ABNAMRO beveiligingprobleem? - Privacy en beveiliging

zaterdag 23 juni 2018 20:32

Acties:

0 Henk 'm!

Topicstarter

Ik vraag me af of ik mogelijk een veiligheidsprobleem bij abnamro.nl heb gevonden.

Op de een of andere manier gaan iDeal betalingen vaak mis bij mij, dit is echter niet waarom ik dit topic start en zoek dus geen helpdesk.

Als ik na de mislukte ideal transactie even later mijn rekening wil controleren, heb ik ineens toegang tot telebankieren zonder enige vorm van login, dus met 1 muisklik op mijn bookmark zit ik in mijn rekeningoverzicht. Ik was niet al eerder ingelogd want ik had het al dagen niet gebruikt.

Tijdens de mislukte iDeal transactie heb ik mijn pincode ingetoetst op de usb-aangesloten e.dentifyer2 en daarna liep het proces dood, kon ik nergens meer op klikken. Ideal heeft mij dus wel ingelogd, maar blijkbaar niet uitgelogd.

Mijn conclusie is dat ik dan tegelijk was ingelogd bij iDeal EN bij telebankieren, dat die twee dezelfde login deelden met een eenmalige authenticatie.

Voor mij was het erg onverwacht dat ik inlog bij een ideal transactie en dan ook toegang heb tot telebankieren. Ik dacht altijd dat dit twee gescheiden ingangen waren en beleefde dus best wel een "WTF" moment.

Mijn vraag is dus, is dit zo de bedoeling en is dit wel veilig?

offtopic: Wat betreft mislukte ideal betalingen, bij een volgende transactie ging het wel weer goed. Er zijn wel vaker storingen bij ABNAMRO en dat kan best de oorzaak zijn.

[ Voor 76% gewijzigd door Ploink op 25-06-2018 20:10 . Reden: Herschreven want startpost was onduidelijk. ]

zaterdag 23 juni 2018 22:02

Acties:

0 Henk 'm!

HollowGamer

Ik zie dat je niet ingelogd bent, dus dat zal geen beveiligingslek opleveren.

Waarom heb je hem aangesloten? Je kunt hem prima los gebruiken en/of via de phone inloggen.

zaterdag 23 juni 2018 23:55

Acties:

0 Henk 'm!

Ploink

Topicstarter

HollowGamer schreef op zaterdag 23 juni 2018 @ 22:02:
Ik zie dat je niet ingelogd bent, dus dat zal geen beveiligingslek opleveren.

Zonder inloggen zo naar binnen wandelen is geen beveiligingslek????

Waarom heb je hem aangesloten? Je kunt hem prima los gebruiken en/of via de phone inloggen.

Dat is offtopic.

Edit:
De OP was misschien wat verwarrend. Ik zal het even verduidelijken:

1) Een ideal transactie mislukt, ik kom niet verder dan het intoetsen van de pincode op de e.dentifier.
2) Tot mijn verbazing kan ik nu internet bankieren zonder in te loggen, deze link uit mijn bookmarks brengt mij direct in het rekeningoverzicht.

Mijn conclusie tot zover, zowel ideal als internet bankieren delen dezelfde login. Doordat de ideal transactie mislukte ben ik daar niet uitgelogd en heb ik nog steeds toegang tot internet bankieren.

Ik weet niet goed wat ik hier van moet denken...

[ Voor 45% gewijzigd door Ploink op 24-06-2018 01:47 ]

zondag 24 juni 2018 10:33

Acties:

+2 Henk 'm!

HollowGamer

Ploink schreef op zaterdag 23 juni 2018 @ 23:55:
[...]

Zonder inloggen zo naar binnen wandelen is geen beveiligingslek????

[...]

Dat is offtopic.

Edit:
De OP was misschien wat verwarrend. Ik zal het even verduidelijken:

1) Een ideal transactie mislukt, ik kom niet verder dan het intoetsen van de pincode op de e.dentifier.
2) Tot mijn verbazing kan ik nu internet bankieren zonder in te loggen, deze link uit mijn bookmarks brengt mij direct in het rekeningoverzicht.

Mijn conclusie tot zover, zowel ideal als internet bankieren delen dezelfde login. Doordat de ideal transactie mislukte ben ik daar niet uitgelogd en heb ik nog steeds toegang tot internet bankieren.

Ik weet niet goed wat ik hier van moet denken...

Misschien moet je dit eens lezen: https://www.abnamro.nl/nl...werkt-een-edentifier.html

"En als u de e.dentifier2 met de USB-kabel koppelt aan uw pc hoeft u geen invoer- en responsecodes in te typen." Je was dus waarschijnlijk al eens een keer ingelogd. Mocht je nog verder info nodig hebben dan kun je het beste naar ABN gaan voor support.

Wat ook fijn is als mensen reageren op je post, ze dan met enig respect worden beantwoord en niet met ????

[ Voor 5% gewijzigd door HollowGamer op 24-06-2018 10:36 ]

maandag 25 juni 2018 08:44

Acties:

0 Henk 'm!

Ploink

Topicstarter

HollowGamer schreef op zondag 24 juni 2018 @ 10:33:
[...]

Misschien moet je dit eens lezen: https://www.abnamro.nl/nl...werkt-een-edentifier.html

"En als u de e.dentifier2 met de USB-kabel koppelt aan uw pc hoeft u geen invoer- en responsecodes in te typen." Je was dus waarschijnlijk al eens een keer ingelogd. Mocht je nog verder info nodig hebben dan kun je het beste naar ABN gaan voor support.

Wat ook fijn is als mensen reageren op je post, ze dan met enig respect worden beantwoord en niet met ????

De vraagtekens drukken verbazing uit omdat jij mijn post niet goed leest en/of niet serieus neemt en alleen helpdesk/pebkac achtige antwoorden geeft en van een mede-tweaker komt dat erg respectloos op mij over. Misschien heeft mijn verwarrende startpost je op het verkeerde been gezet. Vriendelijk verzoek dus om mijn post een beetje meer serieus te nemen.

Ik weet hoe de edentifier werkt. Ik telebankier al 20 jaar vanaf het moment dat dit mogelijk was met een modem. Zie ook Ploink's blog: [oplossing] ABNAMRO e.dentifier2 werkt niet met USB kabel.

Je was dus waarschijnlijk al eens een keer ingelogd.

Nee ik was al dagen niet ingelogd ingelogd bij telebankieren, had het al een tijd niet gebruikt.

De enige "login" was bij de eerdere mislukte ideal transactie om een factuur te betalen via de website van een verzekeringsmaatschappij. Is het normaal dat dit toegang geeft tot telebankieren?

maandag 25 juni 2018 17:31

Acties:

0 Henk 'm!

Rolfie

Ploink schreef op maandag 25 juni 2018 @ 08:44:
De vraagtekens drukken verbazing uit omdat jij mijn post niet goed leest en/of niet serieus neemt en alleen helpdesk/pebkac achtige antwoorden geeft en van een mede-tweaker komt dat erg respectloos op mij over. Misschien heeft mijn verwarrende startpost je op het verkeerde been gezet. Vriendelijk verzoek dus om mijn post een beetje meer serieus te nemen.

Misschien domme vraag... Maar heb je al eens de helpdesk gebeld van de ABNAMRO?
Heb je toevallig je e.dentifier al eens op een andere computer geprobeerd?

maandag 25 juni 2018 20:12

Acties:

0 Henk 'm!

Ploink

Topicstarter

Rolfie schreef op maandag 25 juni 2018 @ 17:31:
[...]

Misschien domme vraag... Maar heb je al eens de helpdesk gebeld van de ABNAMRO?
Heb je toevallig je e.dentifier al eens op een andere computer geprobeerd?

Ik heb mijn startpost maar helemaal herschreven, misschien is het nu duidelijk.

maandag 25 juni 2018 20:17

Acties:

+1 Henk 'm!

Broken

Ja, maar heb je al contact gehad met ABN?

Zij weten de werking exact en kunnen goed bepalen of dit een probleem is. (Dan wel lokaal op de pc of serieus serverprobleem).

Je zult op dit forum geen uitsluitsel krijgen of dit een probleem is.

[ Voor 18% gewijzigd door Broken op 25-06-2018 20:19 ]

01101000 01100101 01101100 01110000

maandag 25 juni 2018 20:28

Acties:

0 Henk 'm!

Ploink

Topicstarter

Vaak kom je bij grote bedrijven erg moeilijk door de muur van helpdesk medewerkers die een standaard protocol van hun scherm volgen. Ik was gewoon benieuwd naar de meningen hier, maar ik zal het morgen eens proberen. Ook zal ik nog eens wat testen als ik kattenvoer ga bestellen.

[ Voor 85% gewijzigd door Ploink op 25-06-2018 20:37 ]

maandag 25 juni 2018 20:46

Acties:

+1 Henk 'm!

Broken

Nee, op dit moment niet. Dat komt omdat jij de vraag blijft negeren, zonder input van ABN is het gissen naar de oorzaak.

//Edit
Ik zie nu dat je post hebt aangepast, maar je doet er goed aan om contact op te nemen.
Potentiële security problemen worden over het algemeen serieus genomen.

[ Voor 41% gewijzigd door Broken op 25-06-2018 20:48 ]

01101000 01100101 01101100 01110000

maandag 25 juni 2018 22:11

Acties:

+3 Henk 'm!

laurens0619

Je logt helemaal niet in op het domein van ideal maar op het domein van abnamro.nl, ideal redirect je naar de site/app van je bank.

Aangezien je dan inlogd op het domein abnamro.nl en het process niet afrond wordt je inderdaad niet uitgelogd.

Er worden dus geen codes gedeeld oid

CISSP! Drop your encryption keys!

maandag 25 juni 2018 23:13

Acties:

0 Henk 'm!

hcQd

Maar ingelogd zijn zonder dat je het door hebt is natuurlijk wel een probleem, bijvoorbeeld als je een publieke computer gebruikt.

dinsdag 26 juni 2018 05:34

Acties:

0 Henk 'm!

jan99999

Ik heb dit ook gehad.
Ingelogd bij de abn, toen reset van de pc(storing pc),
pc boot up, toen naar bank, en ik was direct weer ingelogd.

dinsdag 26 juni 2018 06:38

Acties:

+2 Henk 'm!

Verwijderd

hcQd schreef op maandag 25 juni 2018 @ 23:13:
Maar ingelogd zijn zonder dat je het door hebt is natuurlijk wel een probleem, bijvoorbeeld als je een publieke computer gebruikt.

Je gaat dan ook niet internetbankieren op een publieke computer. Ik niet in ieder geval.

donderdag 5 juli 2018 10:08

Acties:

+1 Henk 'm!

Frogmen

Volgens mij vertel je hier niet het hele verhaal, je hebt de identifier met pas dus aangesloten als het gebeurt. Wat zouden de normale handelingen moeten zijn en wat is afwijkend. Wel zo makkelijk voor iedereen die nooit de identifier aansluit. Verder wordt de optie met usb kabel en software alleen nog gebruikt voor zakelijke gebruikers. Samen met je hack voor het gebruik vraag ik mij serieus af wie hier nu het risico veroorzaakt.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

donderdag 5 juli 2018 16:24

Acties:

0 Henk 'm!

Ploink

Topicstarter

Ik heb nog eens een test gedaan met een normale succesvolle iDeal transactie.
Na de login met de identifier, voordat ik de ideal transactie bevestigde, opende ik een tweede tab in mijn browser en had daar direct toegang tot mijn rekeningoverzicht en alle functies van het telebankieren. Nadat ik in de eerste tab de ideal transactie bevestigde werd ik ook uitgelogd bij het rekeningoverzicht.

Ik vermoed dat dit onafhankelijk is van het wel of niet gebruiken van de USB kabel, maar ik heb het nog niet zonder getest.

@laurens0619 Ik begrijp helemaal wat je bedoelt, maar als gebruiker verwacht je gewoon niet dat als je specifiek inlogt voor een iDeal transactie, dit ook toegang geeft tot de rest van het internet bankieren, ook al weet ik dat het allebei via abnamro.nl gaat.

Uit veiligheidsoverwegingen zou ik verwachten dat de login voor een ideal transactie je op dat moment niet meer rechten geeft dan strict noodzakelijk om de transactie af te ronden. Dit is IMHO de basis van een goed security beleid, nooit meer rechten verlenen dan noodzakelijk.

Hoe dan ook, mijn conclusie is dat dit zo werkt "by design" en daar laat ik het bij.

Frogmen schreef op donderdag 5 juli 2018 @ 10:08:
Verder wordt de optie met usb kabel en software alleen nog gebruikt voor zakelijke gebruikers.

Wist ik nog niet. Toen ik hem kreeg werden particuliere klanten juist gestimuleerd om de USB kabel te gebruiken. Ik vermoed dat dit beleid veranderd is omdat zoveel klanten er problemen mee hebben en ABNAMRO niet in staat is geweest om dit op te lossen.

donderdag 5 juli 2018 17:12

Acties:

0 Henk 'm!

laurens0619

-nvm-

[ Voor 118% gewijzigd door laurens0619 op 05-07-2018 17:40 ]

CISSP! Drop your encryption keys!