Dit is al jaren zo, wordt gebruikt voor statistieken..

MWE

ING en beveiliging = EPIC FAIL!

Ga gewoon bij een échte bank, met echte twee-factor-authenticatie, zoals de Random Reader van de Rabobank, of de Edentifier van de ABN.

Was me een aantal jaar geleden ook al opgevallen.
Schrok me in eerste instantie rot, omdat 2o7.net toch een 'hack'-achtige naam leek.
Toen ik daarop de (toenmalige) postbank beldde, moest ik door een muur van onbegrip heen.

Eerst werd het probleem niet begrepen. Na uitbundige uitleg snapten ze niet wat het probleem nu was.
De site was veilig, ik moest er maar op vertrouwen en helaas pindakaas.

Uiteindelijk met de staart tussen mijn benen afgedropen en ben inmiddels overgestapt naar een andere bank.
Ben alleen bang dat dit voor privacy-gevoelige zaken niet echt uitmaakt (denk aan SWIFT)

Nu je het zegt heb ik maar gelijk de site mijn hosts-bestand toegevoegd en 'geredirect' naar 127.0.0.1.

4) Staat er iets in de Algemene Voorwaarden van de ING dat ze mijn gegevens niet doorverkopen aan andere partijen? Of een andere constructie waardoor bewezen kan worden dat de ING hierin fout bezig is?

Volgens mij is adobe een bedrijf dat buiten europa gevestigd is? dus is overtreed ING volgens mij de wet als alleen jou IPadres al wordt door gestuurd naar de site van adobe.

ik zou hiervoor graag verwijzen naar het stuk dat Internet jurist Arnoud Engelfriet heeft geschreven en dan wil ik expliciet verwijzen naar de ena laatste alinea

http://www.security.nl/artikel/32073/1/Juridische_vraag%3A_Google_verzamelt_data_over_ons.html

Wachtwoord en Tancode via sms is toch 2 factor?
Heb er tenminste geen otp token voor nodig.

PayPal had / heeft dat ook gehad met 2o7. Vond het toen ook al raar en vertrouwde het niet.
Stom dat sites dat gebruiken though, echt zo dom.

ABN gebruikt Omniture, en als je dat blockt met Ghostery in FireFox kun je nie eens inloggen. Tip voor een volgende versie van Ghostery: unblocken per site/domein mogelijk maken.

Hmm,

1264522887.179 233 192.168.4.XXX TCP_MISS/200 795 GET http://retailingnl.112.2o7.net/b/ss/retailingnl/0/FAS-2.6.4AS2/sXXXXXXXXXXXX? - DIRECT/66.235.133.11 text/html
1264523133.215 439 192.168.4.164 TCP_MISS/200 447 GET http://retailingnl.112.2o7.net/crossdomain.xml - DIRECT/66.235.133.11 text/html

Als ik whois op dat IP-adres kom ik omniture andermaal tegen.

Jammer dat ik Ghostery niet zelf kan aanvullen via de GUI.

Gewoon even blacklisten, in de Hosts file en klaar is kees.

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
#ING
127.0.0.1 EvIntl-crl.verisign.com
127.0.0.1 EVIntl-ocsp.verisign.com
127.0.0.1 EVIntl-aia.verisign.com
127.0.0.1 retailingnl.112.2o7.net
127.0.0.1 www.retailingnl.112.2o7.net
127.0.0.1 102.112.2o7.net
127.0.0.1 www.102.112.2o7.net

Adobe stuurt haar info door naar Omniture voor verwerking........ en nu mag je 1 keer raden wie de eigenaar is van Omniture ....precies Adobe.
Het is ook weer bedeold voor advertentiegeneuzel.

het is in ieder geval niet pluis want voorheen was het webadres 192.168.112.2o7.net ....hoe misleidend he...

simpel gezegd heb ik geen opdracht gegeven om naar die website te gaan....ik wil een sticker voor op mijn ip-pijp die zegt geen ongeadresseerde en geen geadresseerde reclame...net zoal op de brievenbus

dit zijn dus dingen die ook onder spamwetgeving moeten vallen

Serleena

2o7.net is ook van Omniture (niet van Adobe). Maakt dus niet uit bij welke bank je bankiert. Is zoals de eerste reactie hierboven al aangaf voor statistieken.

Zucht.

207 is van Adobe ? Ik dacht dat cookie ergens anders vandaan kwam. Weer wat wijzer.

Het is echter niet het enige dat mis is met ING.
Als ik inlog (en ik weet niet of dit alleen gebeurd bij de https:// verbinding) slaagt ING er in om een Flash cookie te plaatsen. Browser IE 7. Ondanks het feit dat ik de meest recent versie van de Flash player heb, en de "flash security settings" zo restrictief mogelijk ingesteld heb.

Een hele enkele keer overkomt mij dit ook wel eens bij een andere website, maar dat is zeldzaam.

Ik durf dit wel "hacken" te noemen.

Reacties ?

Verder vind ik de beveiliging wel goed, de SMS (controleer bedrag betaling) voorkomt MITM aanvallen.

Ik heb hier al eens eerder over gelezen maar ik herken dit probleem niet. Ik gebruik ook Ghostery en heb ook o.a. Omniture geblokkeerd, maar ik kan zonder problemen inloggen bij de ABN Amro (ook over https). Kan iemand mij uitleggen welke problemen er daarmee zijn dan?

Ik vind het alleen al voor het gevoel niet netjes dat een bank gebruik maakt van een externe partij voor de statistieken. Waarom kunnen ze niet een pakket in eigen beheer gebruiken?

Rabo gebruikt geen 2o7/Omniture :) En heeft vergeleken met die 2 ook de beste versleuteling(256 bit AES tov ING 128 bit RC4 en ABN 168 bit 3-DES)

Het hangt op Adobe IP's (of althans, Adobe heeft ze aangevraagd).
En op de site van Omniture staat duidelijk "An Adobe Company".

Hoezo zou het niet van Adobe zijn? Wie zegt dat de achterliggende servers 'veilig' zijn?
Stel je vervangt het JavaScript bestand door 'alert("warning");' dan heb je een basis liggen voor je aanval.


En daarmee heb je dus niet 1 (zoals de 'titel' van dit bericht aangeeft), maar over meerdere banken welke je kan aanvallen, doormiddel van slechts 3rd party aan te vallen.

Die kunnen ze ook maken op basis van hun eigen access.log files, daar heb je 2o7/Omniture/Adobe niet voor nodig.


Dan daarbij is het wel erg slecht van de banken dat er vooraf geen toestemming word gevraagd om het bij een derde partij neer te leggen.

Wat zou jij er van vinden als de Appie (AH) de bonnetjes van alle klanten doorstuurd naar Microsoft (incl rekeningnummer, etc)?

Kan al lang ;) Rechtermuisknop op icoontje -> options -> blocking tab en daar is de hele lijst waar je naar gelieve vinkjes kan zetten/weghalen.

Met Internet Explorer 8 kan je ook website blokeren om zorgen dat deze geen cookies op je pc plaatsen.
Echteren je kan ook ip adress gaan blokeren zodat deze geen cookies meer plaatsen op je pc, gebruik echter de
register editior hier voor, die maakt het dan wel mogelijk om meer er uit halen, bij wijs van spreken is niet mogelijk in privacy tab deze site 112.2o7.net opgeven, dan pakt hoofd domain 2o7.net . Register editor kan je handmatig dit wel mogelijk maken, 112.2o7.net.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\2o7.net]
@=dword:00000005

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\112.2o7.net]
@=dword:00000005


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\70.86.198.114]
@=dword:00000005

Dit is nog "enigzins" zichtbaar. Als een bedrijf zijn webserver log verkoopt aan een derde partij of daarvoor zelfs een sniffend ding plaatsen. Dit soort gegevens zijn geld waard en dus wordt er in gehandeld. Maar internet bankieren via tor is ook niet echt de oplossing :-).

tracking cookie. Van Omniture.
In Dec 2009 kocht Adobe Omniture...

Ik had hierover een vraag gedeponeerd bij de ABN-AMRO. Kreeg na verloop van tijd een brief met de vraag of ik mijn telefoonnummer op kon geven. Daar ze m.i. geen telefoonnummer nodig hebben om de vraag te beantwoorden, daar ze tenslotte mijn e-mail adres en thuis adres al weten voor communicatie, heb ik ze die niet gegeven. Een week later kreeg ik een brief dat ze de klacht als opgelost beschouwden daar ze geen telefoonnummer kregen.
Ze durven het kennelijk gewoon niet op papier te zetten. Schandalig vind ik dat.
Afijn wanneer na blokkade van die sites het internet bankieren niet nadelig beinvloed, zal ik dat maar doen dan.

Gebruiken ze ook de veiligste implementatie van het crypto protocol??? Dat is de vraag. Crypto is niet zo makkeijk te kraken maar implementaties daar gaat het vaak fout...

Correct me if i'm wrong, maar gezien het feit dat alle telecomproviders:
- Moedwillig op A5/1 blijven hangen, terwijl de GSM alliance al jaren geleden heeft gezegd dat A5/3 gebruikt moest worden.
- Moedwillig een bit vanaf de zendmasten versturen, waarmee de 'beveiligde verbinding' uitgeschakeld wordt (normaal zou bijna iedere GSM een speciaal icoontje geven in het geval van een 'veilig' gesprek.
- Als er gebruikt gemaakt 'zou' worden van A5/3, dan geeft de A5/1 implementatie op een telefoon alsnog een backdoor (in A5/3 mode toch A5/1 packets versturen)

En dan zullen we het maar niet hebben over de lage kwaliteit van GSM stacks op telefoons.

Zo zijn er wel meer redenen waarom het GSM systeem faalt op beveiligingsvlak, waardoor een validatie SMS per definitie eigenlijk niet te vertrouwen is.

Waarmee je weer voorbij gaat aan het two factor principe waar het hier om ging... Something you know.., something you got. De laatste is de sms. Als ze die hebben hebben ze de rest nog niet.

Kunnen ze hiervoor niet aangeklaagd worden?

Is het handig om de Certificate Revocation List van Verisign te blokkeren? Lijkt me niet!

Alsof een dergelijke hack de moeite waard is in vergelijking met de moeite die het kost om de out of band verificatie ook te "hacken". In de echte wereld mitigeert een dergelijke maatregel uitstekend de aanwezigheid van malware op systemen. Dat het GSM systeem op zichzelf te hacken is staat los van het dreigingsprofiel wat je probeert te mitigeren. En dat dreigingsprofiel is een groep die software op PC's plaatst om geld te stelen.

Als je nou zegt men hacked ook de servers van de verschillende mobiele providers in grootschalige gerichte aanval en men weet ook welke rekeninghouder bij welke telco zit. Zie bankafschriften van de persoon in kwestie.. ;) Dan heb je het over een echte dreiging.

Een gecoördineerde en geslaagde aanval op meerdere systemen en organisaties gaat de meeste groepen nog steeds te boven. Los van het feit dat een dergelijke aanval serieuze investeringen vereist waarbij de vraag is of men dat bij een dergelijke aanval er wel uit haalt. Kans van slagen van de aanval maal de opbrengst en aantal jaren celstraf die dreigt als men gepakt wordt versus aantal jaren celstraf als men iets anders doet met dezelfde opbrengst.... Het is allemaal simpele (criminele) economie...

My two cents...

Gewoon blokkeren met behulp van "adblock plus" in firefox, laad je pagina meteen veel sneller van. Hoe? lees hier:
http://www.ramonfincken.com/p267/Rants/Re%3A+%5Bsolution%5D+https%3AFFmy.ing+is+loading+too+slow+1.html

Om o.a. 2o7.net te weren via de HOSTS-file kun je dit bestand gebruiken:
http://www.mvps.org/winhelp2002/hosts.htm

Ghostery installeren...

Ik hoop dat het niet teveel offtopic is, maar hier is de vergelijking van de kwaliteit van de SSL verbinding:
* https://www.ssllabs.com/ssldb/analyze.html?d=bankieren.rabobank.nl
* https://www.ssllabs.com/ssldb/analyze.html?d=mijn.ing.nl
* https://www.ssllabs.com/ssldb/analyze.html?d=www.abnamro.nl

Vandaag bij een klant die mij liet zien, inloggen op ING zakelijk

hop, opeens zat ie op dat 2o7.net domein

En daar draaide de login pagina van ING zakelijk bankieren

Meteen doorgegeven aan ING

Focking kut Amerikanen ook altijd, dieven zijn het

Ik heb nog nooit een bank geweten die zoveel in het nieuws was met 'problemen' allerhande qua beveiliging op het net dan de ING.
Blijkbaar slapen ze daar op die afdeling beveiliging bij de bewuste bank, of doen ze het gewoon bewust om de één of andere ludieke reden.
Andere bank nemen is geen overdreven optie dacht ik...

What are 2o7.net & omtrdc.net?
2o7.net and omtrdc.net are domains used by Adobe to help provide portions of its Adobe® SiteCatalyst® and Adobe® SearchCenter+ products. Specifically, this domain is used by Adobe to place cookies, on behalf of its customers, on the computers of visitors to customers' selected websites.

Adobe Acts on Behalf of our Customers
Adobe acts as a limited agent to each of its Customers only for the purpose of providing Internet data hosting web and optimization products and services. Any information obtained by Adobe from the customer's websites is and will remain customer property, and will be treated by Adobe as proprietary and confidential information of the customer. As such, Adobe will not disclose such information to any third party, unless specifically and rightfully instructed to do so by the customer. Adobe will not review, share, distribute, print, or reference any session data of visitors to the customer websites except as requested by the customer or as may be required by law. Individual records may at times be viewed or accessed only for the purpose of resolving a problem, support issue, billing, or as may be required by law. Customers are responsible for maintaining the confidentiality and security of their usernames and passwords to log into their accounts.

It is very important that you review the respective privacy policy of each website that you visit, because such privacy policies govern the use of information on those websites, including our customer's use of Adobe products and services where applicable.

If you would like more information about Adobe and our privacy practices, please visit our Privacy Center.

Opt-out Method
We offer visitors to certain of our customers' websites a means for controlling the use of session information with respect to the Adobe SiteCatalyst, Adobe® DataWarehouse, Adobe® Discover™ and Adobe SearchCenter products using cookies set from Adobe's 2o7.net and omtrdc.net domains (i.e. that use the 2o7.net and omtrdc.net cookies to facilitate data collection). If, at any time a customer's website visitor does not wish to allow his/her session visitation information to be aggregated and analyzed by Adobe on such customer sites, he/she may utilize the following opt out mechanism. For customers that use non-Adobe cookies to collect data on their websites, please review the privacy disclosures of such customers for specific details on any and all applicable opt outs on such sites.

Click Here To Opt-Out of 2o7.net and omtrdc.net Cookie Tracking Now.

Ah mooizo, gisteren ing doorgegeven dat deze inlog pagina ING zakelijk internetbankieren nep was

https://mijnzakelijk.ing.nl/mpz/startpaginarekeninginfo.do

En nu is hij weg, prima!
Kwam uit bij 2o7.net

Maak maar 5000 Euro over ING, wahaha LOL
Ja ik ik heb ook mn tools en onkosten:P
Grote bedrijven leunen op een foute manier op oplossers

Volgens mij komt deze aanval golf op ING uit de kantoren van ING in de VS oid
Die denken ook, de hypotheek tak wordt verkocht laten we nog ff wat dingetjes proberen;P
Nare freeloaders

Waarom schop jij een thread van 1,5 jaar terug omhoog ? Alleen om deze reactie er aan toe te voegen ?

laat een admin deze ff sluiten pls .

Deze klant kreeg 3 SMS voor tancodes van tientallenduizenden Euros

Mja, totaal onbelangrijk