Security Professionals - ipfw add deny all from eindgebruikers to any

ING login doet raar

26-04-2022, 21:33 door Anoniem, 8 reacties
Ja, "ING login doet raar", is de user level omschrijving van wat er gebeurt met ing.nl.

De login gebruikt ineens niet meer de Digipass maar een sms wachtwoord. Na invullen faalt het inloggen door timeout.

Ik zie meerdere van dit soort meldingen:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://127.0.0.1:[4cijfers]/[7cijfers].png. (Reason: CORS request did not succeed).

Er draait niks op localhost op die poort. Websockets staat uit.

URL: https://mijn.ing.nl/login

Dit is de Content-Security-Policy:
"default-src 'self'; prefetch-src 'self'; font-src 'self' data:; base-uri 'self'; object-src 'self' blob:; frame-ancestors 'self' api.mijn.ing.nl; form-action 'self' api.mijn.ing.nl; upgrade-insecure-requests; block-all-mixed-content; connect-src 'self' http://127.0.0.1:* api.mijn.ing.nl data: https://*.twilio.com wss://*.twilio.com https://*.sdlmedia.com https://services.measureworks.nl https://c.go-mpulse.net https://jsmon.ingbank.nl https://cdn.ing.com; media-src 'self' https://*.sdlmedia.com https://cdn.ing.com https://*.bynder.com data:; style-src 'self' 'unsafe-inline' https://cdn.ing.com data:; img-src https: https://cdn.ing.com data:; script-src 'self' blob: 'unsafe-inline' 'unsafe-eval' api.mijn.ing.nl tms.ingservices.nl https://cdn.ing.com data:; frame-src 'self' blob: api.mijn.ing.nl https://*.keylanehosting.com https://paskamer.ingbank.nl https://aweucn1-2.advanced-web-analytics.com"

Waar is men mee bezig bij ING? Waarom staat 127.0.0.1 er in? Hoe denken ze dat dat het opvragen van png files op localhost zou werken?

Certificaat Entrust, Inc.
fingerprint
SHA256: A4:EB:1E:78:69:BC:26:B2:B0:63:3D:3B:41:26:EA:D6:39:DE:EE:E0:B9:21:35:58:5A:9C:B9:10:B2:8C:94:CB
SHA1: C8:8A:5B:63:C5:23:2E:50:BD:A4:44:A9:95:2B:E8:D4:17:F6:43:EE
Reacties (8)
28-04-2022, 08:56 door Anoniem
Dit is een vrij normale respons als je tegelijkertijd via IoT jouw wasmachine hebt aangezet. ING weet dan niet meer waar het witwassen gedaan moet worden. Begrijpt je.
28-04-2022, 10:03 door Anoniem
Ik zie hier precies hetzelfde maar inloggen verloopt wel hetzelfde met een melding van de app om inloggen te bevestigen. Digipass == ING Scanner?

Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
28-04-2022, 12:23 door Anoniem
ING helpdesk al eens gebeld?

Of gewoon nog een keer geprobeerd?


Wat is trouwens een "Digipass"
28-04-2022, 15:46 door Anoniem
@Vandaag, 12:23 door Anoniem
Dit is het forum voor security professionals. Op de ING helpdesk zitten geen mensen die hier verstand van hebben.

De storing (de aanleiding, waarschijnlijk niet de oorzaak) is overigens inmiddels verholpen, maar bij een volgende storing kan dit weer optreden.

@Vandaag, 10:03 door Anoniem
Digipass is de naam van het ding dat het blokjespatroon scant en waarop je een code kunt intypen.

Een stukje script over het laden van de ".png" bestanden (extensie hoeft niet gelijk te zijn aan content!):

e=performance.now()-s;n(parseFloat(e.toFixed(3)))}));const i=Math.random().toString().replace(\"0.\",\"\").slice(0,7);t.postMessage(`http://127.0.0.1:${e}/${i}.png`

Het kan zo zijn dat ze naar hun eigen localhost proberen te verwijzen. Maar de Content-Security-Policy is van toepassing op clients, er zou geen localhost in moeten staan en er mogen sowieso geen localhost laadpogingen worden gedaan op een client, zeker niet in een inlogomgeving. Zo maar willekeurige bestandsnaam opvragen via variabele poorten op localhost kan een methode zijn die gebruikt kan worden voor het scannen van lokale bestanden of poorten, of erger: het laden van scripts. Dit is verdacht. Het kan ook worden misbruikt door hackers door een lokale web server te draaien die scripts serveert (HTTP GET voor http://127.0.0.1:..). Dit gebeurt tijdens het inlogproces.
28-04-2022, 15:48 door Anoniem
Het werkt bij mij normaal (ik neem aan dat je het over inloggen op de bankieren site hebt en niet over de app).
Wellicht heb je iets teveel privacy plugins geinstalleerd, of een of ander stuk "veiligheidssoftware"?
Probeer het eens op een schone (virtuele) machine.
28-04-2022, 16:19 door Anoniem
Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
Met NoScript zie je scripts verwijzen naar 127.0.0.1
28-04-2022, 20:13 door Anoniem
Door Anoniem:
Volgens mij missen ze een CDN of verwijzen ze incorrect naar hun eigen localhost.
Met NoScript zie je scripts verwijzen naar 127.0.0.1
Dit kan wijzen op de mogelijkheid om een authenticatiedevice te hebben wat "ingeplugd" is in de computer.
Ik wist niet dat ING dat had, maar wellicht zijn er ze mee bezig. ABN heeft dat wel, een "calculator" type device wat je
met USB kunt aansluiten (en dan moet je software installeren) zodat de info via die weg naar het device gaat, ipv de
"laat QR-achtige code zien op het scherm en scan die met een camera" methode die ING in ieder geval wel gebruikt.
Mij lijkt die isolatie die je hebt met een code en camera beter dan zo'n USB device wat wellicht dingen heen en weer
kan sturen waar je geen weet van hebt. Maar misschien zijn er wel weer ontwikkelingen waardoor een gekoppeld device
toch weer beter is, en zijn daar al testen mee aan de gang.
28-04-2022, 21:55 door Anoniem
Als security professional weet je als het goed is dat je dit soort zaken kunt melden onder responsible disclosure en niet bij een reguliere klanten helpdesk. Zie: https://www.ing.nl/de-ing/veilig-bankieren/fraude-melden/meldpunt-kwetsbaarheden/index.html
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.