[ archief ] Internet Bankieren ING - trackers?

[Guardian72]

Ik heb sinds kort een paar programma`s onder firefox draaien die in de gaten houden wat voor zaken op een website aanwezig zijn die de bezoeker volgen (trackers).

Tot mijn grote verbazing heeft ING op de beveiligde (nou ja) internet bankieren pagina`s ook zo`n tracker meelopen - van Omniture.

http://www.ghostery.com/apps/omniture

Wat mij een beetje zorgen baart is:

Data Sharing:
Data is shared with third parties.

Data Retention:
Undisclosed

Op de gewone pagina`s kan me dat niet zoveel boeien - maar dit is OOK actief op de pagina`s waar je je TAN code in moet voeren, en dus NA dat je ingelogd bent.

Is dit ING`s idee van beveiliging? Een derde partij (Adobe) toegang geven tot een encrypted (https) pagina?

Beste ING - leg dit eens uit?
Waarom mag Adobe zonder ons medeweten 'meekijken' tijdens internet bankieren sessies die toch 'beveiligd' zouden moeten zijn?

[GJvdZ]

En je weet zeker dat ING dit doet en dat het geen bug (of misschien wel bedoelde functionaliteit) van de tracker is? Waarom wel vertrouwen hebben in (gratis) software en niet niet vertrouwen hebben in de bank? Een leverancier van gratis software heeft meer belang bij het verzamelen van informatie dan een bank.

[berend12]

Lees je eerst even in GJvdZ...
artikel

[Guardian72]

Tracker is van Adobe en actief op de ING pagina.

Ik heb dit verder nagelopen.
Ik wacht op antwoord van ING over de bedoeling van deze tracker - en of men het weet.

Zal niet de eerste keer zijn dat ergens onbedoeld iets meedraait.

Aanvulling - http://www.security.nl/artikel/32214/1/ ... 7.net.html - ING weet dit al langer..

[loveyou234]

Guardian,

waar ze het vaak voor bijhouden is tweeledig:

-Analyse van activiteit binnen internet bankieren. Dit word gebruikt om de website qua marketing en usability verder te verbeteren.
-Analyse verdachte activiteit. Ik weet niet of ING dit ook met dezelfde Omniture doet, maar op basis van IP-adressen kunnen sporen gevonden worden van oneigenlijk gebruik (lees: inloggen in Nederland en nog geen uur later in Thailand ofzo)

Omdat Omniture vooral commerciële doeleinden heeft, verwacht ik alleen het eerste.

[bprosman]

Omniture (tegenwoordig van Adobe) is een service die voor bedrijven het 'bezoekgedrag' in kaart brengt zodat ING kan zien "wie", "wat", "waarvandaan", "welk pad volgens gebruikers op de site" etc kan zien in rapportages. Daar is niets vaags aan, vroeger had je als bedrijf zelf tooling om dit te meten, tegenwoordig besteed je dit uit aan gespecialiseerde bedrijven (Omniture is een van de marktleiders). Niet alleen ING doet dit maar vele andere multinationals (Shell, Adidas, Philips).

http://www.omniture.com/en/company/customers

Het enige commerciele doel dat Omniture heeft is het verkopen van deze rapportage dienst aan bedrijven en daar geld mee te verdienen. Omniture doet zelf niets met deze data, dit is bovendien contractueel afgedekt met een NDA (Non-disclosure agreement).

Ik wacht op antwoord van ING over de bedoeling van deze tracker - en of men het weet.

Natuurlijk weten ze dat, ING heeft daarvoor zelfs een (vrij duur) contract voor moeten afsluiten met Omniture.

http://www.omniture.com/offer/1311

@Berend12,

In de aangehaalde link staat een hele hoop onzin, "Fabian" heeft het nog het meest bij het rechte eind. Dat de Amerikaanse regering bij deze gegevens is alleen waar als de data zich ook op Amerikaans grondgebied bevindt (Patriot Act), multinationals die een contract met bedrijven als Omniture (Adobe) en of Microsoft (cloud computing) afsluiten bedingen dan ook meestal een data-centre in de EU.

[berend12]

bprosman, het ging er mij vooral om wat de redactie heeft geschreven.
Als je de eerste alinea leest dan is het duidelijk dat GJvdZ de plank misslaat.
En zoals uit de tweede link van Guardian blijkt is het al geruime tijd bekend dat ING omniture gebruikt op haar site.

[Guardian72]

Ik snap dat men dergelijke zaken gebruikt binnen de algemene omgeving - dus gewoon ing.nl.

Maar binnen de https omgeving (dus, je toegang tot je bankrekening) ook zo`n tracker hebben draaien - daar zet ik mijn vraagtekens bij.

Ik heb een berichtje van ING gekregen - waarin ze gelijk een hoop persoonlijke gegevens vragen - telefoonnummer, geboortedatum etc. voordat ze antwoord geven.

[bprosman]

@Berend,

ABN AMRO verzamelt in het geheim en op een onveilige wijze gegevens over klanten en verdient daarvoor een rode kaart, aldus digitaal onderzoeksbureau Unit 10. Vorig jaar bleek, onder andere op het forum van Security.nl, dat de bank verzamelde statistieken over een onversleutelde verbinding naar derde partij Omniture doorstuurt.

Wat de redactie geschreven heeft klopt ook niet. Het gebeurt namelijk niet in het geheim en zeker niet onveilig.

Maar binnen de https omgeving (dus, je toegang tot je bankrekening) ook zo`n tracker hebben draaien - daar zet ik mijn vraagtekens bij.

Lees de uitleg van "Fabian" maar eens op de link.

[berend12]

bprosman, de vraag van Guardian is waarom er anderen meekijken als je aan het internetbankieren bent. Dat van die statistieken dat is helder, maar ik kan mij zijn zorgen goed voorstellen. Denk dat hij lang op antwoord van ING kan wachten.

[bprosman]

de vraag van Guadian is waarom er anderen meekijken als je aan het internetbankieren bent.

Er kijken geen anderen mee. ING "brengt" bepaalde gegevens over zijn gebruikers naar Omniture via een actieve JavaScript call. Omniture slaat deze gegevens op en verzorgt rapportages voor ING (en honderden andere bedrijven).
Vergelijk het met Rijkswaterstaat die studenten inhuurt met zo'n telklokje om op bepaalde wegen het aantal auto's te tellen.
Die studenten kijken niet mee, die zijn GEVRAAGD om NAMENS Rijkswaterstaat te tellen en te rapporteren.

[berend12]

Dat bedrijven bepaalde diensten door derden laten verrichten omdat ze dat zelf niet kunnen of omdat anderen dat goedkoper kunnen dat is bekend.
Kunt U zich niet voorstellen dat sommige consumenten ( die voorzichtig zijn met internetbankieren ) daar angstig van worden als Ghostery dat laat zien?
Misschien zou ING gewoon op de voorpagina moeten melden dat ze gebruikmaken van omniture?

[bprosman]

als Ghostery dat laat zien?

Kom ik erg lomp over als ik dan zeg dat het leuk is dat mensen tools gebruiken als Ghostery maar dat ze dan ook wel in staat moeten zijn om de uitslagen correct te interpreteren ?
Bovendien wat onderzoek op/naar de site van Omniture had laten zien dat het legitiem is. ING wordt daar genoemd als klant en case.

[berend12]

Ik denk dat de meeste mensen denken dat ze alleen met ING communiceren als het slotje in de browser zichtbaar is.

[bprosman]

Ik denk dat de meeste mensen denken dat ze alleen met ING communiceren als het slotje in de browser zichtbaar is.

Er is ook niets mis of gevaarlijks aan omdat Omniture in het bezit is van het zelfde/juiste certificaat.
Dus de "man in the middle" suggestie zoals in je link geopperd werd kan nog wel eens heel moeilijk worden.

[Guardian72]

als Ghostery dat laat zien?

Kom ik erg lomp over als ik dan zeg dat het leuk is dat mensen tools gebruiken als Ghostery maar dat ze dan ook wel in staat moeten zijn om de uitslagen correct te interpreteren ?
Bovendien wat onderzoek op/naar de site van Omniture had laten zien dat het legitiem is. ING wordt daar genoemd als klant en case.

Of je lomp overkomt weet ik niet - maar het is een legitieme vraag.

Natuurlijk check ik zaken - maar dan nog.
Er is erg veel 'gedoe' rond internetbankieren en veiligheid - is het dan zo gek dat ik vraag waarom een 'third party dataminer' actief is op een pagina waarvan ik vind dat die prive is?
Dus - alleen voor "de bank" en voor mijzelf toegankelijk zou moeten zijn?

Dat adobe/omniture ing als klant heeft, prima - maar MIJ is niet gevraagd of ik accoord ging met het mogelijk prijsgeven van mijn financiele gegevens met een partij die ik niet ken (anders dan van Acrobat en de bijbehorende lekken).

Ik snap dat bedrijven geld moeten verdienen - maar nogmaals - waarom niet alleen op de "openbare" pagina`s? Waarom binnen de beveiligde omgeving ook? Want wie garandeert mij dat adobe`s tracker 100% veilig is? En, hoe kan ik deze eventuele garantie laten onderzoeken?

[bprosman]

Dus - alleen voor "de bank" en voor mijzelf toegankelijk zou moeten zijn?

Dat is dus ook zo :

http://www.omniture.com/en/privacy/2o7

Dat adobe/omniture ing als klant heeft, prima - maar MIJ is niet gevraagd of ik accoord ging met het mogelijk prijsgeven van mijn financiele gegevens met een partij die ik niet ken (anders dan van Acrobat en de bijbehorende lekken).

Wie zegt dat er financiele gegevens van je opgeslagen worden ?
Als ik snel even door het script loop alleen "surfgedrag" en wat info over je browser/PC :

Code: Selecteer alles

NTPT_FLDS.lc = true; // Document location
NTPT_FLDS.rf = true; // Document referrer
NTPT_FLDS.rs = true; // User's screen resolution
NTPT_FLDS.cd = true; // User's color depth
NTPT_FLDS.ln = true; // Browser language
NTPT_FLDS.tz = true; // User's timezone
NTPT_FLDS.jv = true; // Browser's Java support
NTPT_FLDS.ck = true; // Cookies

Hiermee bouwt ING kennis op hoe er gebruikt gemaakt wordt van de website en welke paden de gebruiker volgt binnen de site.
Dit is ook wat Omniture zelf zegt :

The company wanted to see exactly what customers were doing online and how they interacted with content, as well as find out what type of content resonated best with potential customers.

Waarom binnen de beveiligde omgeving ook? Want wie garandeert mij dat adobe`s tracker 100% veilig is? En, hoe kan ik deze eventuele garantie laten onderzoeken?

Dit omdat Adobe ook een beveiligde omgeving is, omdat zij gebruik maken van het ING certificaat dus kun je qua beveiliging de machines van Adobe zien als een "verlengstuk" van het ING data-centre. Ze staan alleen op een andere locatie. Het gebruik van dit certificaat is weer contractueel dichtgetimmerd.

[Guardian72]

Ik heb antwoord van ING ontvangen:

Ik heb het nagevraagd voor je.

ING gebruikt Omniture alleen voor het verkrijgen van webstatistieken. We gebruiken deze data om de site te verbeteren. Zie voor meer informatie ook http://www.ing.nl/de-ing/privacy-statement/ voor ons privacy statement.

Bankieren via Mijn ING zou mogelijk moeten blijven als je de omniture blokkeert.

Met vriendelijke groeten,

***
ING Facebook team

[bprosman]

ING gebruikt Omniture alleen voor het verkrijgen van webstatistieken. We gebruiken deze data om de site te verbeteren.

Dat zei ik dus al

Voor de mensen van wie ING niet mag weten welke browser en schermresolutie je gebruikt en in welke volgorde je door de site browsed... de opt-out optie al geprobeerd ? :

http://www.omniture.com/en/privacy/2o7#optout

[berend12]

Dat wou ik met de link laten zien, andere bedrijven gebruiken ook Omniture. Het is dus geen bug of een fout van Ghostery.
Je weet natuurlijk niet wat ze met die statistieken doen. Er zijn maar een paar bedrijven die dergelijke statistieken leveren.