Bank heeft security-lek, doet er niets aan - wat nu? - Privacy en beveiliging

dinsdag 29 augustus 2017 12:01

Acties:

+1 Henk 'm!

Topicstarter

Ik ben absoluut geen expert op het gebied van beveiliging, maar denk wel graag out of the box;

Net even die andere route / flow bewandelen in een aanmeldingsproces dan wordt voorgeschreven en kijken hoe ver je kan komen...

Bij een bank (Nederlands) heb ik op die manier ontdekt dat je op verbluffend eenvoudige wijze het emailadres van een willekeurige klant kan aanpassen naar jouw adres (zonder controle van hun kant).

Door simpelweg vervolgens naar "wachtwoord vergeten" te gaan en dat (nieuw aangemaakte) adres in te voeren, wordt de wachtwoord reset-link naar jouw adres gestuurd en niet naar die van de eigenaar (waardoor je dus zijn wachtwoord kan resetten en met "jouw" gegevens kan inloggen).

Ik heb dit proces gemeld en kreeg - netjes - binnen 8 uur antwoord, alleen momenteel gaan ze er niets aan doen.

Op dit moment zou het helaas, op de door u beschreven manier, mogelijk zijn om de gegevens van anderen aan te passen.

Om dit te voorkomen gaan wij gebruikmaken van one-time passwords. De ontwikkeling hiervan zit in de afrondende fase. Vanaf de conversie in [tijdstip binnen een maand - weggehaald om niet te verraden welke bank het is] dienen alle wijzigingen en transacties bevestigd te worden met otp's.

Momenteel hanteren wij voor bepaalde wijzigingen wel nog andere, niet direct zichtbare, veiligheidsmaatregelen. Zo is het bijvoorbeeld nooit mogelijk om de tegenrekening te wijzigen naar een rekening die niet op naam van de rekeninghouder staat. Een dergelijke wijziging voeren wij alleen door na het ontvangen van een aanvullend document.

Mocht u ingelogd zijn op het account van iemand anders, wat natuurlijk niet de bedoeling is, dan zou u alsnog nooit toegang hebben tot de waarde op deze rekening.

Ik hoop hiermee meer duidelijkheid te hebben verschaft. Nogmaals hartelijk dank voor uw vragen en input. Zodra wij terugkoppeling hebben van onze developers nemen wij contact met u op. Nog een fijne dag gewenst!

De komende dagen / weken kan ik dus, door een mailadres te 'raden', en vervolgens om te zetten naar één van mezelf, inloggen op alle accounts van die bank;

Is dat erg?

dinsdag 29 augustus 2017 12:09

Acties:

+2 Henk 'm!

emnich

kom je hier vaker?

@b2vjfvj75gjx7 Leuk dat je een stukje weg haalt maar xxxx zegt volgens mij genoeg over de bank?

Het lijkt me wel erg en ik zou er een berichtje naar de toezichthouders (DNB, AFM) aan wagen. Misschien dat die vinden dat er sneller iets moet gebeuren.

[edit]
Hier dus

De meldplicht geldt voor elk incident dat het vertrouwen in de betreffende financiële onderneming of de financiële markten als geheel kan schaden. Het maakt daarbij niet uit wie de gedraging verricht.

DNB onderscheidt daarbij de volgende categorieën toezichtincidenten:
[...]
IT-incidenten. Denk bijvoorbeeld aan de verstoring van internetbankieren door een aanval van cybercriminelen en/of dat persoonlijke informatie van klanten uitlekt door een beveiligingslek.

[ Voor 82% gewijzigd door emnich op 29-08-2017 12:22 ]

dinsdag 29 augustus 2017 12:11

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

emnich schreef op dinsdag 29 augustus 2017 @ 12:09:
@b2vjfvj75gjx7 Leuk dat je een stukje weg haalt maar xxx-rekeninghouder zegt volgens mij genoeg over de bank?

Het lijkt me wel erg en ik zou er een berichtje naar de toezichthouders (DNB, AFM) aan wagen. Misschien dat die vinden dat er sneller iets moet gebeuren.

Woeps - die afkorting had ik even over het hoofd gezien

Ik wil het netjes houden, dus verzoek je om het zelf ook even uit de post te halen.

Wat mij opvalt, is dat ze zeggen dat je kan inloggen op het account van een ander, maar dat dat 'niet erg is', omdat je er niets mee kan doen.

Nu ga ik het niet proberen, maar ik durf te stellen dat ik er wél wat mee kan doen (wellicht geen geld overmaken, maar wel toegang verschaffen tot diens privé gegevens en -leven).

dinsdag 29 augustus 2017 12:15

Acties:

0 Henk 'm!

emnich

kom je hier vaker?

Toegang tot het account van een ander lijkt me per definitie erg, ook al zou het alleen read-only zijn.

Daarbij lijkt het me een dermate amateuristische miskleun dat ik zou vrezen voor meer lekken...

uiteraard heb ik het ook even weggehaald

dinsdag 29 augustus 2017 12:16

Acties:

0 Henk 'm!

naftebakje

Aangifte doen lijkt me je burgerplicht, met ^dus.

Als de boer zijn koeien kust, zijn ze jarig wees gerust. Varkens op een landingsbaan, leiden nooit een lang bestaan. Als de boer zich met stront wast, zijn zijn hersens aangetast. Als het hooi is in de schuur, zit het wijf bij den gebuur.

dinsdag 29 augustus 2017 12:24

Acties:

+1 Henk 'm!

b2vjfvj75gjx7

Topicstarter

naftebakje schreef op dinsdag 29 augustus 2017 @ 12:16:
Aangifte doen lijkt me je burgerplicht, met ^dus.

Enig punt is dat de betreffende bank (deels) in een transitie zit (overname, overgang, etc...).

Die transitie is +/- over 2 weken afgerond.

Als onderdeel daarvan komt er een nieuwe site, die - zeggen ze - beter beveiligd is.

Binnen nu en 2 weken zullen ze er - denk ik - weinig aan kunnen gaan doen, behalve dat ze 'handmatig' het lek dichten (technisch ga je nooit iets uitrollen in 2 weken tijd).

De manier waarop ik het heb gedaan, is trouwens erg simpel;

1) Mail ze (via contact@....nl) dat je klant ben, je emailadres pietje@puk.nl is en graag een ander adres wil; jan@lul.com

2) Ze zetten je account om naar jan@lul.com

3) Met jan@lul.com in je achterhoofd, ga je naar 'wachtwoord vergeten' en vul je gewoon jan@lul.com in

4) Je ontvangt, op jan@lul.com, een wachtwoord-reset-link

5) Je reset het wachtwoord (van pietje@puk.nl) en maakt een nieuwe aan (voor jan@lul.com)

6) Et voila... je kan inloggen op het account van pietje@puk.nl - met als credentials jan@lul.com

Gewoon social enginering dus, niets geen XSS- of SQL-injecties...

Ik ga ze wel mailen dat ze deze route moeten dichten, door niet - zonder controle - emailadressen (over de mail...) te veranderen zonder controle.

dinsdag 29 augustus 2017 12:29

Acties:

0 Henk 'm!

masauri

aka qwybyte

Absoluut doen, mailen dat ze die route moeten dichten.

Ongeacht in welke positie men nu zit (overname of niet).
Dit hoort zo niet te zijn, eender wanneer!
Tussen overname en probleemaanpak zit weer zoveel tijd.
Als men niet opnieuw dit probleem aan kaart.

Ik zou hier ook melding van maken bij de toezichtshouders.

De Grote GoT FG Kettingbrief - Deel 12 (Spinoff Resultaat)

dinsdag 29 augustus 2017 12:29

Acties:

0 Henk 'm!

Xaverius

Ultraloper - korte dan... 😎

Ik heb bij een softwareleverancier van mijn werkgever ooit hier een melding gedaan:
https://autoriteitpersoon...ing/meldplicht-datalekken

Voor de bank is dit zover ik weet een verplichting om melding te doen.
In mijn geval kan ik als beheerder van een maillijst emailadressen en wachtwoorden inzien in een omgeving die niet van mij was.

https://smashrun.com/hans.vandermeer/invite
Stop de verwelking!
COVID19 resultaat: 30% meer hardgelopen dan ooit, langste afstand van 52 -> 69km gebracht

dinsdag 29 augustus 2017 12:32

Acties:

0 Henk 'm!

emnich

kom je hier vaker?

@b2vjfvj75gjx7 Als het via social engineering gaat moet je het zeker melden bij DNB (zie mijn aangepaste post eerder). Een nieuwe website gaat daar namelijk niet tegen helpen.

dinsdag 29 augustus 2017 12:35

Acties:

0 Henk 'm!

magnifor

b2vjfvj75gjx7 schreef op dinsdag 29 augustus 2017 @ 12:24:
[...]

Enig punt is dat de betreffende bank (deels) in een transitie zit (overname, overgang, etc...).

Die transitie is +/- over 2 weken afgerond.

Als onderdeel daarvan komt er een nieuwe site, die - zeggen ze - beter beveiligd is.

Binnen nu en 2 weken zullen ze er - denk ik - weinig aan kunnen gaan doen, behalve dat ze 'handmatig' het lek dichten (technisch ga je nooit iets uitrollen in 2 weken tijd).

De manier waarop ik het heb gedaan, is trouwens erg simpel;

1) Mail ze (via contact@....nl) dat je klant ben, je emailadres pietje@puk.nl is en graag een ander adres wil; jan@lul.com

2) Ze zetten je account om naar jan@lul.com

3) Met jan@lul.com in je achterhoofd, ga je naar 'wachtwoord vergeten' en vul je gewoon jan@lul.com in

4) Je ontvangt, op jan@lul.com, een wachtwoord-reset-link

5) Je reset het wachtwoord (van pietje@puk.nl) en maakt een nieuwe aan (voor jan@lul.com)

6) Et voila... je kan inloggen op het account van pietje@puk.nl - met als credentials jan@lul.com

Gewoon social enginering dus, niets geen XSS- of SQL-injecties...

Ik ga ze wel mailen dat ze deze route moeten dichten, door niet - zonder controle - emailadressen (over de mail...) te veranderen zonder controle.

Dus als ik het goed begrijp voert deze bank zonder enige vorm van controle zomaar een mailadres wijziging door?

dinsdag 29 augustus 2017 12:37

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

emnich schreef op dinsdag 29 augustus 2017 @ 12:32:
@b2vjfvj75gjx7 Als het via social engineering gaat moet je het zeker melden bij DNB (zie mijn aangepaste post eerder). Een nieuwe website gaat daar namelijk niet tegen helpen.

Ik ben bezig de mail op te stellen... zal het hier wel even posten straks.

Overigens zeggen ze zelf dat je, over een x-aantal weken, one time passwords moet gebruiken (ook voor emailadres veranderingen).

Het is zo knullig allemaal dat ik het bijna niet kan geloven...

Ik wilde zelf mijn mailadres veranderen daar en heb dat aangevraagd via de mail (omdat het via de site niet kon) en verwachtte iets van 'je moet bellen / #id opsturen / geboortedatum doorgeven, etc...).

In plaats daarvan kreeg ik een mail met 'bedankt, je mailadres is aangepast' (en die mail kreeg ik notabene op mijn nieuwe adres... niet op mijn oude).

Ze moeten op zijn minst de mail-change-link sturen naar je oude adres; door daar op te klikken bevestig je eigenaar te zijn van het oude adres en stem je in met de verandering... maar die vlieger ging niet op

magnifor schreef op dinsdag 29 augustus 2017 @ 12:35:
[...]

Dus als ik het goed begrijp voert deze bank zonder enige vorm van controle zomaar een mailadres wijziging door?

Dat is exact de situatie.

[ Voor 10% gewijzigd door b2vjfvj75gjx7 op 29-08-2017 12:37 ]

dinsdag 29 augustus 2017 12:42

Acties:

0 Henk 'm!

theHoff

Xaverius schreef op dinsdag 29 augustus 2017 @ 12:29:
Ik heb bij een softwareleverancier van mijn werkgever ooit hier een melding gedaan:
https://autoriteitpersoon...ing/meldplicht-datalekken

Voor de bank is dit zover ik weet een verplichting om melding te doen.
In mijn geval kan ik als beheerder van een maillijst emailadressen en wachtwoorden inzien in een omgeving die niet van mij was.

Alleen indien TS toegang heeft gehad tot de account, die niet van hem is, zou de betreffende bank binnen 72 uur potentieel melding moeten maken bij de autoriteit. Ik kan in z'n post niet lezen of hij toegang heeft gehad en of hij de bank heeft laten weten dat hij die toegang heeft gehad. Evengoed zouden ze dat wel moeten uitzoeken, maar uit het antwoord maak ik op dat ze dat niet doen.

Evengoed zit er wel een verschil tussen de melding en wanneer het opgelost is wat de autoriteit ermee doet.. Indien de bank in gebreke is gebleven (omdat ze te traag hebben gehandeld) dan zou de boete flink hoger kunnen uitvallen dan in het geval ze direct gehandeld hadden. In dit geval lijken ze me gebrekkig te handelen tenzij ze monitoren op deze cases, wat mogelijk is aangezien ze al op de hoogte zijn van het probleem.

Lastig gevalletje waar alleen de bank antwoord op heeft.

dinsdag 29 augustus 2017 12:42

Acties:

0 Henk 'm!

magnifor

b2vjfvj75gjx7 schreef op dinsdag 29 augustus 2017 @ 12:37:

[...]

Dat is exact de situatie.

Dan is het eigenlijk geen "lek" maar gewoon nalatigheid van de bank/medewerker die niet de identiteit controleert van de persoon die het verzoek indient. Je zou toch verwachten dat er op zijn minst een aantal controlevragen worden gesteld zoals volledige naam, rekeningnummer, adres + postcode en geboortedatum. Afgelopen zomer werd mijn bankpas ingeslikt door een bankautomaat in het buitenland en moest ik telefonisch mijn naw, rekeningnummer + geboortedatum doorgeven voordat een nieuwe pas werd verstuurd.

dinsdag 29 augustus 2017 12:46

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Theoretisch kan ik elk account overnemen dat je kan bedenken, door gewoon een random-mailadres op te geven en te vragen die om te zetten naar jouw adres.

Natuurlijk kan je dit niet te vaak doen; dan gaat er wel een belletje rinkelen bij ze...

Maar stel dat ik een buurman heb die Jan Piet heet en ik weet dat zijn mailadres jan-piet@tele2.nl is... dan kan ik dus de bank mailen, zeggen dat ik jan-piet@tele2.nl om wil zetten naar jan-piet@gmail.com (die van mij is) en ik heb toegang tot zijn account.

Grootschalig kan je dit niet misbruiken, dat valt op, maar je kan gewoon individueel een account overnemen met één mailtje naar de helpdesk.

dinsdag 29 augustus 2017 12:47

Acties:

0 Henk 'm!

theHoff

magnifor schreef op dinsdag 29 augustus 2017 @ 12:42:
[...]

Dan is het eigenlijk geen "lek" maar gewoon nalatigheid van de bank/medewerker die niet de identiteit controleert van de persoon die het verzoek indient. Je zou toch verwachten dat er op zijn minst een aantal controlevragen worden gesteld zoals volledige naam, rekeningnummer, adres + postcode en geboortedatum. Afgelopen zomer werd mijn bankpas ingeslikt door een bankautomaat in het buitenland en moest ik telefonisch mijn naw, rekeningnummer + geboortedatum doorgeven voordat een nieuwe pas werd verstuurd.

Nalatigheid is de oorzaak en het gevolg zou dan een lek kunnen zijn in dit geval aangezien je persoonsgegevens ziet die niet voor hem bedoeld zijn.

dinsdag 29 augustus 2017 12:48

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

b2vjfvj75gjx7 schreef op dinsdag 29 augustus 2017 @ 12:11:
[...]

Woeps - die afkorting had ik even over het hoofd gezien

Ik wil het netjes houden, dus verzoek je om het zelf ook even uit de post te halen.

Wat mij opvalt, is dat ze zeggen dat je kan inloggen op het account van een ander, maar dat dat 'niet erg is', omdat je er niets mee kan doen.

Zijn er niet bepaalde online betaalmiddelen (paypal?) die een soort controle overboeking doen, waarbij jij in je 'bankafschrift' een code uit die transactie moet vissen en die bij de dienst in moet vullen ter bevestiging dat je eigenaar van die rekening bent? Door de kwetsbaarheid bij deze bank kan je dan dus een online betaalaccount aanmaken gekoppeld aan andermans rekeningnummer en doodleuk bestellingen plaatsen die vervolgens bij het slachtoffer worden afgeboekt.

Inderdaad in dit geval vooral een procedurele fout, kan natuurlijk nooit zo zijn dat je een gegeven dat direct (via password reset feature) toegang geeft tot online bankieren zonder enige vorm van validatie zomaar aanpast.

Hell, zelfs hier op Tweakers zijn we doorgaans voorzichtiger als iemand uit het niets om een mailadres wijziging vraagt...

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 29 augustus 2017 12:48

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Tja, de subject van deze thread is fout... het had 'security issue' moeten zijn... niet 'lek'.

Aan de andere kant; het is natuurlijk wel lek op deze manier

Ik heb ze gemaild.. ze reageren erg adequaat via de mail in ieder geval (dat blijkt wel uit dit voorbeeld...).

dinsdag 29 augustus 2017 12:56

Acties:

+1 Henk 'm!

kipppertje

Stuur een mailtje met je verhaal naar het NCSC, uit ervaring kan ik zeggen dat dat bijzonder effectief is (destijds ook een security issue gevonden bij een bank, waar ik maar geen reactie op kreeg). Na een mailtje richting het NCSC kreeg ik dezelfde dag nog reactie en was het in mum van tijd gefixt.
Heb toen zelfs nog een bedankje overgemaakt gekregen

Maar het had ook zo gekunt

dinsdag 29 augustus 2017 14:32

Acties:

0 Henk 'm!

Remcoww

kipppertje schreef op dinsdag 29 augustus 2017 @ 12:56:
Stuur een mailtje met je verhaal naar het NCSC, uit ervaring kan ik zeggen dat dat bijzonder effectief is (destijds ook een security issue gevonden bij een bank, waar ik maar geen reactie op kreeg). Na een mailtje richting het NCSC kreeg ik dezelfde dag nog reactie en was het in mum van tijd gefixt.
Heb toen zelfs nog een bedankje overgemaakt gekregen

Ben wel benieuwd in hoeverre dat een zaak van het NCSC is. Als hun doel is om de continuiteit van kritieke infrastructuur te waarborgen lijkt me dat dit lek hier niet aan voldoet? (Neemt niet weg dat dit echt heel slecht is)

dinsdag 29 augustus 2017 14:37

Acties:

+1 Henk 'm!

DJMaze

b2vjfvj75gjx7 schreef op dinsdag 29 augustus 2017 @ 12:01:
Door simpelweg vervolgens naar "wachtwoord vergeten" te gaan en dat (nieuw aangemaakte) adres in te voeren, wordt de wachtwoord reset-link naar jouw adres gestuurd en niet naar die van de eigenaar (waardoor je dus zijn wachtwoord kan resetten en met "jouw" gegevens kan inloggen).

b2vjfvj75gjx7 schreef op dinsdag 29 augustus 2017 @ 12:24:
1) Mail ze (via contact@....nl) dat je klant ben, je emailadres pietje@puk.nl is en graag een ander adres wil; jan@lul.com

Heb je überhaupt duidelijk tegen de bank stap 1 verteld?
Of heb je alleen maar tegen de bank je eerste verhaal verteld?
Kan je even duidelijk vertellen wat je nou precies aan de bank hebt gemeld?

Maak je niet druk, dat doet de compressor maar

dinsdag 29 augustus 2017 14:55

Acties:

0 Henk 'm!

alwind

Orion84 schreef op dinsdag 29 augustus 2017 @ 12:48:
[...]

Zijn er niet bepaalde online betaalmiddelen (paypal?) die een soort controle overboeking doen, waarbij jij in je 'bankafschrift' een code uit die transactie moet vissen en die bij de dienst in moet vullen ter bevestiging dat je eigenaar van die rekening bent? Door de kwetsbaarheid bij deze bank kan je dan dus een online betaalaccount aanmaken gekoppeld aan andermans rekeningnummer en doodleuk bestellingen plaatsen die vervolgens bij het slachtoffer worden afgeboekt.

Inderdaad in dit geval vooral een procedurele fout, kan natuurlijk nooit zo zijn dat je een gegeven dat direct (via password reset feature) toegang geeft tot online bankieren zonder enige vorm van validatie zomaar aanpast.

Hell, zelfs hier op Tweakers zijn we doorgaans voorzichtiger als iemand uit het niets om een mailadres wijziging vraagt...

Ik zou met deze lek inderdaad diensten kunnen verifiëren en dan geld af kunnen boeken. Dus het klopt niet dat de bank beweerd dat er niemand iets met het geld kan doen.

dinsdag 29 augustus 2017 15:10

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

DJMaze schreef op dinsdag 29 augustus 2017 @ 14:37:
Kan je even duidelijk vertellen wat je nou precies aan de bank hebt gemeld?

- letterlijke mail -

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

dinsdag 29 augustus 2017 15:10

Acties:

0 Henk 'm!

Mx. Alba

hen/die/zij

Dat is toch wel een vrij serieus beveiligings-issue, ik begrijp niet dat ze daar zo laconiek over doen. Ik vraag me af hoe lang dit probleem al in hun proces zit? Een melding naar de autoriteiten lijkt me dus zeker wel op zijn plaats, want in principe is het zo dat wanneer een systeem een lek bevat, je er vrijwel zeker van kunt zijn dat dat lek al minimaal 1x uitgebuit is. En hoe langer het lek bestaan heeft, hoe vaker het uitgebuit zal zijn geweest. Als men op de support al klakkeloos emailadressen van klanten wijzigt, zal het vast iets zijn wat regelmatig voorkomt, en dus ook regelmatig uitgebuit, want als het slechts sporadisch voorkomt dan zou ik me als supportmedewerker bij zo'n aanvraag wel achter mijn oren krabben...

Het is alleen een echte hetze als het uit Hetzerath komt, anders is het gewoon sprankelende ophef.

dinsdag 29 augustus 2017 15:13

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Mx. Alba schreef op dinsdag 29 augustus 2017 @ 15:10:
Dat is toch wel een vrij serieus beveiligings-issue, ik begrijp niet dat ze daar zo laconiek over doen. Ik vraag me af hoe lang dit probleem al in hun proces zit? Een melding naar de autoriteiten lijkt me dus zeker wel op zijn plaats, want in principe is het zo dat wanneer een systeem een lek bevat, je er vrijwel zeker van kunt zijn dat dat lek al minimaal 1x uitgebuit is. En hoe langer het lek bestaan heeft, hoe vaker het uitgebuit zal zijn geweest. Als men op de support al klakkeloos emailadressen van klanten wijzigt, zal het vast iets zijn wat regelmatig voorkomt, en dus ook regelmatig uitgebuit, want als het slechts sporadisch voorkomt dan zou ik me als supportmedewerker bij zo'n aanvraag wel achter mijn oren krabben...

Zie mijn originele mail (naar de bank) hierboven (die heeft jouw post net gekruist, denk ik).

Er zijn wel meer issues daar, oa. een oude inlog die nog actief is - waardoor phishing / spoofing makkelijk wordt (je kan immers op meer 'interfaces' inloggen en dan valt het niet zo op als je een keer een totaal andere vormgeving voor je snufferd krijgt...).

dinsdag 29 augustus 2017 15:16

Acties:

+1 Henk 'm!

Stoelpoot

b2vjfvj75gjx7 schreef op dinsdag 29 augustus 2017 @ 15:10:
[...]

- letterlijke mail -

[...]

Misschien een idee die mail tussen member-only tags te zetten om het iets lastiger te maken om te lezen. Dankzij de URL's zal de bank gemakkelijk te identificeren zijn.

dinsdag 29 augustus 2017 15:17

Acties:

0 Henk 'm!

Zeror

Ik Henk 'm!

b2vjfvj75gjx7 schreef op dinsdag 29 augustus 2017 @ 12:24:
[...]

Enig punt is dat de betreffende bank (deels) in een transitie zit (overname, overgang, etc...).

Die transitie is +/- over 2 weken afgerond.

In twee weken tijd kan een kwaadwillende heel veel bereiken. Lijkt mij dus goede zaak om dit aan het licht te brengen zodat het probleem een grotere prioriteit krijgt en dus eerder opgelost wordt.

Misschien kan Tweakers hier een nieuwsartikel aan wijden??

Trans-life! :::: Nintendo ID: Zeror_rk / SW-6670-3316-6323 :::: BattleTag: Zeror#2996 :: Twitch: Z3ROR

dinsdag 29 augustus 2017 15:21

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

O ja, ik had ook zo'n bank-issue bij KNAB (ik weet mijn banken wel uit te zoeken...) maar dat is niet de bank waar het hier over gaat.

KNAB bank laadt via https oa. extern-http in, issue?

KNAB heeft trouwens, uiteindelijk, alles netjes opgelost (totaal nieuwe site - die al in de maak was).

dinsdag 29 augustus 2017 15:53

Acties:

0 Henk 'm!

DJMaze

Nou dan zou ik als ik jou was even de netwerk tab van je browser bij deze "bank" open zetten

blueconic
typekit
tiqcdn
google-analytics
googletagservices

Maak je niet druk, dat doet de compressor maar

dinsdag 29 augustus 2017 16:58

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

DJMaze schreef op dinsdag 29 augustus 2017 @ 15:53:
Nou dan zou ik als ik jou was even de netwerk tab van je browser bij deze "bank" open zetten

blueconic
typekit
tiqcdn
google-analytics
googletagservices

Offtopic (want andere bank) maar die assets blokkeer ik al op router-niveau

dinsdag 29 augustus 2017 17:02

Acties:

0 Henk 'm!

Stoelpoot

Zeror schreef op dinsdag 29 augustus 2017 @ 15:17:
[...]

In twee weken tijd kan een kwaadwillende heel veel bereiken. Lijkt mij dus goede zaak om dit aan het licht te brengen zodat het probleem een grotere prioriteit krijgt en dus eerder opgelost wordt.

Misschien kan Tweakers hier een nieuwsartikel aan wijden??

Misschien niet, dan komt het wel erg onder de aandacht. Ik zie ook liever een melding aan instanties X, Y en Z die zonder publiciteit zo'n bank in de problemen kan krijgen.

dinsdag 29 augustus 2017 17:36

Acties:

0 Henk 'm!

kipppertje

Remcoww schreef op dinsdag 29 augustus 2017 @ 14:32:
[...]

Ben wel benieuwd in hoeverre dat een zaak van het NCSC is. Als hun doel is om de continuiteit van kritieke infrastructuur te waarborgen lijkt me dat dit lek hier niet aan voldoet? (Neemt niet weg dat dit echt heel slecht is)

Banken worden gezien als kritieke infrastructuur van Nederland, hetzelfde geldt voor bijvoorbeeld internet / mobiele netwerken, nutsbedrijven e.d. De scope van het NCSC is dus breder dan alleen overheid.

Maar het had ook zo gekunt

donderdag 31 augustus 2017 17:23

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Van de bank in kwestie (antwoord)...

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

donderdag 31 augustus 2017 18:35

Acties:

0 Henk 'm!

kipppertje

In feite is het op z'n best een degradatie van 2FA naar 1FA.
Aan de andere kant staat het ze vrij om een risico te accepteren, uiteindelijk zijn ze er zelf voor verantwoordelijk.

Maar het had ook zo gekunt

donderdag 31 augustus 2017 19:02

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

kipppertje schreef op donderdag 31 augustus 2017 @ 18:35:
In feite is het op z'n best een degradatie van 2FA naar 1FA.
Aan de andere kant staat het ze vrij om een risico te accepteren, uiteindelijk zijn ze er zelf voor verantwoordelijk.

Tot gister was het 0FA... je gaf gewoon anoniem door dat je wilde inloggen op account X met mailadres Y en je was binnen...

Nu moet je minimaal het wachtwoord van je mail-adres weten en beschikken over een mobiel waar een code naar toe gaat... begint er op te lijken.

donderdag 31 augustus 2017 19:06

Acties:

0 Henk 'm!

pacificocean

b2vjfvj75gjx7 schreef op donderdag 31 augustus 2017 @ 17:23:
Van de bank in kwestie (antwoord)...

***members only***

Je hoeft dus alleen maar iemands telefoon te 'lenen' om het email adres alsnog aan te passen. Ik ben wel benieuwd of ze voldaan hebben aan de meldplicht datalekken.
https://autoriteitpersoon...ing/meldplicht-datalekken
Anders zou je ook nog gewoon aangifte kunnen doen.

donderdag 31 augustus 2017 19:09

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

pacificocean schreef op donderdag 31 augustus 2017 @ 19:06:
[...]

Je hoeft dus alleen maar iemands telefoon te 'lenen' om het email adres alsnog aan te passen. Ik ben wel benieuwd of ze voldaan hebben aan de meldplicht datalekken.
https://autoriteitpersoon...ing/meldplicht-datalekken
Anders zou je ook nog gewoon aangifte kunnen doen.

Zoals ik het begrijp moet je eerst inloggen op het dashboard; daar kan je de mail aanpassen.

Dan moet je dus wel het wachtwoord weten, anders kan je niet inloggen...

Vervolgens krijg je een code op je mobiel en die geef je weer in, in het dashboard.

Dus je moet zowel wachtwoord, als mobiel hebben?

Maar ik zal het eens checken later, als ik het goed lees, staat het al online de nieuwe versie.

maandag 4 september 2017 18:15

Acties:

0 Henk 'm!

b2vjfvj75gjx7

Topicstarter

Lol... weer een fout ontdekt bij banknr. drie waar ik een rekening wil openen...

hi,

ik probeerde via jullie site een rekening te openen, maar dat ging niet helemaal goed

de browser crashede, validatie-vragen (die juist waren ingevuld) werden als foutief bestempeld, etc...

uiteindelijk kwam ik uit bij deze pagina;

http://www.xxxxxxxxx.nl:8...XX-XXX-XXX&language=nl-NL

het #id in de url-parameters heb ik veranderd, omdat dit kan terugleiden naar mijn initieele aanvraag

wat me echter opvalt, is dat het protocol niet encrypted is; http:// en niet https://

het document heb ik - uiteindelijk - weten te downloaden, maar het lijkt mij niet de bedoeling dat documenten met privacy-gevoelige data over een niet-encrypted verbinding worden verzonden?

groeten, deathgrunt

Bank heeft security-lek, doet er niets aan - wat nu? - Privacy en beveiliging - GoT

Bank heeft security-lek, doet er niets aan - wat nu?