Rabo app deelt gebruikersdata met externe partijen

donderdag 6 augustus 2020 19:26

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag;
Zijn er meerdere tweakers die last hebben niet in te kunnen loggen met de rabo bankieren app, die gebruik maken van een adblocker?

Na een update van de Rabo app enkele weken geleden kreeg ik na het inloggen een wit scherm binnen de app. Al snel bleek dat een adblocker de oorzaak was, want na het uitschakelen werkte de app weer.
Ik was toch nieuwsgierig waarom een bankierapp met een advertentienetwerk contact moet maken om in te kunnen loggen.
Uiteindelijk bleek dat google Analytics de veroorzaker was van het witte scherm.

Na contact te hebben gehad met de bank adviseerde ze om tracking in de google privacy opties uit te zetten en analytics the whitelisten.
Ook gaf de bank aan dat meerdere gebruikers met een Huawei toestel hier ook last van hadden.

Is dit bij andere bank apps ook zo?

Relevante software en hardware die ik gebruik
onder android 10 met aangepast hosts bestand
Rabo app 7.4.3.
Xiaomi mi 9 se

Hieronder de andere verzoeken van de app.

Afbeeldingslocatie: https://i.ibb.co/j8nkD6p/Screenshot-2020-08-04-00-23-58-618-org-adaway.jpg

Ik las dat iemand google Analytics door had verwezen naar een andere IP maar dat is me nog niet gelukt.

Alvast bedankt

donderdag 6 augustus 2020 21:20

Acties:

+1 Henk 'm!

kodak

FP ProMod

Heb je ook contact gehad met de verantwoordelijke voor privacy bij die bank? Ik verwacht dat die er waarschijnlijk een andere mening over kan hebben dat jij je gedrag met een derde partij (waar jij niets mee te maken hebt) moet delen om te kunnen bankieren. En anders hebben de toezichthouders dat waarschijnlijk wel. De regels die bekend staan als de cookie wet beperken zich niet alleen tot cookies en ook niet alleen tot website.

[ Voor 15% gewijzigd door kodak op 06-08-2020 21:26 ]

donderdag 6 augustus 2020 21:26

Acties:

+2 Henk 'm!

Rukapul

kodak schreef op donderdag 6 augustus 2020 @ 21:20:
Heb je ook contact gehad met de verantwoordelijke voor privacy bij die bank? Ik verwacht dat die er waarschijnlijk een andere mening over kan hebben dat jij je gedrag met een derde partij waar jij niets mee te maken hebt moet delen om te kunnen bankieren. En anders hebben de toezichthouders dat waarschijnlijk wel.

specifiek: de functionaris gegevensbescherming
oftewel volgens https://www.rabobank.nl/particulieren/privacy : dpo@rabobank.nl

Bijzonder dat er bij zo'n onderneming geen fatsoenlijk beleid is voor apps en websites als blijkbaar zelfs de meest evidente tracking meuk nog niet op de zwarte lijst staat.

vrijdag 7 augustus 2020 10:23

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Sommige banken doen het zelfs op de website. (Rabo, Triodos lijken op het eerste gezicht 'schoon' maar bijv. KNAB doet aan dergelijke meuk, die laadt de googletagmanager. ABN, ASN, Binck en SNS laden Adobe marketingmeuk, ING go-mpulse.net. Etc.

Maar dat de hele app niet eens werkt bj blokkeren is wel heel bizar. Of bewust blockers tegengaan, of prutswerk bij zowel devvers (of hun chef

) als testers. Dat tweede lijkt me voor een bank-app nog erger dan het eerste.

Hier geen probleem met de Rabo-app icm via DNS geblokkeerde trackers, maar ik heb het alleen op iOS devices in gebruik.

Maar inderdaad, ik zou zowel klagen als (in een los verzoek) expliciet vragen welke derde partijen welke informatie kregen door gebruik van de app.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 7 augustus 2020 10:39

Acties:

0 Henk 'm!

hp-got

Moi

Een beetje off-topic, maar dit soort gedoe is voor mij reden om vooral geen apps op mijn telefoon te gebruiken als het ook via mijn PC / tablet en webbrowser kan.

Ik zie bij ASN bijvoorbeeld ook Adobe assets marketing zooi laden, maar in FireFox heeft ASN bij mij een eigen container, dus ze doen hun best maar

Als data het nieuwe goud is dan is je telefoon een goudmijn. | Mijn RIPE Atlas probe

vrijdag 11 september 2020 20:54

Acties:

+3 Henk 'm!

sjaa

Topicstarter

Nu ondertussen meer dan een maand verder en nog steeds geen steek verder, vind het echt ongehoord.
De dpo afdeling heeft niets laten weten en de bank zelf adviseerd om contact op te nemen met mijn hosts file.

Ook internetbankieren via de browser deelt data met derde.

Diep triest de Rabobank..

vrijdag 11 september 2020 21:13

Acties:

0 Henk 'm!

Bastien

Ik gebruik Blokada met de Rabo app (7.5.1) en ervaar geen problemen. Volgens de log wordt Google analytics geblokkeerd en alles werkt gewoon.

Android 10 op een Honor 9x. Gebruik als dns die van VF maar met een andere via blokada gaat het ook wel goed.

Zolang er mensen zijn zal de wereld nooit duurzaam worden.
Zijn er wel genoeg kliffen op de wereld waar 8 miljard mensen zich als lemmingen vanaf kunnen storten?

vrijdag 11 september 2020 21:21

Acties:

0 Henk 'm!

sig69

Via pihole ook geen enkel probleem, en Google analytics wordt zeker weten geblokkeerd. Dus ik vind je conclusie vooralsnog een beetje voorbarig. Dat bankier apps Google analytics gebruiken hoeft niet direct een probleem te zijn, hangt er vanaf wat ze die kant op sturen. Maar als een app niet functioneert zonder is dat zeker slecht natuurlijk. Maar dat ervaar ik hier niet.

[ Voor 69% gewijzigd door sig69 op 11-09-2020 21:27 ]

Roomba E5 te koop

vrijdag 11 september 2020 21:48

Acties:

0 Henk 'm!

sjaa

Topicstarter

Oh zie nu dat het, sinds vanmiddag ook hier weer werkt...
Maar nog steeds gaan er gegevens naar derde

vrijdag 11 september 2020 21:57

Acties:

+1 Henk 'm!

sig69

Ok, wat is er veranderd dan? Want ik heb echt al jaren pihole draaien en nog nooit problemen gehad. Lijkt me echt meer een probleem wat zich specifiek op jouw telefoon afspeelt. Ook @Bastien heeft nergens last van, en er is verder niets over te vinden.

Roomba E5 te koop

vrijdag 11 september 2020 22:28

Acties:

0 Henk 'm!

sjaa

Topicstarter

Heb echt geen idee wat er veranderd is. Als ik in adaway voor android keek kon ik zien wat voor dns verzoeken er gedaan werden.
Als ik de laad techniek van de app bekijk leek het me te maken te hebben met de qr scanner code knop, misschien dat die per toestel anders werkt?
Ik had vanmorgen nogmaals contact gehad met dd bank en toen gingen ze proberen het bij de goede afdeling neer te leggen en het lijkt te zijn gelukt!

Mocht ik nog horen wat het probleem was dan zal ik een update geven

Edit: te voorspoedig, werkt nu weer niet

[ Voor 32% gewijzigd door sjaa op 11-09-2020 22:53 ]

dinsdag 22 september 2020 09:31

Acties:

0 Henk 'm!

Frogmen

Bedenk wel dat het volledig geannonimiseerde data kan zijn wat gewoon mag. Dit wordt bijvoorbeeld gedaan om de website zo optimaal mogelijk te laten werken. Je kan altijd wel van het slechtste uitgaan. Aan de andere kant waarom moet het met Google gedeeld worden terwijl er ook alternatieven (zoals Matomo) zijn die in huis kunnen draaien.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 22 september 2020 13:35

Acties:

0 Henk 'm!

Miepermans

BIEM!

kodak schreef op donderdag 6 augustus 2020 @ 21:20:
(waar jij niets mee te maken hebt) moet delen om te kunnen bankieren.

Ik denk dat ik zelf gewoon mag bepalen of ik toesta dat er bepaalde resources ingeladen worden vanaf 4rd party leveranciers. Het is wel zo dat hier in het privacystatement van de bank (Rabobank in deze) een melding moet staan met wie zij gegevens delen. (voor bijvoorbeeld analytics). Maar ze hebben er dan ook totaal niets over te vinden dat ik besluit om dergelijke cookies te blokkeren.

Dat vervolgens de app niet naar behoren werkt, is dan echter ook niet hun probleem. Maar, ik mag te alle tijden zelf bepalen of ik bepaalde trackers, analytics of cookies weiger. Dat is niet aan de leverancier.

woensdag 23 september 2020 00:19

Acties:

+1 Henk 'm!

kodak

FP ProMod

@Miepermans natuurlijk mag je als klant bepalen of je bepaalde resources wil laden. Dat trek ik niet in twijfel. Ik betwijfel of een bank, die door zijn klanten betaald krijgt om in vertrouwen financiële transacties te verwerken, dit soort tracking kan verplichten of dat anders de dienst het niet doet. Als klant heb je een relatie met de bank en niet met een trackingbedrijf. Zelfs als de bank iets in haar voorwaarden opneemt dat ze dit willen doen wil dat nog niet zeggen dat je er dus maar genoegen mee moet nemen dat anders de dienst niet werkt. Een trackingbedrijf heeft immers niets met je transactie en je relatie met de bank te maken.

Wat er lijkt te ontbreken is duidelijke uitleg van de bank dat die tracking geen inbreuk maakt op de klanten. Vergeet niet dat een relatie die je met een financiële dienstverlener hebt niet hetzelfde is als met een willekeurig ander bedrijf. Juist omdat je als klant zo afhankelijk van banken bent voor je financiën hoort dat aan extra regels te voldoen zodat je je geen zorgen hoeft te maken dat andere bedrijven of personen zomaar even inzage hebben bij welke bank je client bent, waar en wanneer je financiële transacties doet of met wie en welke bedragen. De afdeling marketing, relatiemanagement of IT van een bank kan dus wel leuk willen dat er een tracker is maar hoe zorgt een stukje extra tekst in hun de voorwaarden er nu voor dat jij ongestoord kan bankieren als je die trackers zou accepteren? En waarom zijn die nodig om te kunnen bankieren terwijl het niets direct toevoegt aan het afhandelen van je financiën waar je voor betaald?

maandag 19 oktober 2020 10:14

Acties:

0 Henk 'm!

sjaa

Topicstarter

Nog even een korte update;
De app is inmiddels geüpdate naar versie 7.6.0.
Bij deze update zijn nog meer trackers geïntroduceerd. Ook werkt de app nog steeds niet na het blokkeren hiervan.

Inmiddels 3 maanden verder en het resultaat is dat het erger is geworden. Ook nog steeds niemand die kan vertellen wat er nou gedeeld wordt.

maandag 19 oktober 2020 10:34

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

F_J_K schreef op vrijdag 7 augustus 2020 @ 10:23:
Maar inderdaad, ik zou zowel klagen als (in een los verzoek) expliciet vragen welke derde partijen welke informatie kregen door gebruik van de app.

Had je dat al gedaan? Dus niet de algemene servicedesk. Als de FG / DPO geen antwoord geeft na een redelijke periode (maand) dan is de volgende stap een klacht indienen bij https://autoriteitpersoon...n/klacht-melden-bij-de-ap (als in NL).

Al zie ik geen directe link naar de DPO, adresseer die via anders maar via https://www.rabobank.nl/klacht

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 19 oktober 2020 10:53

Acties:

0 Henk 'm!

sjaa

Topicstarter

De DPO afdeling had na twee maanden(!) antwoord gegeven.

Deze ging mee met de normale afdeling dat er waarschijnlijk geen persoonsgegevens gedeeld worden, en dat ik de google opt-out plugin moet installeren. (Heb echt geen idee hoe dat nou in zijn werk gaat onder android).
Ik zal nog twee weken wachten op reactie, dan zal ik het proberen bij autoriteit persoonsgegevens.

Liever heb ik dat ze de app gewoon fatsoenlijk bruikbaar maken zonder gegevens te delen..
Dat kan toch nooit zo moeilijk zijn?

maandag 19 oktober 2020 12:46

Acties:

0 Henk 'm!

Itrme

@sjaa Vragen ze je nou om een browser plugin (Dat is het enige wat ik erover terug vind) te installeren voor een app? En als je die installeer, wat voor invloed zou dat kunnen hebben op de bank app? Als het goed is niets namelijk?

Misschien dat ze in de war raken bij de bank omdat ze "addblocker" horen en van een browser uit gaan? Terwijl je adblocker eerder iets is zoals Blokada?

P.s. corrigeer me als ik er naast zit.

maandag 19 oktober 2020 12:59

Acties:

0 Henk 'm!

Webgnome

Ik begrijp niet zo goed waarom dat de app bij jou niet werkt maar bij andere mensen die addblockers of pihole etc draaien heen enkel probleem oplevert?

Heb net een testje gedaan met de Rabobank app en het enige dat ik zie is dat er veel requests naar split.io willen gaan. Die worden natuurlijk geblokkeerd. Dat dat niet netjes is ben ik met je eens. Maar zou het kunnen dat jou telefoon dingen doet die niet mogen en dat het dus de combinatie is? Kun je op een andere telefoon (ander merk) bekijken hoe het daar werkt. Heb je hetzelfde gedrag dan weet je zeker dat het niet de telefoon/app combi is.

Strava | AP | IP | AW

maandag 19 oktober 2020 13:05

Acties:

0 Henk 'm!

sjaa

Topicstarter

Webgnome schreef op maandag 19 oktober 2020 @ 12:59:
Ik begrijp niet zo goed waarom dat de app bij jou niet werkt maar bij andere mensen die addblockers of pihole etc draaien heen enkel probleem oplevert?

Heb net een testje gedaan met de Rabobank app en het enige dat ik zie is dat er veel requests naar split.io willen gaan. Die worden natuurlijk geblokkeerd. Dat dat niet netjes is ben ik met je eens. Maar zou het kunnen dat jou telefoon dingen doet die niet mogen en dat het dus de combinatie is? Kun je op een andere telefoon (ander merk) bekijken hoe het daar werkt. Heb je hetzelfde gedrag dan weet je zeker dat het niet de telefoon/app combi is.

Daar begin ik ook over te twijfelen. Heb je google analytics ook geblokkeerd? Deze geeft het probleem dat je niet kan inloggen.

Ik ga proberen een andere telefoon te vinden om te kijken of het kan reproduceren.

Het lijkt me niet dat xiaomi die trackers toevoegd. Mag ik hopen althans..

maandag 19 oktober 2020 13:10

Acties:

0 Henk 'm!

Webgnome

@sjaa ik zag geen verkeer naar google analytics voorbij komen in mijn test van daarnet. Maar die is natuurlijk geblokkeerd.

Strava | AP | IP | AW

maandag 19 oktober 2020 23:29

Acties:

+5 Henk 'm!

sjaa

Topicstarter

Hallo, na weer wat uurtjes testen heb ik het eindelijk gevonden.
Ik had op mijn telefoon een lokale webserver draaien die luistert naar aanvragen van geblokkeerde hosts. waardoor de Rabobank app niet doorlaad. Mijn excuses dat ik het niet eerder gezien had.

De app werkt nu eindelijk maar voor alle gebruikers zonder adblocker deelt deze nu dus gewoon gegevens met meerdere partijen.

Voor degene die niks met derde willen delen via de rabobank app raad ik aan de volgende trackers toe te voegen aan de blacklist:

firebaseremoteconfig.googleapis.com
auth.split.io
streaming.split.io
log.rabobank.nl
app-measurement.com
firebase-settings.crashlytics.com
ssl.google-analytics.com
www.google-analytics.com
tags.tiqcdn.com
w.usabilla.com
events.split.io
sdk.split.io

[ Voor 33% gewijzigd door sjaa op 20-10-2020 12:38 ]

vrijdag 27 november 2020 13:42

Acties:

0 Henk 'm!

TheDweep

Heb hier sinds een paar weken ook last van en ik ervaar het volgende:

Bij gebruik van Pi-hole werkt de rabobank-app prima en dat terwijl Pi-hole alle trackers van de app tegenhoudt.
Bij gebruik van Adaway (ook op 4G) dan werkt de app niet. Adaway uitzetten, telefoon herstarten en de app werkt weer.

[ Voor 14% gewijzigd door TheDweep op 27-11-2020 13:44 ]

vrijdag 27 november 2020 14:06

Acties:

0 Henk 'm!

Webgnome

Blokkeert die adaway app niet het gebruik van bepaalde frameworks?

Strava | AP | IP | AW

vrijdag 27 november 2020 21:47

Acties:

+2 Henk 'm!

sjaa

Topicstarter

TheDweep schreef op vrijdag 27 november 2020 @ 13:42:
Heb hier sinds een paar weken ook last van en ik ervaar het volgende:

Bij gebruik van Pi-hole werkt de rabobank-app prima en dat terwijl Pi-hole alle trackers van de app tegenhoudt.
Bij gebruik van Adaway (ook op 4G) dan werkt de app niet. Adaway uitzetten, telefoon herstarten en de app werkt weer.

Zorg ervoor dat je in de adaway instellingen ipv6 hebt ingeschakeld en onder root instellingen binnen de app staat nog een optie voor webserver die ook uit dient te staan.

De bank en de DPO gaan niet serieus in op de privacy schendingen, en blijven doorverwijzen naar de cookie pagina die alleen betrekking heeft op het internetbankieren binnen een browser.

Ik heb het inmiddels opgegeven. Triest hoe hiermee word omgegaan.

Edit:
Toch weer even uit nieuwsgierigheid cookiestatement en privacy statement doorgebladerd.
Het cookie statement is opsich redelijk kort en duidelijk, maar gaat totaal niet over dit probleem,
het privacy statement is onlangs geüpdatet heb ik het idee,(edit2: ja is van 18-9-2020, precies de week waarin ze nog meer tracker zooi toegevoegd hadden, en waar ik contact had gehad.)
maar hierin staan bijzondere dingen:

onder het kopje "Gegevens die we met andere partijen delen" bijvoorbeeld:
Andere partijen (zoals marketingbureaus)
die namens ons gegevens verwerken omdat we hen inschakelen bij onze dienstverlening

Dit is wel een erg breed begrip lijkt me, en een stukje verder wat me meer zorgen baart:
6. Waarvoor gebruiken we jouw persoonsgegevens en met welk doel?

e. Voor relatiebeheer, promotie- en marketingdoeleinden
We verwerken jouw persoonsgegevens voor relatiebeheer, promotie en marketing.
Hierbij maken we gebruik van gegevens die we rechtstreeks van jou hebben gekregen
zoals je saldogegevens of gegevens die we indirect via cookies ontvangen zoals jouw
klikgedrag op onze website. Maar ook van gegevens die niet rechtstreeks van jou zijn
verkregen, zoals openbare registers (denk aan het KvK), openbare bronnen (denk aan
het internet) en andere partijen (zoals databrokers).

Met andere woorden, de kans bestaat dat we je saldogegevens en eigenlijk alle andere gegevens met derde delen. Binnen de app is er dus geen mogelijkheid om dit uit te zetten of überhaupt te accepteren.

Ik zou graag willen denken dat dit niet gebeurd, maar het lijkt er wel op.

[ Voor 48% gewijzigd door sjaa op 27-11-2020 22:33 ]

zaterdag 28 november 2020 05:21

Acties:

0 Henk 'm!

Webgnome

sjaa schreef op vrijdag 27 november 2020 @ 21:47:
[...]

Zorg ervoor dat je in de adaway instellingen ipv6 hebt ingeschakeld en onder root instellingen binnen de app staat nog een optie voor webserver die ook uit dient te staan.

De bank en de DPO gaan niet serieus in op de privacy schendingen, en blijven doorverwijzen naar de cookie pagina die alleen betrekking heeft op het internetbankieren binnen een browser.

Ik heb het inmiddels opgegeven. Triest hoe hiermee word omgegaan.

Edit:
Toch weer even uit nieuwsgierigheid cookiestatement en privacy statement doorgebladerd.
Het cookie statement is opsich redelijk kort en duidelijk, maar gaat totaal niet over dit probleem,
het privacy statement is onlangs geüpdatet heb ik het idee,(edit2: ja is van 18-9-2020, precies de week waarin ze nog meer tracker zooi toegevoegd hadden, en waar ik contact had gehad.)
maar hierin staan bijzondere dingen:

onder het kopje "Gegevens die we met andere partijen delen" bijvoorbeeld:
Andere partijen (zoals marketingbureaus)
die namens ons gegevens verwerken omdat we hen inschakelen bij onze dienstverlening

Dit is wel een erg breed begrip lijkt me, en een stukje verder wat me meer zorgen baart:
6. Waarvoor gebruiken we jouw persoonsgegevens en met welk doel?

e. Voor relatiebeheer, promotie- en marketingdoeleinden
We verwerken jouw persoonsgegevens voor relatiebeheer, promotie en marketing.
Hierbij maken we gebruik van gegevens die we rechtstreeks van jou hebben gekregen
zoals je saldogegevens of gegevens die we indirect via cookies ontvangen zoals jouw
klikgedrag op onze website. Maar ook van gegevens die niet rechtstreeks van jou zijn
verkregen, zoals openbare registers (denk aan het KvK), openbare bronnen (denk aan
het internet) en andere partijen (zoals databrokers).

Met andere woorden, de kans bestaat dat we je saldogegevens en eigenlijk alle andere gegevens met derde delen. Binnen de app is er dus geen mogelijkheid om dit uit te zetten of überhaupt te accepteren.

Ik zou graag willen denken dat dit niet gebeurd, maar het lijkt er wel op.

Staat dit we echt? Of concludeer je dat? Want volgens mij kun je die conclusie niet trekken. Ze zeggen nergens dat ze jou gegevens delen met andere. Ze halen gegevens op en combineren ze..

Strava | AP | IP | AW

dinsdag 1 december 2020 09:13

Acties:

0 Henk 'm!

TheDweep

Webgnome schreef op vrijdag 27 november 2020 @ 14:06:
Blokkeert die adaway app niet het gebruik van bepaalde frameworks?

Niet dat ik weet. Met de aangepaste instellingen die sjaa (dank je wel) aangaf, werkt de app weer en dus zonder het whitelisten van split.io bijvoorbeeld.

[ Voor 11% gewijzigd door TheDweep op 01-12-2020 09:17 ]

donderdag 3 december 2020 21:50

Acties:

0 Henk 'm!

flapstaart

Onlangs de toestellen van mij en mijn vrouw vervangen, bleek daarna de QR scanner in de Rabo app niet te werken. Pas toen ik de app een keer gebruikt had buiten mijn netwerk (voorzien van Pi-hole) begon de QR scanner te functioneren... Toch triest dat dit soort basisfunctionaliteit stuk gaat als je voor je privacy vecht.

zaterdag 2 januari 2021 18:10

Acties:

0 Henk 'm!

KdeH

Ik heb een samsung s7 edge met adaway geïnstalleerd en mijn Rabo app werkt ook niet meer krijg net zoals TS een wit scherm

zaterdag 2 januari 2021 20:02

Acties:

+2 Henk 'm!

sjaa

Topicstarter

KdeH schreef op zaterdag 2 januari 2021 @ 18:10:
Ik heb een samsung s7 edge met adaway geïnstalleerd en mijn Rabo app werkt ook niet meer krijg net zoals TS een wit scherm

sjaa schreef op vrijdag 27 november 2020 @ 21:47:
[...]

Zorg ervoor dat je in de adaway instellingen ipv6 hebt ingeschakeld en onder root instellingen binnen de app staat nog een optie voor webserver die ook uit dient te staan.

Reactie van de bank;

Beste heer/mevrouw,

Het klopt dat wij op dit moment geen toestemming vragen om data te delen met derden in onze app. We zijn op dit moment bezig met een proef om ook in de app een cookiebanner te plaatsen. De eerste 5000 gebruikers gaan deze binnenkort inzichtelijk krijgen in de app. We zijn het met u eens dat ook in de app dit een bewuste keuze zou moeten zijn.

Voor marketing doeleinden delen we op dit moment geen app-data met derden. Alleen data vanuit het anonieme gedeelte van de website wordt gedeeld met derden voor Marketing doeleinden. Om wat meer duidelijkheid te geven zal ik de lijst die u noemt uitleggen.

firebaseremoteconfig.googleapis.com & firebase-settings.crashlytics.com
Firebase gebruiken we op dit moment enkel om betalingen met de wallet te bevestigen. Hier wordt dus geen persoonlijke data gedeeld, enkel een connectie bevestigd. Het gebruik van Firebase zal overigens wijzigen als we migreren naar de nieuwe Google Analytics omgeving, maar hier zullen we ook de informatievoorziening op aanpassen en waar nodig de inzet achter de cookie toestemming plaatsen.

auth.split.io, streaming.split.io, events.split.io & sdk.split.io
Split.IO gebruiken we voor het gecontroleerd live brengen van nieuwe features op een gecontroleerde manier en voor AB-testen. Deze tool is nieuw en hierbij is verzuimd om deze cookies aan het cookiestatement toe te voegen. Ik heb het team dat SplitIO heeft geïmplementeerd gevraagd dit alsnog aan te leveren.
Met deze cookies worden echter geen persoonlijk herleidbare gegevens gedeeld en de data is nodig voor een werkende app. Dus dit mag zonder toestemming van de gebruiker, of met een minimale toestemming. Dit wordt dus ook niet bij ieder gebruik gedaan, enkel als je onderdeel uitmaakt van een A/B test of een pilotgroep.

app-measurement.com, ssl.google-analytics.com & Www.google-analytics.com
Dit zijn de cookies voor onze analytics oplossing. Data die we delen met Google ten behoeve van analytics, hier zit zeker GEEN saldo informatie en dergelijke in. Enkel webgedrag, klikgedrag en anonieme ID’s. Dit mag zonder of met minimale toestemming. Wilt u dit niet, kunt u gebruik maken van een adblocker van het type dat 3rd party scripts weigert.

tags.tiqcdn.com
Dit is onze tagmanager, Tealium. Ook hiervoor geldt dat er geen persoonlijke data verstuurd wordt naar Tealium, in dit geval is Tealium zelfs geen datadrager. We gebruiken enkel TealiumIQ uit het hele aanbod van dit bedrijf. En ook hier geldt dat we deze cookies zonder toestemming of met minimale toestemming mogen plaatsen

w.usabilla.com
En de laatste is onze oplossing voor online feedback. Ook hier wordt geen persoonlijke data gedeeld, tenzij je daar zelf toestemming voor geeft (bijvoorbeeld in uitzonderingsgevallen als we vragen of u het op prijs stelt gebeld te worden en als je dan ‘ja’ zegt vragen we uw om contactgegevens

De saldogegevens gebruiken we voor het geven van inzicht in de app. Bijvoorbeeld voorspellingen en transacties categoriseren. Dit kunt u uitzetten via de privacy settings, als u niet wilt dat we deze data delen. Dit wordt onderdeel van de nieuwe service-tab die ‘zelf regelen’ gaat vervangen. Als u niet in de pilot-groep zit hiervoor, dan is de instelling op dit moment te vinden in het profiel, onder voorkeuren -> financieel inzicht.

Hopende u hiermee voldoende te hebben geinformeerd.

Met vriendelijke groet,

Sanne - Team Webcare.
Rabobank Nederland

[ Voor 76% gewijzigd door sjaa op 02-01-2021 20:13 ]

zondag 3 januari 2021 14:53

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Helder verhaal!

Exchange en Office 365 specialist. Mijn blog.

woensdag 20 januari 2021 07:59

Acties:

0 Henk 'm!

Bokkoman

Ik heb nu heel erg last van dat de Rabobank app niet werkt i.c.m. AdAway.

Weten jullie welke dingen ik moet whitelisten of andere instellingen?

woensdag 24 maart 2021 08:18

Acties:

0 Henk 'm!

wackidth

Bokkoman schreef op woensdag 20 januari 2021 @ 07:59:
Ik heb nu heel erg last van dat de Rabobank app niet werkt i.c.m. AdAway.

Weten jullie welke dingen ik moet whitelisten of andere instellingen?

Haha nou ik ben er nu in ieder geval eindelijk achter wat het is....

Weet iemand hoe je dit het beste kan whitelisten??

.

woensdag 24 maart 2021 08:47

Acties:

0 Henk 'm!

Bokkoman

wackidth schreef op woensdag 24 maart 2021 @ 08:18:
[...]

Haha nou ik ben er nu in ieder geval eindelijk achter wat het is....

Weet iemand hoe je dit het beste kan whitelisten??

Na wat beter lezen van dit deze forum post, stond de oplossing er gewoon tussen.
Bij instellingen moet je IPv6 ondersteuning inschakelen.

donderdag 25 maart 2021 09:55

Acties:

0 Henk 'm!

wackidth

Bokkoman schreef op woensdag 24 maart 2021 @ 08:47:
[...]

Na wat beter lezen van dit deze forum post, stond de oplossing er gewoon tussen.
Bij instellingen moet je IPv6 ondersteuning inschakelen.

Ja daar kwam ik inderdaad achter alles werkt weer.

.

maandag 5 april 2021 14:20

Acties:

0 Henk 'm!

pjottrr

Bokkoman schreef op woensdag 24 maart 2021 @ 08:47:
[...]

Na wat beter lezen van dit deze forum post, stond de oplossing er gewoon tussen.
Bij instellingen moet je IPv6 ondersteuning inschakelen.

ik lees nu pas dat ipv6 aanzetten helpt, maar om het werkend te krijgen heb ik deze lijst gewhitelist in adaway:

Log.rabobank.nl
status.rabobank.nl
bankieren.rabobank.nl
w.usabilla.com
auth.split.io
events.split.io
sdk.split.io
streaming.split.io
sessions.bugsnag.com
tags.tiqcdn.com

edit: ik draai al jaren adaway, maar dit probleem is pas begonnen met de update van webview/chrome van 23 maart. Hiervoor heb ik nooit iets hoeven whitelisten.

[ Voor 12% gewijzigd door pjottrr op 05-04-2021 14:22 ]

maandag 5 april 2021 23:59

Acties:

0 Henk 'm!

sjaa

Topicstarter

pjottrr schreef op maandag 5 april 2021 @ 14:20:

Heb je ook al geprobeerd om binnen adaway naar instellingen > advertentieblokkeerder voor geroote apparaten > lokale webserver
En dan de optie
"Webserver inschakelen" uit te zetten?

Hiermee werkt de app vooralsnog wel zonder iets te whitelisten bij mij.

dinsdag 6 april 2021 09:44

Acties:

+2 Henk 'm!

jurroen

Security en privacy geek

Jaren geleden heb ik de banken een keer (publiekelijk) aangesproken op de embedde third party analytics en marketing. Op dat moment stak de Triodos er bovenuit, die gebruikten toen alleen een eigen Piwik (tegenwoordig Matomo) voor analytics.

Exodus heeft als doelstelling om dit soort 'fratsen' inzichtelijk te maken. Wat records van Nederlandse banken:

Ik vind het wel opvallend dat er een verschil is tussen wat Exodus rapporteert en de trackers die jij ziet in de DNS requests. Dat zijn toch redelijk grote partijen. Zou het kunnen dat de Rabobank die pas laad na het daadwerkeljk inloggen, via een web embed?

De meest grote privacyschender is bij mijn weten bunq. Ze hebben in Exodus de meeste trackers - maar daar stopt het niet. Het 'scannen' van bonnetjes en acceptgiro's gaat via Google's OCR faciliteiten, om maar even een voorbeeld te noemen. Verschillende andere, vrij standaard functionaliteit in de bunq app is ook afhankelijk van Google en/of andere privacyschenders.

Ik heb een tijdje met de gedachte gespeeld om zelf iets te beginnen - een initiatief, PSP of bank. Maar daar komt zoveel werk en papier bij kijken dat ik daar niet de tijd voor heb (...en ook niet wil vrijmaken, zijn dingen die veel interessanter zijn).

Hoe dan ook: ik laat mijn keuze voor een bank wel beinvloeden door dit soort dingen. Een bank dient mijn filosofie te delen, te geven om mijn privacy, duurzaamheid en ethiek. Helaas is het zo goed als onmogelijk om te ontsnappen aan enkele trackers in de mobiele app - hoewel een block op die trackers niet per definitie zorgt dat de mobiele app breekt.

Eigen scenario

Ik heb zelf verschillende maatregelen getroffen om het zo privacyvriendelijk mogelijk te houden. Het is niet perfect - maar voor mij wel werkbaar.

Ik draai een eigen DNS server on-prem die requests naar trackers blokkeert. Hiervoor gebruik ik Unbound met verschillende blocklists.
Van grove privacyschenders, zoals Google Analytics, heb ik ook de IP adressen in de firewall geblokkeerd. Elke zes uur wordt er een cronjob uitgevoerd die de IP adressen update. Dit is voor inkomend en uitgaand verkeer. Pogingen om te verbinden log ik.
Ik maak zoveel mogelijk gebruik van bankieren via de browser. Hiervoor heb ik een sandboxed browser die ik alleen voor dit doeleinde gebruik. Helaas kan het soms handig/nodig zijn om mobiel bankieren bij de hand te hebben; op mijn telefoon heb ik de app geinstalleerd staan in een apart profiel. Dit profiel is encrypted en alleen actief in de tijd dat ik het open.
Ik ben van plan om dit kwartaal een uitgebreid onderzoek te gaan doen naar banken en privacy, dit wil ik vervolgens publiceren en de banken daarop aanspreken.

[ Voor 18% gewijzigd door jurroen op 06-04-2021 09:54 . Reden: Eigen scenario toegevoegd ]

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

dinsdag 6 april 2021 10:12

Acties:

0 Henk 'm!

sjaa

Topicstarter

jurroen schreef op dinsdag 6 april 2021 @ 09:44:

Ik vind het wel opvallend dat er een verschil is tussen wat Exodus rapporteert en de trackers die jij ziet in de DNS requests. Dat zijn toch redelijk grote partijen. Zou het kunnen dat de Rabobank die pas laad na het daadwerkeljk inloggen, via een web embed?

Deze laad de app in tijdens het inloggen, ook als alle tracking zogenaamd geblokkeerd zijn binnen de app.

Ik heb ook het idee dat ze hiermee de cookiewet overtreden omdat hier nog nooit ooit expliciet toestemming voor is gevraagd.

dinsdag 13 april 2021 22:25

Acties:

+1 Henk 'm!

guillaume

Ik heb hier ook problemen mee gehad, maar die zijn nu helemaal weg. Ik hoop dat het voor sommigen hier ook exact hetzelfde probleem is.

Ik gebruik AdAway om een hosts file aan te maken op een rooted device. Standaard wordt de IPv4 redirection gedaan naar 127.0.0.1. Hierbij ontstaan er bij de Rabobank-app flinke timeouts, waardoor je tot een minuut lang naar een wit scherm zit te staren. Ik heb ook contact gehad met Rabobank, maar dat leidde tot niets. Maar zodra ik de IPv4 redirection had veranderd naar 0.0.0.0 was dit euvel geheel verholpen. Ik denk dat de connectie op deze manier direct failt en dat er daardoor geen timeouts optreden.

donderdag 14 oktober 2021 13:47

Acties:

+1 Henk 'm!

pjunv

guillaume schreef op dinsdag 13 april 2021 @ 22:25: Ik gebruik AdAway om een hosts file aan te maken op een rooted device. Standaard wordt de IPv4 redirection gedaan naar 127.0.0.1. Hierbij ontstaan er bij de Rabobank-app flinke timeouts, waardoor je tot een minuut lang naar een wit scherm zit te staren. Ik heb ook contact gehad met Rabobank, maar dat leidde tot niets. Maar zodra ik de IPv4 redirection had veranderd naar 0.0.0.0 was dit euvel geheel verholpen. Ik denk dat de connectie op deze manier direct failt en dat er daardoor geen timeouts optreden.

Het is een wat late reactie, maar ik had hetzelfde probleem met de Rabo-app. Ik gebruik NextDNS en daarbij was het probleem dat ik de blokkeerpagina van NextDNS had ingeschakeld, waardoor de dns-queries die de Rabo-app maakt niet worden beantwoord met 0.0.0.0 of :: maar met die blocking page. De app accepteert dat blijkbaar niet.

Het uitzetten van die functie in de settings zorgde bij mij weer voor een functionele app

Verder heb ik de volgende hostnames geblacklist:

log.rabobank.nl
w.usabilla.com
*.split.io
tags.tiqcdn.com

[ Voor 4% gewijzigd door pjunv op 14-10-2021 13:49 . Reden: quote gecorrigeerd ]

donderdag 14 oktober 2021 16:53

Acties:

0 Henk 'm!

guillaume

pjunv schreef op donderdag 14 oktober 2021 @ 13:47:
[...]

Het is een wat late reactie, maar ik had hetzelfde probleem met de Rabo-app. Ik gebruik NextDNS en daarbij was het probleem dat ik de blokkeerpagina van NextDNS had ingeschakeld, waardoor de dns-queries die de Rabo-app maakt niet worden beantwoord met 0.0.0.0 of :: maar met die blocking page. De app accepteert dat blijkbaar niet.

Het uitzetten van die functie in de settings zorgde bij mij weer voor een functionele app

Verder heb ik de volgende hostnames geblacklist:
log.rabobank.nl
w.usabilla.com
*.split.io
tags.tiqcdn.com

Nice, ik zal die ook 's blocken.

maandag 25 oktober 2021 12:26

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

sjaa schreef op maandag 19 oktober 2020 @ 23:29:
Hallo, na weer wat uurtjes testen heb ik het eindelijk gevonden.
Ik had op mijn telefoon een lokale webserver draaien die luistert naar aanvragen van geblokkeerde hosts. waardoor de Rabobank app niet doorlaad. Mijn excuses dat ik het niet eerder gezien had.

pjunv schreef op donderdag 14 oktober 2021 @ 13:47:
[...]
Ik gebruik NextDNS en daarbij was het probleem dat ik de blokkeerpagina van NextDNS had ingeschakeld, waardoor de dns-queries die de Rabo-app maakt niet worden beantwoord met 0.0.0.0 of :: maar met die blocking page. De app accepteert dat blijkbaar niet.

Op zich lijkt het gedrag me dan juist wel een goed idee voor een bankieren-app: zodra de bank app merkt dat er een man in the middle meeluistert (namelijk die lokale webserver), helemaal stoppen.

(Al strookt die beslissing niet goed met de bewering dat er geen persoonsgegevens worden gedeeld met de derde partijen. Dan zal het ook niet mogen uitmaken dat er een man in the middle is...)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 25 oktober 2021 13:05

Acties:

0 Henk 'm!

Webgnome

Of er worden geen persoonsgegevens met derden gedeeld maar worden externe partijen alleen gebruikt om bijvoorbeeld frameworks/libraries in te laden, of om bijvoorbeeld logs op te slaan van je device zodat als er iets mis gaat men kan zien wat er aan vooraf ging

Strava | AP | IP | AW

Vraag

Alle reacties