Security Professionals - ipfw add deny all from eindgebruikers to any

ING login doet raar

26-04-2022, 21:33 door Anoniem, 18 reacties
Ja, "ING login doet raar", is de user level omschrijving van wat er gebeurt met ing.nl.

De login gebruikt ineens niet meer de Digipass maar een sms wachtwoord. Na invullen faalt het inloggen door timeout.

Ik zie meerdere van dit soort meldingen:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://127.0.0.1:[4cijfers]/[7cijfers].png. (Reason: CORS request did not succeed).

Er draait niks op localhost op die poort. Websockets staat uit.

URL: https://mijn.ing.nl/login

Dit is de Content-Security-Policy:
"default-src 'self'; prefetch-src 'self'; font-src 'self' data:; base-uri 'self'; object-src 'self' blob:; frame-ancestors 'self' api.mijn.ing.nl; form-action 'self' api.mijn.ing.nl; upgrade-insecure-requests; block-all-mixed-content; connect-src 'self' http://127.0.0.1:* api.mijn.ing.nl data: https://*.twilio.com wss://*.twilio.com https://*.sdlmedia.com https://services.measureworks.nl https://c.go-mpulse.net https://jsmon.ingbank.nl https://cdn.ing.com; media-src 'self' https://*.sdlmedia.com https://cdn.ing.com https://*.bynder.com data:; style-src 'self' 'unsafe-inline' https://cdn.ing.com data:; img-src https: https://cdn.ing.com data:; script-src 'self' blob: 'unsafe-inline' 'unsafe-eval' api.mijn.ing.nl tms.ingservices.nl https://cdn.ing.com data:; frame-src 'self' blob: api.mijn.ing.nl https://*.keylanehosting.com https://paskamer.ingbank.nl https://aweucn1-2.advanced-web-analytics.com"

Waar is men mee bezig bij ING? Waarom staat 127.0.0.1 er in? Hoe denken ze dat dat het opvragen van png files op localhost zou werken?

Certificaat Entrust, Inc.
fingerprint
SHA256: A4:EB:1E:78:69:BC:26:B2:B0:63:3D:3B:41:26:EA:D6:39:DE:EE:E0:B9:21:35:58:5A:9C:B9:10:B2:8C:94:CB
SHA1: C8:8A:5B:63:C5:23:2E:50:BD:A4:44:A9:95:2B:E8:D4:17:F6:43:EE
Reacties (18)
28-04-2022, 08:56 door Anoniem
Dit is een vrij normale respons als je tegelijkertijd via IoT jouw wasmachine hebt aangezet. ING weet dan niet meer waar het witwassen gedaan moet worden. Begrijpt je.
28-04-2022, 10:03 door Anoniem
Ik zie hier precies hetzelfde maar inloggen verloopt wel hetzelfde met een melding van de app om inloggen te bevestigen. Digipass == ING Scanner?

Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
28-04-2022, 12:23 door Anoniem
ING helpdesk al eens gebeld?

Of gewoon nog een keer geprobeerd?


Wat is trouwens een "Digipass"
28-04-2022, 15:46 door Anoniem
@Vandaag, 12:23 door Anoniem
Dit is het forum voor security professionals. Op de ING helpdesk zitten geen mensen die hier verstand van hebben.

De storing (de aanleiding, waarschijnlijk niet de oorzaak) is overigens inmiddels verholpen, maar bij een volgende storing kan dit weer optreden.

@Vandaag, 10:03 door Anoniem
Digipass is de naam van het ding dat het blokjespatroon scant en waarop je een code kunt intypen.

Een stukje script over het laden van de ".png" bestanden (extensie hoeft niet gelijk te zijn aan content!):

e=performance.now()-s;n(parseFloat(e.toFixed(3)))}));const i=Math.random().toString().replace(\"0.\",\"\").slice(0,7);t.postMessage(`http://127.0.0.1:${e}/${i}.png`

Het kan zo zijn dat ze naar hun eigen localhost proberen te verwijzen. Maar de Content-Security-Policy is van toepassing op clients, er zou geen localhost in moeten staan en er mogen sowieso geen localhost laadpogingen worden gedaan op een client, zeker niet in een inlogomgeving. Zo maar willekeurige bestandsnaam opvragen via variabele poorten op localhost kan een methode zijn die gebruikt kan worden voor het scannen van lokale bestanden of poorten, of erger: het laden van scripts. Dit is verdacht. Het kan ook worden misbruikt door hackers door een lokale web server te draaien die scripts serveert (HTTP GET voor http://127.0.0.1:..). Dit gebeurt tijdens het inlogproces.
28-04-2022, 15:48 door Anoniem
Het werkt bij mij normaal (ik neem aan dat je het over inloggen op de bankieren site hebt en niet over de app).
Wellicht heb je iets teveel privacy plugins geinstalleerd, of een of ander stuk "veiligheidssoftware"?
Probeer het eens op een schone (virtuele) machine.
28-04-2022, 16:19 door Anoniem
Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
Met NoScript zie je scripts verwijzen naar 127.0.0.1
28-04-2022, 20:13 door Anoniem
Door Anoniem:
Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
Met NoScript zie je scripts verwijzen naar 127.0.0.1
Dit kan wijzen op de mogelijkheid om een authenticatiedevice te hebben wat "ingeplugd" is in de computer.
Ik wist niet dat ING dat had, maar wellicht zijn er ze mee bezig. ABN heeft dat wel, een "calculator" type device wat je
met USB kunt aansluiten (en dan moet je software installeren) zodat de info via die weg naar het device gaat, ipv de
"laat QR-achtige code zien op het scherm en scan die met een camera" methode die ING in ieder geval wel gebruikt.
Mij lijkt die isolatie die je hebt met een code en camera beter dan zo'n USB device wat wellicht dingen heen en weer
kan sturen waar je geen weet van hebt. Maar misschien zijn er wel weer ontwikkelingen waardoor een gekoppeld device
toch weer beter is, en zijn daar al testen mee aan de gang.
28-04-2022, 21:55 door Anoniem
Als security professional weet je als het goed is dat je dit soort zaken kunt melden onder responsible disclosure en niet bij een reguliere klanten helpdesk. Zie: https://www.ing.nl/de-ing/veilig-bankieren/fraude-melden/meldpunt-kwetsbaarheden/index.html
19-06-2022, 15:24 door Anoniem
ING mag zo zachtjes aan door hun eigen stront zakken.

Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.
20-06-2022, 11:28 door Anoniem
Door Anoniem: ING mag zo zachtjes aan door hun eigen stront zakken.

Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.
Jij zit toch allerlei beperkingen door te voeren, niet de ING.
20-06-2022, 11:50 door Anoniem
Dit is het forum voor security professionals. Op de ING helpdesk zitten geen mensen die hier verstand van hebben.

Je kan natuurlijk beter vragen stellen aan mensen zonder toegang toe, of kennis van, het platform waarover het gaat. Of eventuele mogelijke storingen, die nu aan de orde zijn.... ;))))
20-06-2022, 12:23 door Anoniem
Door Anoniem: ING mag zo zachtjes aan door hun eigen stront zakken.

Vandaag werd ik geconfronteerd met dat jsmon.ingbank.nl hier standaard geblokkeerd werd door uBlock, en dat uBlock voor dat jsmon(een script validator?) dan ook uitgeschakeld zal moeten worden om te kunnen navigeren in dat mismaakte over-simplistische en onbruikbaar dynamische gedrocht van ze.

Waarom?

Jij doet allemaal vage dingen met vage plugins. Wie zijn probleem is het dan?

Dit komt overeen met je koopt iets, past het daarna zelf aan, en gaat klachten als het niet meer werkt.

Bij mij doet die het gewoon zonder enige problemen.
20-06-2022, 15:36 door Anoniem
Waarom wil je nog een Digipass gebruiken anno 2022?
20-06-2022, 15:48 door Anoniem
Door Anoniem: Waarom wil je nog een Digipass gebruiken anno 2022?
Waarom niet. Niet iedereen gebruikt een mobieltje voor bankzaken.
20-06-2022, 16:48 door Anoniem
Wat mij meer opvalt (of eigenlijk tegenvalt) is dat hier minimaal 2 trackers tussen staan, en dat op hun "beveiligde" omgeving: https://services.measureworks.nl en https://c.go-mpulse.net
... nu weet ik weer waarom ik niet aan internetbankieren doe :-)
22-06-2022, 13:46 door _R0N_
Door Anoniem: ING helpdesk al eens gebeld?

Of gewoon nog een keer geprobeerd?


Wat is trouwens een "Digipass"

Het ding voor mensen die het verdommen de app te installen.
22-06-2022, 13:53 door Anoniem
Door _R0N_:
Door Anoniem: ING helpdesk al eens gebeld?

Of gewoon nog een keer geprobeerd?


Wat is trouwens een "Digipass"

Het ding voor mensen die het verdommen de app te installen.

Of mensen zoals mijn vader die geen smartphone hebben / willen maar wel digitaal moeten bankieren omdat wat lokaal was door de ING gesloten wordt. Ik hoop tegen de tijd dat ik 80 ben we wat meer rekening houden met ouderen die digitaal wat minder vaardig zijn. Dus aub niet alleen de gedachte hebben "te verdommen te installen" maar doorhebben dat veel mensen gewoon niet meekunnen in deze digitale wereld.
22-06-2022, 14:48 door Anoniem
Door Anoniem:
Door Anoniem: Waarom wil je nog een Digipass gebruiken anno 2022?
Waarom niet. Niet iedereen gebruikt een mobieltje voor bankzaken.
Bijna niemand toch? Met een mobieltje bankieren is verschrikkelijk onhandig en niet bepaald veilig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.