Ideal wil lokale netwerk toegang - Privacy en beveiliging

zondag 18 januari 2026 18:25

Acties:

Topicstarter

Toen ik vandaag een ideal betaling ging doen, vroeg chrome of pay.ideal.nl m'n lokale network mocht bereiken

Afbeeldingslocatie: https://tweakers.net/i/wRfQEYYDesgevQZKJ9rdZUzf6-I=/fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():strip_exif()/f/image/tTr7glhNt5wxojHEyZEh4A0w.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/wRfQEYYDesgevQZKJ9rdZUzf6-I=/fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():strip_exif()/f/image/tTr7glhNt5wxojHEyZEh4A0w.jpg?f=user_large

Als websites dit willen bevalt het me niet, en en bank is al helemaal verdacht.
Wanneer ik pay.ideal.nl open met webdeveloper tools, worden er requests gedaan naar 127.0.0.1 op verschillende poorten.

Afbeeldingslocatie: https://tweakers.net/i/gWl-_t1pAbvFS1W4B0e4VKD-1u4=/800x/filters:strip_exif()/f/image/9ZnShdN0tyXnQB0bUX7FA8Ev.png?f=fotoalbum_large

is dit nieuw gedrag? heb ik misschien last van malware/virus/oid?

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

zondag 18 januari 2026 18:27

Acties:

YakuzA

Wat denk je nou zelluf hey :X

Klinkt alsof er requests gedaan worden om een mogelijke bank app te benaderen op jouw device?

Death smiles at us all, all a man can do is smile back.
PSN

zondag 18 januari 2026 18:29

Acties:

Kecin

Je keek.

Hier ook requests op:
https://127.0.0.1:666/initiate
en
https://127.0.0.1:37114/initiate

als ik naar pay.ideal.nl ga.

I'm not a number, I'm a free man! Geld over? Check m'n V&A

zondag 18 januari 2026 18:32

Acties:

g0tanks

Moderator CSA

Ik denk dat hetzelfde aan de hand is als in dit eBay nieuwsbericht uit 2020: nieuws: EBay voert lokale portscan uit bij bezoekers

Die poorten worden typisch gebruikt door remote desktop, VNC, etc. Het is een manier om te detecteren of de computer mogelijk op afstand wordt beheerd, als signaal voor potentiële fraude.

Ultrawide gaming setup: AMD Ryzen 7 2700X | NVIDIA GeForce RTX 2080 | Dell Alienware AW3418DW

zondag 18 januari 2026 18:32

Acties:

Keiichi

Topicstarter

voor de volledige informatie, dit is chrome EN firefox op een linux PC.

Ik zie het ook bij firefox, ik was laastst wel met allerhande extensies bezig op chrome. Omdat het ook op firefox is lijkt met een rogue extensie minder waarschijnlijk.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

zondag 18 januari 2026 18:34

Acties:

Keiichi

Topicstarter

g0tanks schreef op zondag 18 januari 2026 @ 18:32:
Ik denk dat hetzelfde aan de hand is als in dit eBay nieuwsbericht uit 2020: nieuws: EBay voert lokale portscan uit bij bezoekers

Die poorten worden typisch gebruikt door remote desktop, VNC, etc. Het is een manier om te detecteren of de computer mogelijk op afstand wordt beheerd, als signaal voor potentiële fraude.

Een heel aantal poorten komt wel overeen. Ik plakte er een paar, maar er is een grotere lijst o.a. 6039 (teamviewer) 7070 (anydesk)

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

zondag 18 januari 2026 19:05

Acties:

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Ik vind dit iets meer voor Privacy en beveiliging dus een tikkie die kant op

maandag 19 januari 2026 13:07

Acties:

kodak

FP ProMod

Je doet er waarschijnlijk goed aan om dit te melden bij verantwoordelijke functionaris gegevensbescherming bij ideal (onderdeel van het bedrijf Currence). 127.0.0.1 is voor eigen gebruik. Dat eigen gebruik gaat daarmee om persoonlijke gegevens. Een bedrijf heeft daar, zonder uitdrukkelijke toestemming, niets aan te verwerken. Bij Currence is hun Data Protection Officer te bereiken via email en per post. Adressen staan onderaan deze pagina.

dinsdag 20 januari 2026 09:33

Acties:

lordgandalf

Voelt alsof dit een check is om te voorkomen dat mensen inloggen op ideal als ze iemand op remote software hebben zitten zoals bijv gebeurd als scammers geld afhandig proberen te maken van je.
Maar navragen is altijd een goed idee.

[ Voor 9% gewijzigd door lordgandalf op 20-01-2026 09:33 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

dinsdag 20 januari 2026 19:24

Acties:

soczol

Doet iets met energie

Dit lijkt inderdaad een security scan. In de browser wordt een zwaar geobfusceerd/versleuteld stuk code geladen en vrijwel direct weer verwijderd, om zo min mogelijk zichtbare sporen achter te laten (wat typisch is voor dit soort security-oplossingen). Vervolgens wordt een web worker gestart die een beperkte set poorten controleert.

Het gaat om de poorten 666, 6039, 7070, 9527, 9528, 37014 en 37114, waarbij met name de laatste twee sterk doen denken aan TeamViewer-gerelateerd verkeer. Daarom ben ik het eens met @lordgandalf en verwacht ik niet dat hier sprake is van iets kwaadaardigs.

Stiekem werkt het best wel grappig: door HTTP-requests te initiëren en zeer nauwkeurig te meten hoe lang het duurt voordat de browser een foutmelding teruggeeft, kan worden afgeleid of bepaalde software of diensten op het systeem actief zijn, zonder dat daar directe toegang voor nodig is.

Mijn inschatting is dat dit inderdaad onderdeel is van security- of device fingerprinting, bijvoorbeeld in de context van bot detectie of om een risicobeoordeling te maken als onderdeel van fraudepreventie. Er wordt basically gekeken of jouw device als betrouwbaar kan worden beschouwd.

dinsdag 20 januari 2026 19:42

Acties:

FlipFluitketel

Frontpage Admin

Toevallig kreeg ik vanochtend bij een iDeal-betaling ook zo'n schermpje in Edge. Op "Blokkeren" geklikt en het ging gewoon verder.

Een tijd geleden stuurde ik een factuur naar een klant ivm het leveren van een laptop. Standaard installeer(de) ik anydesk voor eventuele hulp op afstand te kunnen bieden. Klant wilde de factuur gewoon overschrijven en toen was zijn rekening geblokkeerd. Blijkbaar scant de Rabobank dus ook of Anydesk draait en als er een overschrijving (groter dan x euro?) gedaan wordt blokkeren ze de overschrijving en de rekening. Vervolgens kreeg ie een telefoontje van de Rabobank of het allemaal wel klopte.

Een maand geleden had ik zelf vrijwel hetzelfde. Ik heb dus Anydesk op mijn pc en deed een bestelling voor een tv van iets meer dan €1000,-. Ik checkte daarna even mijn bankrekening en daar stond een melding "Rekening geblokkeerd" en nog geen 10min later telefoon van de Rabobank. Ook die medewerkster gaf aan dat het kwam doordat Anydesk op mijn pc draaide.

Lijkt dus op dat wat @soczol beschrijft.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

dinsdag 20 januari 2026 19:48

Acties:

soczol

Doet iets met energie

Oeh, dat verklaart de poort 7070 uit de lijst

Na een snelle zoektocht lijkt het er namelijk op dat AnyDesk poort 7070 gebruikt voor lokale communicatie. Dan verwacht ik dat de andere poorten ook van soortgelijke tools zijn.

dinsdag 20 januari 2026 20:07

Acties:

soczol

Doet iets met energie

Overigens denk ik dat het GDPR technisch best meevalt

quote: https://www.privacy-regul...-de-verwerking-EU-AVG.htm
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
[...]
f de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Ik ben dan wel geen jurist maar dingen als voorkomen van fraude voor een bank/betalingsverwerker mag volgens mij gewoon in dit soort gevallen. Ik kan me voorstellen dat het beschermen van je bankrekening tegen een AnyDesk-scam zwaarder weegt in de rechtszaal dan jouw recht om stiekem poort 7070 open te hebben staan zegmaar

Een bank heeft immers de wettelijke plicht om jouw geld te beschermen en feit is nou eenmaal dat we wel allemaal verwachten dat de bank klanten in dit soort geval ook daadwerkelijk beschermt.

dinsdag 20 januari 2026 21:41

Acties:

soczol

Doet iets met energie

Kon het toch niet helemaal loslaten (ADHD

) maar ik weet het nu zeker!

Aan de code wordt een groot geobfusceerd config object meegegeven (dat ik niet zal posten, want wil het de criminelen niet te makkelijk maken). In dat config object staan na decrypten een aantal base64 strings in de buurt van die poortnummers, en die leveren na decoden bijvoorbeeld de volgende (leesbare) strings op:

QU5ZREVTSyBIQVNI     | ANYDESK HASH
VEVBTVZJRVdFUiBIQVNI | TEAMVIEWER HASH
VFZfQUNUSVZFX0hBU0g= | TV_ACTIVE_HASH (TeamViewer Active?)
U1RTVFJFQU1FUl9IQVNI | STRSTREAMER_HASH

[ Voor 8% gewijzigd door soczol op 20-01-2026 22:31 ]

dinsdag 20 januari 2026 21:45

Acties:

Oon

Ik heb ineens heel veel websites die dergelijke verzoeken doen. Soms te verklaren (bijv. Plex, die een optie heeft om met je telefoon de player op je PC te besturen, en die lokaal naat servers kan zoeken) en soms totaal niet (zoals iDeal, maar ik had laatst ook bijv. SetApp.com).
Aan de ene kant heel fijn dat de keuze nu bij de gebruiker ligt, maar aan de andere kant niet heel fijn dat er zoveel gebruik/misbruik van gemaakt wordt..

Pagina: 1

Reageer