereren van nieuwe passwords en dat het automatisch in al je sites inlogt werkt handig.

[ Voor 7% gewijzigd door Compizfox op 06-08-2011 00:18 ]

Gewoon een heel grote verzameling snoertjes

zaterdag 6 augustus 2011 01:16

Acties:

0 Henk 'm!

Onoffon

Matis schreef op vrijdag 05 augustus 2011 @ 21:49:
[...]

Java != javascript. Daarnaast ligt het niet aan javascript, maar aan de gebruikers die klakkeloos op Ja en Amen drukken.
Overigens is het niet mogelijk om geen javascript op je pc te hebben. Het zit standaard in elke browser op elk platform.

offtopic:
Je probeert door middel van een (javascript) operator aan te geven dat deze 2 niet hetzelfde zijn aan iemand die niet het verschil weet tussen java en javascript?

Just a simple thought....

zaterdag 6 augustus 2011 09:17

Acties:

0 Henk 'm!

Verwijderd

Ik volg dit topic zo'n beetje, maar nu vraag ik me toch iets af:

Ik lees hier berichten dat sommige mensen direct een waarschuwing kregen toen die Javascript van ing.nl anders was dan normaal?

Wat voor tool hebben jullie hiervoor?

Ik heb zelf google Chrome en hier kan ik volgens mij Javascript nog niet eens uitschakelen.... Hoe doen anderen dat met google Chrome?

zaterdag 6 augustus 2011 09:27

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Een virusscanner (of tegenwoordig "allesscanner"

) waarschijnlijk.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zaterdag 6 augustus 2011 09:49

Acties:

0 Henk 'm!

Cave_Boy

Voutloos schreef op donderdag 04 augustus 2011 @ 22:01:
[...]
Voor dat leesteken dat je gebruikt moet je wel nog steeds shift indrukken he?

Zou wel wat vreemd zijn als het niet voor iedereen geldt. Zou het sinds kort case sensitive worden als je je pass wijzigt? Iemand die de site nog wel vertrouwt zou dat moeten testen.

Ik kom er echt niet in zonder mijn hoofdletters. Ik heb trouwens ook speciale tekens erin.

zaterdag 6 augustus 2011 11:00

Acties:

0 Henk 'm!

s.stok

Webdeveloper since 2003

Verwijderd schreef op zaterdag 06 augustus 2011 @ 09:17:
Ik volg dit topic zo'n beetje, maar nu vraag ik me toch iets af:

Ik lees hier berichten dat sommige mensen direct een waarschuwing kregen toen die Javascript van ing.nl anders was dan normaal?

Wat voor tool hebben jullie hiervoor?

Ik heb zelf google Chrome en hier kan ik volgens mij Javascript nog niet eens uitschakelen.... Hoe doen anderen dat met google Chrome?

Ik gebruik NoScript, ook beschikbaar voor Chrome alleen niet zo uitgebreid.

"fouten verifieer je niet met een "; DROP DATABASE" commando. " Arnoud Engelfriet (Security.nl)

zaterdag 6 augustus 2011 12:48

Acties:

0 Henk 'm!

itsalwaysme

Graast voor DB

Onoffon schreef op zaterdag 06 augustus 2011 @ 01:16:
[...]

offtopic:
Je probeert door middel van een (javascript) operator aan te geven dat deze 2 niet hetzelfde zijn aan iemand die niet het verschil weet tussen java en javascript?

offtopic:
Niet alleen een operator voor javascript, werd al gebruikt voordat javascript überhaupt bestond.

Graast voor Division Brabant
It's hardware that makes a machine. It's software that makes it work (most of the time).

zaterdag 6 augustus 2011 12:57

Acties:

0 Henk 'm!

Royeboi

Sorry, maar het is al lang bekend dat internetbankieren via ING nou niet echt betrouwbaar is.... Dus what's new?

XBL: x0royx | PSN: XRoy_X | Raptr: x0royx

zaterdag 6 augustus 2011 13:52

Acties:

0 Henk 'm!

Reptile209

- gers -

@Royeboi: die uitspraak heeft ook een lekkere baard inmiddels

. Aangezien de ING-site beslist geen kleintje is, komen ze er blijkbaar (nog steeds) mee weg:

quote: http://nl.wikipedia.org/wiki/ING_(bank)
De internetsite van de Mijn ING is de drukst bezochte internetsite van Nederland. (Als tweede staat de NS genoteerd.) Meer dan 5 miljoen rekeninghouders van de bank hebben internettoegang. Dat is bijna een derde van de Nederlandse bevolking. Het aantal bezoekers kan oplopen tot 1,1 miljoen per uur (In de maand mei, als het vakantiegeld en de eventuele winstdeling wordt uitgekeerd aan werkend Nederland). In deze maand verstuurde de bank (toen nog Postbank) op 1 dag 4,8 miljoen SMS-jes aan hun klanten die online boekingen hebben ingevoerd.

Ik ben het volledig met je eens dat een aantal zaken stom niet slim opgezet zijn, maar het gebruiksgemak is groot en blijkbaar wordt er niet (op grote schaal) misbruik van gemaakt. Wat is het probleem dan nog als een bank bereid is om dan een beperkt risico te lopen, ten voordele van haar klanten? Ik weet niet welke afwegingen er daar achter de schermen gemaakt worden, maar helemaal amateuristisch kan het niet zijn, anders was er allang iemand met 300 miljoen vandoor gegaan. Is geen excuus om met bad practices door te gaan, maar in de praktijk is het blijkbaar 'good enough'.

Zo scherp als een voetbal!

zaterdag 6 augustus 2011 15:47

Acties:

0 Henk 'm!

zacht

Wat is het toch dat mensen het niet veilig vinden bij de ING? Ik log in met naam en wachtwoord, maak een overschrijving aan, en krijg een smsje met een code die ik in moet voeren om dat te bevestigen. Geen code die ik via een SMS krijg = geen overschrijving.

zaterdag 6 augustus 2011 16:30

Acties:

0 Henk 'm!

Roytoch

Nietes

zacht schreef op zaterdag 06 augustus 2011 @ 15:47:
Wat is het toch dat mensen het niet veilig vinden bij de ING? Ik log in met naam en wachtwoord, maak een overschrijving aan, en krijg een smsje met een code die ik in moet voeren om dat te bevestigen. Geen code die ik via een SMS krijg = geen overschrijving.

Als ik je naam en wachtwoord heb kan ik paypal koppelen aan je account en daarmee betalen. Is al veel over gezegd volgens mij, ook in dit topic

@hieronder weer: wat Brad Pitt zegt. Als dat scriptje je gebruikersnaamwachtwoord af zou vangen, dan zou je dus vatbaar zijn voor die paypalmethode.

[ Voor 12% gewijzigd door Roytoch op 06-08-2011 16:55 ]

Welles

zaterdag 6 augustus 2011 16:48

Acties:

0 Henk 'm!

zacht

Maar die heb je niet, en ik zie ook niet in hoe je die zou moeten krijgen, het is slecht visweer hier. En als het toch gebeurd kan ik het laten terugboeken door ING.

zaterdag 6 augustus 2011 16:52

Acties:

0 Henk 'm!

Brad Pitt

zacht schreef op zaterdag 06 augustus 2011 @ 16:48:
Maar die heb je niet, en ik zie ook niet in hoe je die zou moeten krijgen

Misschien dat daarom notabene dit hele topic is gestart omdat er een dubieus scriptje draaide en zo?

Nickname does not reflect reality

zaterdag 6 augustus 2011 18:17

Acties:

0 Henk 'm!

pingkiller

roy.ahuis schreef op zaterdag 06 augustus 2011 @ 16:30:
[...]

Als ik je naam en wachtwoord heb kan ik paypal koppelen aan je account en daarmee betalen. Is al veel over gezegd volgens mij, ook in dit topic

Het is zeer dubieus dat paypal deze dienst aanbied en dat ING dat toelaat. Hoewel het wel handig is en ik het zelf ook heb gebruikt, heb ik de koppeling tusen mijn ING rekening en paypal verbroken omdat ik het veel te onveilig vond.

Ik vind dit echter geen reden om het authenticatie systeem van de ING in twijfel de trekken. Geen geneuzel met vervelende wachtwoord regels en tan codes via mobiel is gewoon geweldig gebruikersvriendelijk.

CSS snippet om users te blokkeren: https://tweakers.net/instellingen/customcss/snippets/bekijk/2618/

zaterdag 6 augustus 2011 18:20

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

pingkiller schreef op zaterdag 06 augustus 2011 @ 18:17:
[...]

Het is zeer dubieus dat paypal deze dienst aanbied en dat ING dat toelaat. Hoewel het wel handig is en ik het zelf ook heb gebruikt, heb ik de koppeling tusen mijn ING rekening en paypal verbroken omdat ik het veel te onveilig vond.

Ik vind dit echter geen reden om het authenticatie systeem van de ING in twijfel de trekken. Geen geneuzel met vervelende wachtwoord regels en tan codes via mobiel is gewoon geweldig gebruikersvriendelijk.

Ik heb die regeling, verbroken, weer een keer gemaakt en weer verbroken en betwijfel of hij echt verbroken wordt. Die centen ter autorisatie krijg je namelijk alleen de eerste keer, als je daarna opnieuw dezelfde bankrekening koppelt is dat niet meer nodig.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zaterdag 6 augustus 2011 18:29

Acties:

0 Henk 'm!

Elvis56686

pingkiller schreef op zaterdag 06 augustus 2011 @ 18:17:
[...]

Het is zeer dubieus dat paypal deze dienst aanbied en dat ING dat toelaat. Hoewel het wel handig is en ik het zelf ook heb gebruikt, heb ik de koppeling tusen mijn ING rekening en paypal verbroken omdat ik het veel te onveilig vond.

Ik vind dit echter geen reden om het authenticatie systeem van de ING in twijfel de trekken. Geen geneuzel met vervelende wachtwoord regels en tan codes via mobiel is gewoon geweldig gebruikersvriendelijk.

Toevallig vanmiddag iemand met zo'n random reader en overboeking zien doen, wat werkt dat omslachtig zeg.

Maar goed, nou is nog steeds niet bekend waarom het script op de site stond, als het een test was waarom is dat op deze manier uitgevoerd en waarom is het script inmiddels verdwenen.

zaterdag 6 augustus 2011 18:50

Acties:

0 Henk 'm!

TD-er

zacht schreef op zaterdag 06 augustus 2011 @ 16:48:
Maar die heb je niet, en ik zie ook niet in hoe je die zou moeten krijgen, het is slecht visweer hier. En als het toch gebeurd kan ik het laten terugboeken door ING.

En als je pas en rekening een keer door je bank geblokkeerd wordt en het blijkt door slordigheid van je bank te zijn gebeurd, zou je je bank dan nog vertrouwen?

Vergeet niet dat een bank maar 1 ding verkoopt en dat is vertrouwen. Toevallig komt daar nog wat geld bij kijken, maar het belangrijkste deel van hun product is toch echt vertrouwen.
Als dat vertrouwen er niet is, heb je geen reden om bij die bank te zitten.

En als de bank erg slordig is, is het product wat ze verkopen ook waardeloos.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zaterdag 6 augustus 2011 21:04

Acties:

0 Henk 'm!

zacht

Precies, en ik vertrouw de ING. Worst-case-scenario is dat er iemand mijn inlognaam en wachtwoord te pakken krijgt door phishing of een script op de pagina, en met die gegevens via Paypal geld van mijn rekening haalt. Bij phishing kan ik alleen maar mezelf aankijken, en ik vertrouw er op dat de ING zijn website voldoende beveiligd. Stel dat het alsnog mis gaat, dan krijg ik mijn geld terug van de ING. Ik ben erg tevreden over ze.

zaterdag 6 augustus 2011 22:11

Acties:

0 Henk 'm!

Raven

Marion Raven fan

pingkiller schreef op zaterdag 06 augustus 2011 @ 18:17:
[...]

Het is zeer dubieus dat paypal deze dienst aanbied en dat ING dat toelaat. Hoewel het wel handig is en ik het zelf ook heb gebruikt, heb ik de koppeling tusen mijn ING rekening en paypal verbroken omdat ik het veel te onveilig vond.

Ik vind dit echter geen reden om het authenticatie systeem van de ING in twijfel de trekken. Geen geneuzel met vervelende wachtwoord regels en tan codes via mobiel is gewoon geweldig gebruikersvriendelijk.

Net zoals je bij PayPal icm een ABN Amro rekening ook zomaar betalingen kan doen zonder e.dentifier?
Ik zou bij zoiets verwachten dat je een iDeal pagina voor je neus krijgt, maar dat is niet het geval, gelijk zonder bevestiging van een ABN Amro iDeal pagina en e.dentifier wordt het overgeschreven.

Komt dat ooit wel?

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

zaterdag 6 augustus 2011 22:29

Acties:

0 Henk 'm!

TD-er

zacht schreef op zaterdag 06 augustus 2011 @ 21:04:
Precies, en ik vertrouw de ING. Worst-case-scenario is dat er iemand mijn inlognaam en wachtwoord te pakken krijgt door phishing of een script op de pagina, en met die gegevens via Paypal geld van mijn rekening haalt. Bij phishing kan ik alleen maar mezelf aankijken, en ik vertrouw er op dat de ING zijn website voldoende beveiligd. Stel dat het alsnog mis gaat, dan krijg ik mijn geld terug van de ING. Ik ben erg tevreden over ze.

Je moet toch kunnen toegeven dat de ING hier duidelijk alle regels aan de laars lapt over hoe je de boel beveiligt. En ook als je kijkt naar waar dit topic over gaat, dan zie je dat ze duidelijk al hun eigen veiligheidsvoorschriften compleet negeren.
Het enige wat nog ontbreekt is een mailtje naar de klanten om de login-gegevens te verifieren op een site.

Trouwens dat de bank nu nog stommiteiten van klanten vergoed zal ook niet lang zo blijven als de kosten daarvan te hoog oplopen en dan ben ik toch wel blij als een bank een paar foutjes nog zelf tegen zal houden.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zaterdag 6 augustus 2011 22:58

Acties:

0 Henk 'm!

Erkens

Fotograaf

roy.ahuis schreef op zaterdag 06 augustus 2011 @ 16:30:
Als ik je naam en wachtwoord heb kan ik paypal koppelen aan je account en daarmee betalen. Is al veel over gezegd volgens mij, ook in dit topic

In principe kan paypal dat ook gewoon koppelen zonder die overschrijving, immers machtigingen van bedrijven worden nooit gecontroleerd, ze kunnen dus afschrijven wat ze willen. Vooral eenmalige incasso's vormen hier een probleem, want die kan je niet storneren.

@hieronder weer: wat Brad Pitt zegt. Als dat scriptje je gebruikersnaamwachtwoord af zou vangen, dan zou je dus vatbaar zijn voor die paypalmethode.

Als er bij bank X (die zo'n wazige inlogprocedure heeft met externe apparaatjes etc) kan inloggen en daar draait ook zo'n scriptje dan kunnen ze precies hetzelfde, dat probleem ligt meer bij paypal (en in het grotere geheel aan het machtigingensysteem).

Ik ben in ieder geval blij dat ze bij ING in eerste instantie denken aan gebruiksgemak. De veiligheid van wachtwoorden en inlognamen staat en valt toch bij de gebruiker.

Afgezien een eventuele hack bij de bank zelf, welke kans enorm klein is, ligt het vrijwel altijd aan de eindgebruiker, hoe dom of slim deze is (o.a. phising of wachtwoorden en pin-codes op briefjes schrijven).

zaterdag 6 augustus 2011 23:36

Acties:

0 Henk 'm!

bitshape

japanse vechtvis

Wel toevallig dat ongeveer op eenzelfde manier code op ing.nl gebruikt werd (maar dan met andere domeinen en zonder malware-infectie) als de recente massale voortdurende aanval op miljoenen websites wereldwijd:

Donderdag 4 Augustus 2011:
Security.nl: Grootschalige aanval treft 6 miljoen webpagina's

Woensdag 3 Augustus 2011 update / Maandag 25 Juli 2011:
Armorize Malware Blog: willysy.com Mass Injection ongoing, over 6 million infected pages, targets osCommerce sites

Maandag 1 Augustus 2011:
Security.nl: Miljoenen open source webwinkel pagina's gehackt

Zondag 31 Juli 2011:
Dslreports.com: willysy .com Mass Injection - 1 million infected sites

Wel erg toevallig allemaal, zelfde manieren, andere code, andere domeinen die ook kort daarvoor anoniem aangemaakt zijn. Het zaakje stinkt behoorlijk als je het mij vraagt. Niemand gaat dit toch voor een dag op z'n productieomgeving zetten en doorlinken naar de Good Old USA met z'n Patriot Act.
[andere code: geen malwarebesmetting veroorzaken bij gebruikers, maar webpagina-inhoud opvangen en doorsturen naar...]

Wat ik echt denk: mogelijk toch een soort Anonymous/Lulzec actie, en heeft ING er aller belang bij de hack/code injectie op hun site stil te houden in opdracht van het KLPD cybercrimeteam. Gewoon doen alsof het een test was en dat doorcommuniceren naar de PR en helpdesken.

avatar redux
bit 2.0: i7-8700K - Z370 Apex - 32GB 3200c14 - Strix GTX1080 - Prime 850W - LSI 9207-8i - 22TB HDD - 5.5TB SSD

zaterdag 6 augustus 2011 23:46

Acties:

0 Henk 'm!

Mektheb

bitshape schreef op zaterdag 06 augustus 2011 @ 23:36:
Wel toevallig dat ongeveer op eenzelfde manier code op ing.nl gebruikt werd (maar dan met andere domeinen en zonder malware-infectie) als de recente massale voortdurende aanval op miljoenen websites wereldwijd:

Donderdag 4 Augustus 2011:
Security.nl: Grootschalige aanval treft 6 miljoen webpagina's

Woensdag 3 Augustus 2011 update / Maandag 25 Juli 2011:
Armorize Malware Blog: willysy.com Mass Injection ongoing, over 6 million infected pages, targets osCommerce sites

Maandag 1 Augustus 2011:
Security.nl: Miljoenen open source webwinkel pagina's gehackt

Zondag 31 Juli 2011:
Dslreports.com: willysy .com Mass Injection - 1 million infected sites

Wel erg toevallig allemaal, zelfde manieren, andere code, andere domeinen die ook kort daarvoor anoniem aangemaakt zijn. Het zaakje stinkt behoorlijk als je het mij vraagt. Niemand gaat dit toch voor een dag op z'n productieomgeving zetten en doorlinken naar de Good Old USA met z'n Patriot Act.
[andere code: geen malwarebesmetting veroorzaken bij gebruikers, maar webpagina-inhoud opvangen en doorsturen naar...]

Wat ik echt denk: mogelijk toch een soort Anonymous/Lulzec actie, en heeft ING er aller belang bij de hack/code injectie op hun site stil te houden in opdracht van het KLPD cybercrimeteam. Gewoon doen alsof het een test was en dat doorcommuniceren naar de PR en helpdesken.

zoals iedereen al bijna gezegt heeft het zaakje stinkt.
Helemaal het exact na 24uur weg was.

zondag 7 augustus 2011 10:00

Acties:

0 Henk 'm!

Brad Pitt

bitshape schreef op zaterdag 06 augustus 2011 @ 23:36:
Wat ik echt denk: mogelijk toch een soort Anonymous/Lulzec actie

Dan zou je toch wel ergens moeten kunnen lezen dat iemand/een hackgroep er credit voor neemt?

Nickname does not reflect reality

zondag 7 augustus 2011 10:03

Acties:

0 Henk 'm!

TD-er

Brad Pitt schreef op zondag 07 augustus 2011 @ 10:00:
[...]

Dan zou je toch wel ergens moeten kunnen lezen dat iemand/een hackgroep er credit voor neemt?

Vaak gaan die massale inbraak-acties met een script en op hosts die meerdere domeinen hosten.
De script-kid-in-charge moet dan nog wel doorhebben welke sites ze gehackt hebben.
Even aangenomen dat dat script op de ING-site er op zo'n manier op gekomen is, dan nog moet degene die het gedaan heeft wel doorhebben dat het eigenlijk best wel nieuwswaardig is dat hij de site van een bank te pakken heeft.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zondag 7 augustus 2011 14:39

Acties:

0 Henk 'm!

Herko_ter_Horst

Erkens schreef op zaterdag 06 augustus 2011 @ 22:58:
Ik ben in ieder geval blij dat ze bij ING in eerste instantie denken aan gebruiksgemak. De veiligheid van wachtwoorden en inlognamen staat en valt toch bij de gebruiker.

Ik ben juist zeer on-blij dat ING in eerste instantie aan gebruikersgemak denkt. ING moet in eerste instantie aan de veiligheid en betrouwbaarheid van het systeem denken!

"Any sufficiently advanced technology is indistinguishable from magic."

zondag 7 augustus 2011 15:07

Acties:

0 Henk 'm!

linkforsoad

Herko_ter_Horst schreef op zondag 07 augustus 2011 @ 14:39:
[...]

Ik ben juist zeer on-blij dat ING in eerste instantie aan gebruikersgemak denkt. ING moet in eerste instantie aan de veiligheid en betrouwbaarheid van het systeem denken!

Er moet inderdaad wel een goede balans tussen veiligheid en gebruiksvriendelijkheid zijn, en de ING gaat meer richting de gebruiksvriendelijkheid. Ik ben zowel Rabobank als ING klant en vindt het systeem van de Rabobank zo verkeerd nog niet. Je moet inderdaad altijd je pasje/reader bij je hebben, maar ik heb gewoon een tweede aangevraagd. Altijd eentje in de tas, en verder alles via de iPhone App en Paypal voor het buitenland.

N.a.v. deze actie die je in China nog kunt ruiken, zo hard stinkt het, meteen de helpdesk maar gebeld en zowel prive als voor de toko maar nieuwe code's aangevraagd.

maandag 8 augustus 2011 01:09

Acties:

0 Henk 'm!

Roytoch

Nietes

Als ik bij de ING zat had ik mijn rekening opgezegd... dan maar wat minder gebruiksgemak. Vage code die ofwel een hack impliceert, ofwel een connectie van ING naar een VS domein, met inderdaad, wetten die heel anders zijn dan hier. Daarbij de vreemde reacties (geen of heel weinig) van ING zelf. En zoals al vaker gezegd, al die phishing-mails gaan over de ING, nooit over ABN/Rabo etc... dat lijkt me ook al genoeg zeggen eerlijk gezegd.

Welles

maandag 8 augustus 2011 10:07

Acties:

0 Henk 'm!

TD-er

roy.ahuis schreef op maandag 08 augustus 2011 @ 01:09:
[...] En zoals al vaker gezegd, al die phishing-mails gaan over de ING, nooit over ABN/Rabo etc... dat lijkt me ook al genoeg zeggen eerlijk gezegd.

We krijgen genoeg van die phishing mails zogenaamd van de ABN en volgens mij heb ik 'm ook al eens voorbij zien komen voor de Rabobank en genoeg andere banken.
Dus het is zeker niet beperkt tot de ING/Postbank.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

maandag 8 augustus 2011 10:17

Acties:

0 Henk 'm!

Erkens

Fotograaf

Herko_ter_Horst schreef op zondag 07 augustus 2011 @ 14:39:
[...]

Ik ben juist zeer on-blij dat ING in eerste instantie aan gebruikersgemak denkt. ING moet in eerste instantie aan de veiligheid en betrouwbaarheid van het systeem denken!

Er is anders weinig mis met de veiligheid en betrouwbaarheid bij ING. Natuurlijk staat veiligheid bij de ING ook op de eerste plek, maar gelukkig ook gebruiksgemak!
Ik moet er niet aan denken om altijd zo'n apparaatje mee te moeten zeulen en bij iedere betaling ook mijn pinpas op te moeten zoeken. Zoals met bijvoorbeeld iDeal-betalingen, erg makkelijk, snel en veilig

Als ik soms mijn collega's moeilijk zie doen met zo'n kastje (eerst zoeken of een andere collega toevallig zo'n ding heeft etc etc).

Die vage code van afgelopen week is wellicht raar, maar het is natuurlijk wel een prima test om te zien hoe alert de klanten zijn

roy.ahuis schreef op maandag 08 augustus 2011 @ 01:09:
En zoals al vaker gezegd, al die phishing-mails gaan over de ING, nooit over ABN/Rabo etc... dat lijkt me ook al genoeg zeggen eerlijk gezegd.

Wellicht omdat het bij ING-klanten lastiger is om geld afhandig te maken dan de andere banken

Nee, serieus, ik zie dergelijke mailtjes van allerlei banken evenvaak in het spamfilter.

maandag 8 augustus 2011 10:29

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

Erkens schreef op maandag 08 augustus 2011 @ 10:17:
[...]

Er is anders weinig mis met de veiligheid en betrouwbaarheid bij ING. Natuurlijk staat veiligheid bij de ING ook op de eerste plek, maar gelukkig ook gebruiksgemak!
Ik moet er niet aan denken om altijd zo'n apparaatje mee te moeten zeulen en bij iedere betaling ook mijn pinpas op te moeten zoeken. Zoals met bijvoorbeeld iDeal-betalingen, erg makkelijk, snel en veilig Als ik soms mijn collega's moeilijk zie doen met zo'n kastje (eerst zoeken of een andere collega toevallig zo'n ding heeft etc etc).

Die vage code van afgelopen week is wellicht raar, maar het is natuurlijk wel een prima test om te zien hoe alert de klanten zijn

[...]

Wellicht omdat het bij ING-klanten lastiger is om geld afhandig te maken dan de andere banken
Nee, serieus, ik zie dergelijke mailtjes van allerlei banken evenvaak in het spamfilter.

Je zou je trouwens kunnen afvragen waarom gebruikersgemak boven veiligheid staat bij de ING. Het betreft namelijk wel gewoon een serieuze handeling waar je, vind ik, best wel moeite voor mag doen en verwachten.

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

maandag 8 augustus 2011 10:35

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Mja ben ik het wel mee eens hoor. Als ik op mijn werk ben en ik moet 'plotseling' op mijn rekening kijken en ik heb mijn reader niet bij me; dan heb ik gewoon pech. Jammer dan. Mocht ik het erg vaak hebben dan installeer ik wel de Rabo app op mijn telefoon, maar dan wéét ik dat ik meer risico ga lopen. Een keuze dus, maar eentje die ik zelf kan (en niet zal) maken.

Gebruikersgemak is zeker belangrijk, maar wat mij betreft mag het op geen enkel punt ten koste van veiligheid gaan. En feit blijft, inloggen met uitsluitend een gebruikersnaam en wachtwoord, is minder veilig dan inloggen met token verificatie.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 8 augustus 2011 10:38

Acties:

0 Henk 'm!

Erkens

Fotograaf

bonzz.netninja schreef op maandag 08 augustus 2011 @ 10:29:
[...]

Je zou je trouwens kunnen afvragen waarom gebruikersgemak boven veiligheid staat bij de ING. Het betreft namelijk wel gewoon een serieuze handeling waar je, vind ik, best wel moeite voor mag doen en verwachten.

Wie zegt dat gebruiksgemak boven de veiligheid staat? Die twee gaan hand-in-hand.

Een transactie van een paar euro moet gewoon niet moeilijk zijn vind ik, nu ook met dat "nieuwe" pinnen, het duurt allemaal langer terwijl ze eerst iedereen van het contant betalen wilde afhelpen (klein bedrag->pinnen mag) maar ondertussen is het contant betalen wel weer sneller dan pinnen bij de meeste winkels. (afgezien het feit dat veel mensen gewoon niet snappen hoe het werkt). Dit allemaal natuurlijk in het kader van de veiligheid. Zo ook met online betalen, eerst was het nog eenvoudig en makkelijk om met je creditcard te betalen, nu komen er allerlei popups waarin je wachtwoorden moet invullen.

maandag 8 augustus 2011 10:39

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Cloud schreef op maandag 08 augustus 2011 @ 10:35:
Mja ben ik het wel mee eens hoor. Als ik op mijn werk ben en ik moet 'plotseling' op mijn rekening kijken en ik heb mijn reader niet bij me; dan heb ik gewoon pech. Jammer dan. Mocht ik het erg vaak hebben dan installeer ik wel de Rabo app op mijn telefoon, maar dan wéét ik dat ik meer risico ga lopen. Een keuze dus, maar eentje die ik zelf kan (en niet zal) maken.

Gebruikersgemak is zeker belangrijk, maar wat mij betreft mag het op geen enkel punt ten koste van veiligheid gaan. En feit blijft, inloggen met uitsluitend een gebruikersnaam en wachtwoord, is minder veilig dan inloggen met token verificatie.

Vergeet niet dat je met inloggen alleen er nog niet bent, om geld over te maken word een smsje gestuurd met tan code.die heb je vaker bij je dan zo'n reader

hoe dat zit als je je mobiel kwijt raakt weet ik niet.

ora et labora

maandag 8 augustus 2011 10:39

Acties:

0 Henk 'm!

Erkens

Fotograaf

mrc4nl schreef op maandag 08 augustus 2011 @ 10:39:

hoe dat zit als je je mobiel kwijt raakt weet ik niet.

Dan log je in op mijn.ing.nl en geeft daar aan dat je je mobiel kwijt bent, simpeler kan het niet. (je kan overigens ook bellen, maar als je je mobiel kwijt bent....)

maandag 8 augustus 2011 10:40

Acties:

0 Henk 'm!

_Apache_

For life.

mrc4nl schreef op maandag 08 augustus 2011 @ 10:39:
[...]

Vergeet niet dat je met inloggen alleen er nog niet bent, om geld over te maken word een smsje gestuurd met tan code.die heb je vaker bij je dan zo'n reader

hoe dat zit als je je mobiel kwijt raakt weet ik niet.

TAN codes zijn maar beperkt actief, en met een (vaste?!

) telefoontje naar de ING worden alle tan-codes die actief zouden kunnen zijn uitgeschakeld, plus je 06-nummer word (tot nader order) niet meer geaccepteerd.

Been there, done that.

Zero SR/S 17.3kWh / 2700WP PV / HRSolar zonneboiler

maandag 8 augustus 2011 10:41

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

@mrc4nl
Natuurlijk, maar zoals al vaker gezegd kun je wél een Paypal-verificatie voltooien zonder ooit een TAN-code nodig te hebben. Sowieso gaat het er mij niet om wat er wel of niet mogelijk is, het is gewoon een tandje minder beveiliging ten behoeve van gebruikersgemak. Dat was alles wat ik duidelijk wilde maken

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 8 augustus 2011 10:49

Acties:

0 Henk 'm!

Flard

Ik wil wel achter Erkens gaan staan. Alle veiligheid staat of valt met de gebruiker en hoe die daarmee om gaat. Het PayPal verhaal daargelaten denk ik dat er in beide gevallen een goede two-factor authenticatie/authorisatie is. Of je nu een PIN code en een random reader of je wachtwoord en je GSM nodig hebt. een PIN is maar vier digits, terwijl mijn wachtwoord uit veel meer karakters kan bestaan. De afweging Random Reader vs. GSM vind ik ook triviaal. Voor beide zijn voor/nadelen, waarbij ik het zelf als voordeel vind dat ik mijn gsm altijd bij me heb. Ja, dat is "gebruikersgemak", maar mijn GSM kan ik wederom beveiligen zoals ik wil (unlock beveiliging, pincode op de sim), zodat deze eigen zelfs bij diefstal niet te gebruiken is. (buiten het feit dat men dan ook nog m'n wachtwoord zou moeten weten). Een random reader is niet zo moeilijk om aan te komen (behalve op de momenten dat je hem nodig hebt ;-) )...

Blijft inderdaad het PayPal verhaal over. Ik ben inderdaad van mening dat die beveiliging een stuk beter kan, maar zoals al gezegd ligt dat ook meer bij PayPal. En ook daar geldt: als iemand je MSN wachtwoord achterhaalt (meestal niet gigantisch moeilijk, en ik gok gemiddeld genomen minder 'veilig' als het wachtwoord wat mensen voor internetbankieren instellen), kan men ook via Yvette die omschrijving krijgen. Wat dat betreft zou PayPal beter kunnen vragen om via iDeal 1 cent over te maken naar PayPal. Te meer omdat je dan altijd de two factor authorisatie aanspreekt en controleert of de gebruiker wel gemachtigd is om betalingen uit te voeren.

De afweging veiligheid vs. gebruikersgemak blijft altijd, maar ik vind zeker niet dat ING daar een compromis in heeft gemaakt, ze hebben een ándere oplossing die zijn eigen voor- en nadelen heeft. In mijn geval heb ik er meer controle over dan bij de Rabo, en vind ik het prettiger.

maandag 8 augustus 2011 11:32

Acties:

0 Henk 'm!

Brad Pitt

Wat grappig, log net in om mijn wachtwoord maar even te veranderen. Heel toevallig had de ING hetzelfde idee, je moét nu je wachtwoord veranderen dus. En het was allemaal maar een test hè, ja sure

Nickname does not reflect reality

maandag 8 augustus 2011 11:43

Acties:

0 Henk 'm!

Erkens

Fotograaf

Brad Pitt schreef op maandag 08 augustus 2011 @ 11:32:
Wat grappig, log net in om mijn wachtwoord maar even te veranderen. Heel toevallig had de ING hetzelfde idee, je moét nu je wachtwoord veranderen dus. En het was allemaal maar een test hè, ja sure

Ehm, die meldingen krijg je wel vaker, dat is echt niet nu voor het eerst

maandag 8 augustus 2011 11:43

Acties:

0 Henk 'm!

Flard

Brad Pitt schreef op maandag 08 augustus 2011 @ 11:32:
Wat grappig, log net in om mijn wachtwoord maar even te veranderen. Heel toevallig had de ING hetzelfde idee, je moét nu je wachtwoord veranderen dus. En het was allemaal maar een test hè, ja sure

Ik hoef mijn wachtwoord niet aan te passen als ik inlog.
Is het bij jou niet toevallig al een jaar geleden? Bij ING moet je jaarlijks je wachtwoord aanpassen.

maandag 8 augustus 2011 11:58

Acties:

0 Henk 'm!

Brad Pitt

Flard schreef op maandag 08 augustus 2011 @ 11:43:
Ik hoef mijn wachtwoord niet aan te passen als ik inlog.
Is het bij jou niet toevallig al een jaar geleden? Bij ING moet je jaarlijks je wachtwoord aanpassen.

Okay, dan is de timing even geniaal als de tijd dat het test scriptje er op heeft gestaan, is mogelijk

Nickname does not reflect reality

maandag 8 augustus 2011 12:42

Acties:

0 Henk 'm!

Thralas

Ik ben erachter welke partij achter de mysterieuze javascript zit, en wat ING bedoelde met "We testen software die ons in staat stelt bepaalde vormen van fraude en phishing op te sporen".

Wat Googlen leerde dat mensen eerder eenzelfde script ontdekten bij andere banken, en dat in deze gevallen andere (schimmige) domeinen werden gebruikt. Een overzichtje:

code:

primebyte.net
vsonicw.com
polycache.com
gate-logic.com
analytics-control.com
advanced-web-analytics.com

Het laatstgenoemde domein komt nog steeds voor in onlinebankinginterfaces van andere banken. Een erg interessant voorbeeld is Santander UK. In de source vinden we een script include:

code:

1	https://www.advanced-web-analytics.com/83179/splash.js

Je kunt dit script zelf even beautifien, meteen valt een gelijkenis op met het script dat afgelopen donderdag op mijn.ing.nl te vinden was.

Interesting snippets:

code:

1
2
3

var b = "rapport_info";
var an = S + "://trusteer.s3.amazonaws.com/img";
var X = "http://download.trusteer.com/Xby7sRh2E/" + n() + "?x-src=splash_santanderuk";

Dit is dus een script dat de gebruiker prompt om Trusteer Rapport te downloaden en installeren.

quote: http://www.trusteer.com/product/trusteer-rapport
Rapport implements a completely new approach to protecting customers and employees. By locking down customer browsers and creating a tunnel for safe communication with the online website, Rapport prevents Man-in-the-Browser malware and Man-in-the-Middle attacks. Rapport also prevents phishing via website authentication to ensure that account credentials are passed to genuine sources only.

Pakken we de quote van ING er nogmaals bij:

We testen software die ons in staat stelt bepaalde vormen van fraude en phishing op te sporen

Het lijkt er dus op dat men een van de producten van Trusteer evalueert. Misschien is dat inderdaad Trusteer Rapport, misschien een ander product.

Aangenomen dat bovenstaande klopt, een paar open vragen..

ING
• Waarom voert men tests uit op een productieomgeving? Ik zie niet in waarom de klant betrokken zou moeten worden bij de 'test' met de primebyte-include.
• Waarom is de klant niet vooraf geinformeerd (in de vorm van een simpel linkje met verklaring). De gemiddelde gebruiker valt de 'test' inderdaad niet op, iemand met NoScript of RequestPolicy mogelijk wel..
• Waarom doet de afdeling PR zo geheimzinnig over de 'test'? Mogelijk werd het product enkel geevalueerd, maar dan nog verwacht ik enige vorm van transparantie van een bank..
• Toch wel benieuwd naar de risicoanalyse van het includen van een scriptje op een externe server (een VPS notabene, in een heel ander land). Misschien dat een implementatie van Rapport ING geld bespaart, maar dit voegt desalniettemin een interessante attack vector toe, als je 't mij vraagt..

Trusteer
• Wat voor tests voeren jullie uberhaupt uit? Het scriptje was geen splashscreen-script zoals bij Santander, maar zag er wel extreem dubieus uit.
• Waarom verstoppen jullie deze scripts achter verschillende, even dubieuze domeinnamen met WHOIS-guard?
• Waarom host je dat op een VPS, gezien het feit dat meerdere inlogportals van banken een script includen vanaf de VPS is dit een erg interessante attack vector voor criminelen. Een hack betekent dat je meerdere banken probleemloos kunt phishen/mitm'en..

Zo.

maandag 8 augustus 2011 12:50

Acties:

0 Henk 'm!

Elvis56686

Thralas schreef op maandag 08 augustus 2011 @ 12:42:
Ik ben erachter welke partij achter de mysterieuze javascript zit, en wat ING bedoelde met "We testen software die ons in staat stelt bepaalde vormen van fraude en phishing op te sporen".<KNIPPERDEKNIP>
Zo.

Goede duidelijke post maar ik heb niet het idee dat ooit precies duidelijk gaat worden wat nou het idee was achter de "test". Het is niet echt groot in het nieuws geweest, ING laat al helemaal niks meer weten en nieuwssites zitten er niet echt achteraan lijkt het.

maandag 8 augustus 2011 14:16

Acties:

0 Henk 'm!

Erkens

Fotograaf

Ze reageren in ieder geval wel snel op e-mail die ik donderdagmiddag had verstuurd...

Geachte heer Erkens,

In uw e-mail geeft u aan dat op de inlogpagina een aantal requests worden gedaan naar primebyte.net. U wilt weten of dit wel veilig is. Graag informeren wij u hierover.

Op het moment dat u Mijn ING bezocht waren wij bezig met het testen van nieuwe software. Wij kunnen hiermee de veiligheid van onze website waarborgen. Wij begrijpen dat dit voor verwarring heeft gezorgd.

De website is niet gehacked en u kunt Mijn ING veilig benaderen.

Met vriendelijke groet,

<<naam medewerker>>>
Medewerker Klantenservice
ING Bank N.V.

Een dergelijk standaard antwoord hadden ze vrijdag ook kunnen sturen, jammer dat de mail pas na het weekend is behandeld, ik vraag me dus af of dit ook zo was geweest als ik de enige was geweest die een dergelijk probleem had gemeld

maandag 8 augustus 2011 14:23

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Thralas schreef op maandag 08 augustus 2011 @ 12:42:
[...]

ING
• Waarom is de klant niet vooraf geinformeerd (in de vorm van een simpel linkje met verklaring). De gemiddelde gebruiker valt de 'test' inderdaad niet op, iemand met NoScript of RequestPolicy mogelijk wel..

Niet alleen mensen met NoScript. Er zijn ook mensen waarbij McAfee's Siteadvisor terecht de melding gaf dat er iets mis was omdat er ineens content van een derde partij gebruikt werd. Volgens mij gaf Opera (de browser) een soortgelijke melding, dus ik vermoed nog wel meer software. En mensen met NoScript weten dit nog wel op waarde te schatten, maar Jan Modaal die even wat geld over wil maken schrikt natuurlijk wel. Het verbaast me daarom ook dat ze het ondanks de berichtgeving in de media, gewoon nog tot halverwege de volgende dag online hebben laten staan.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

maandag 8 augustus 2011 14:28

Acties:

0 Henk 'm!

Henk007

Door het 24 uur te laten staan wekken ze de indruk volledige controle te hebben en te weten waar ze mee bezig zijn. Psychologisch.

maandag 8 augustus 2011 14:33

Acties:

0 Henk 'm!

tweakict

Erkens schreef op maandag 08 augustus 2011 @ 10:39:
[...]

Dan log je in op mijn.ing.nl en geeft daar aan dat je je mobiel kwijt bent, simpeler kan het niet. (je kan overigens ook bellen, maar als je je mobiel kwijt bent....)

Tja wat je handig simpel noemt...

Vanaf het moment dat je dit moet doen (ander telefoonnummer en of verlief van telefoon) krijg je binnen 5 werkdagen een brief opgestuurd, dat je de code kan afhalen bij het dichtstbijzijnde ING kantoor van je woonadres.

Stel je werkt gewoon 40u per week op locatie buiten je woonplaats...je kunt enkel op een koopavond en of in het weekend je brief ophalen.....In de tussentijd kun je niet betalen..HANDIG!

Oja en voor een spoed betaling in een ING kantoor, betaal je 8 EURO......

Ik ben inmiddels overgestapt naar de Rabo. Oh u bent uw reader kwijt, hier hebt u een nieuwe...SERVICE.

[ Voor 4% gewijzigd door tweakict op 08-08-2011 14:35 ]

maandag 8 augustus 2011 14:49

Acties:

0 Henk 'm!

Erkens

Fotograaf

tweakict schreef op maandag 08 augustus 2011 @ 14:33:
Vanaf het moment dat je dit moet doen (ander telefoonnummer en of verlief van telefoon) krijg je binnen 5 werkdagen een brief opgestuurd, dat je de code kan afhalen bij het dichtstbijzijnde ING kantoor van je woonadres.

Wil je dan dat ze die code zo versturen? Over veilig gesproken

Stel je werkt gewoon 40u per week op locatie buiten je woonplaats...je kunt enkel op een koopavond en of in het weekend je brief ophalen.....In de tussentijd kun je niet betalen..HANDIG!

Gelukkig zijn de ING kantoren dan ook 6 dagen in de week open en vaak tot 18:00-19:00 uur open

Oja en voor een spoed betaling in een ING kantoor, betaal je 8 EURO......

Waarom zou je dat willen? Via onlinebetalen is het ook direct op de rekening van de tegenpartij, het heeft weinig meerwaarde, maar is een extra stukje service. Gezien de andere kosten van de ING valt dit dus wel mee

maandag 8 augustus 2011 14:56

Acties:

0 Henk 'm!

Herko_ter_Horst

Erkens schreef op maandag 08 augustus 2011 @ 10:17:
[...]

Er is anders weinig mis met de veiligheid en betrouwbaarheid bij ING. Natuurlijk staat veiligheid bij de ING ook op de eerste plek, maar gelukkig ook gebruiksgemak!

Niet waar, gebruikersgemak gaat aantoonbaar boven veiligheid bij ING. Het feit dat je je wachtwoord op kan vragen via de telefoon waar je ook je TAN-codes mee krijgt, heeft niets met veiligheid en alles met gebruiksvriendelijkheid te maken.

Ondanks dat ING daar van diverse kanten op gewezen is, heeft men dit onder het mom van "we krijgen vaak klachten over de bestaande procedure" toch doorgevoerd.

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 8 augustus 2011 14:58

Acties:

0 Henk 'm!

Rukapul

Herko_ter_Horst schreef op maandag 08 augustus 2011 @ 14:56:
[...]

Niet waar, gebruikersgemak gaat aantoonbaar boven veiligheid bij ING. Het feit dat je je wachtwoord op kan vragen via de telefoon waar je ook je TAN-codes mee krijgt, heeft niets met veiligheid en alles met gebruiksvriendelijkheid te maken.

Ondanks dat ING daar van diverse kanten op gewezen is, heeft men dit onder het mom van "we krijgen vaak klachten over de bestaande procedure" toch doorgevoerd.

Ik wacht eigenlijk tot op de dag van vandaag dat de ING daarmee nat gaat.

Dat is namelijk het moment waarop ik de bevestigingsmail van de DNB betreffende melding daaromtrent zal doorsturen naar de relevante media

maandag 8 augustus 2011 18:24

Acties:

0 Henk 'm!

Aubergine

Waar de AEX vandaag 4% heeft verloren, had ING ruim 8,3% verloren, zou dit een van de oorzaken zijn?

Misschien is het bij de aandeelhouders wel bekend of het nou of wel geen hack was.

maandag 8 augustus 2011 19:48

Acties:

0 Henk 'm!

EdwinG

Herko_ter_Horst schreef op maandag 08 augustus 2011 @ 14:56:
Niet waar, gebruikersgemak gaat aantoonbaar boven veiligheid bij ING. Het feit dat je je wachtwoord op kan vragen via de telefoon waar je ook je TAN-codes mee krijgt, heeft niets met veiligheid en alles met gebruiksvriendelijkheid te maken.

Als ik het zo lees, bedoel je dat je je huidige wachtwoord opnieuw opgestuurd krijgt. Dat is gelukkig niet het geval, je krijgt een nieuw (tijdelijk) wachtwoord. Anders zou er wel meer mis zijn met het systeem.

Zorgelijker is het volgende stukje van ING zelf in hun FAQ:

quote: http://www.ing.nl/particu...d/toegangscode/index.aspx
Stel dat mijn telefoon en portemonnee met Betaalpas gestolen wordt. Kan iemand anders dan namens mij een wachtwoord voor Mijn ING aanvragen?
Nee, om een aanvraag te doen van uw wachtwoord moet ook de gebruikersnaam bekend zijn. Zonder uw gebruikersnaam kan een fraudeur niets beginnen. Daarnaast is bij het aanvragen van een nieuw wachtwoord de geboortedatum, het mobiele nummer, het rekening- en pasnummer, expiratie datum en de gebruikersnaam nodig. Kies daarom om altijd een gebruikersnaam die door anderen moeilijk te raden is. En bewaar uw gebruikersnaam nooit in uw tas of portemonnee. U kunt uw gebruikersnaam zelf wijzigen.

Zijn uw telefoon en Betaalpas gestolen, bel dan zo snel mogelijk de ING: 058 212 2600. Uw pas wordt dan direct geblokkeerd. Er kan dan geen nieuw wachtwoord aangevraagd worden. Daarnaast kunt u in Mijn ING zelf uw TAN-functie blokkeren. Na inloggen kiest u links in het menu voor ‘Service en instellingen’. Bij ‘TAN-functie blokkeren/activeren’ kiest u voor ‘Blokkeren TAN-functie / activeringscode aanvragen’. Vergeet niet ook bij uw provider te melden dat uw mobiele telefoon gestolen is zodat uw SIM-kaart geblokkeerd kan worden.

Voor het aanvragen van een nieuw wachtwoord: Tijd om het lijstje door te lopen?

geboortedatum: Uitgaande van een gestolen portomonee is deze vast wel te vinden (ID-kaart)
mobiel nummer: Pak de telefoon (als dief), bel jezelf en kijk naar het nummer van de beller
rekeningnummer: Staat op de bankpas
passnummer: Staat op de bankpas
vervaldatum: Staat op de bankpas
gebruikersnaam: ehhh.... voorletter.achternaam? voornaam.achternaam?

Blijkt dus dat de gebruikersnaam het enige onbekende is, hoewel die meestal wel een voorspelbaar formaat heeft, of je Nickname op internet (snel te vinden met Google + Echte naam, En je volledige naam is weer te vinden op je ID-kaart, of je ov-chipkaart, of je lidmaatschapskaart van <club>). De rest is eenvoudig te lezen voor de bezitter van de telefoon en de bankkaart. Waarom al die dingen dan noemen? Waarschijnlijk om de lezer het gevoel te geven dat er wel aan veiligheid is gedacht. Mij geeft het eerder het gevoel dat ze zelf niet weten waar ze mee bezig zijn. (of ze weten het wel, maar dat maakt het nog erger)

Voor eigenaren van een smartphone kan het wachtwoord om te ontgrendelen je nog redden. (tenzij je geen PIN op je simkaart hebt, dan plaatsen ze die eenvoudig in een ander toestel)

Het enige dat me vanaf de kant van de bank nog kan redden in zo'n situatie, is de bescherming (als die al aanwezig is) tegen het gokken van de gebruikersnaam bij de 'wachtwoord vergeten'-pagina. Hopelijk blokkeren ze het account als ik 3x tevergeefs heb geprobeerd een wachtwoord voor Bankrekening X met pas Y op te vragen. Maar 3x betekend dat ik nog steeds <voorletter>.<achternaam>, <voornaam>.<achternaam> en <nickname> kan proberen, hoeveel procent van de gebruikers heb ik daarmee te pakken?

[ Voor 0% gewijzigd door EdwinG op 08-08-2011 19:49 . Reden: lijst gerepareerd ]

Bezoek eens een willekeurige pagina

maandag 8 augustus 2011 19:52

Acties:

0 Henk 'm!

Herko_ter_Horst

De gebruikersnaam als "geheim" beschouwen, is hoe dan ook een fail eerste klas, helemaal als ING zelf aanbiedt deze te onthouden via een vinkje op de inlogpagina...

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 8 augustus 2011 19:53

Acties:

0 Henk 'm!

Elvis56686

Ik weet niet hoe het sinds de overgang naar ING is maar mijn postbank tijd gebruikersnaam is een compleet random string van cijfers en letters.

maandag 8 augustus 2011 20:27

Acties:

0 Henk 'm!

MrDirect

Ik heb toen dat script erop stond niet ingelogd of zelfs op ing.nl geweest, maar zou OpenDNS mij beschermd hebben hiertegen? Weet iemand dat? Of heb je echt speciale anti-virus achtige software nodig?

maandag 8 augustus 2011 20:28

Acties:

0 Henk 'm!

Thralas

Nee, OpenDNS helpt hier niet tegen. Er zijn eerder een aantal browseraddons genoemd, alsmede een aantal antivirus/securityproducten die ook een waarschuwing gaven.

maandag 8 augustus 2011 20:38

Acties:

0 Henk 'm!

Bastien

Probleemeigenaar

EdwinG schreef op maandag 08 augustus 2011 @ 19:48:
[...]

Voor het aanvragen van een nieuw wachtwoord: Tijd om het lijstje door te lopen?
geboortedatum: Uitgaande van een gestolen portomonee is deze vast wel te vinden (ID-kaart)
mobiel nummer: Pak de telefoon (als dief), bel jezelf en kijk naar het nummer van de beller
rekeningnummer: Staat op de bankpas
passnummer: Staat op de bankpas
vervaldatum: Staat op de bankpas
gebruikersnaam: ehhh.... voorletter.achternaam? voornaam.achternaam?

Welke vragen had je dan willen hebben, en dan wel even denken aan de gegevens die ING (of elke willekeurige andere bank) van je heeft en van je (bij wet) mag hebben? Als ze het redelijk failsafe willen doen zullen ze iedereen moeten verplichten bij de balie langs te komen met een geldige legitimatie (en ja, ook die zijn niet failsafe). En dat is nu net wat niemand in dit o zo leuke vanuit-de-luie-stoel-tijdperk wil doen.

Het is toch inmiddels ook wel bewezen dat die zogenaamde vragen als met wie je als eerste in je leven speeksel hebt uitgewisseld, de achternaam van je mammie of weet ik veel wat zo lek is als een vergiet.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

maandag 8 augustus 2011 23:29

Acties:

0 Henk 'm!

EdwinG

Bastien schreef op maandag 08 augustus 2011 @ 20:38:
Welke vragen had je dan willen hebben, en dan wel even denken aan de gegevens die ING (of elke willekeurige andere bank) van je heeft en van je (bij wet) mag hebben?

Wel, volgens mij kunnen geldautomaten meer dan alleen geld verstrekken. (bijvoorbeeld, klanten de mogelijkheid bieden om zelf hun pincode te wijzigen). Dan kunnen ze vast ook wel worden ingezet om gebruikers een nieuw wachtwoord te geven. (Die dan bijvoorbeeld alsnog naar het bijbehorende mobiele nummer wordt gestuurd). Makkelijker dan naar een kantoor gaan (een automaat is vaak dichterbij), beter bereikbaar (24 uur per dag, in plaats van openingstijden), en veiliger dan de huidige oplossing (de PIN-code is immers ook nog nodig).

Nu heb ik dit direct even bedacht, en er niet veel tijd aan besteed. Misschien zie ik nog iets over het hoofd waardoor dit niet wenselijk/veilig is, maar zo op het eerste gezicht lijkt het me al iets beter dan direct een SMS sturen.

Als ze het redelijk failsafe willen doen zullen ze iedereen moeten verplichten bij de balie langs te komen met een geldige legitimatie (en ja, ook die zijn niet failsafe). En dat is nu net wat niemand in dit o zo leuke vanuit-de-luie-stoel-tijdperk wil doen.

Een legitimatie is inderdaad niet failsafe, maar zowel Pinpas + code als ID-kaart, de combinatie die nodig is om je gebruikersnaam op de halen (of je ww na blokkade) is een goede combinatie.

En in dit 'vanuit-de-luie-stoel-tijdperk' wil ik nog steeds mijn geld (bezittingen in het algemeen) veilig houden. Mensen die dat te veel moeite vinden, vinden het vast ook veel moeite om hun wachtwoord te onthouden, en plaatsen deze dus in een password-manager, of zelfs in de browser. Als je dit onveilig vind in verband met virussen, plaats je ze in misschien wel in een geldkistje of spaarpot/bloempot. Ook niet de meest veilige optie, maar de kans op bezoek van een inbreker is veel kleiner dan de kans op het passeren van een zakkenroller. Bovendien heeft een inbreker veel meer kans om zo'n briefje over het hoofd te zien, dan een zakkenroller/tasjesdief op het missen van je telefoonnummer en pinpas.

Van passwordmanagers en kladblaadjes is bekend dat ze niet snel iets vergeten, dus heb je ook niet snel een nieuw wachtwoord nodig.

[ Voor 2% gewijzigd door EdwinG op 08-08-2011 23:33 . Reden: +laatste zin ]

Bezoek eens een willekeurige pagina

Onderwerpen