Saldoinformatie via MSN bij de Postbank

Waar in de praktijk weinig controle op zich (machtigingen)...

reactie op chino263
Wat is dit nou? Leuk dat mensen erintrappen?

Ze zijn bij de Postbank ook niet helemaal gek

Ze sturen je niet het volledige rekeningnummer op, maar alleen de laatste 3 cijfers. Of in ieder geval, zo gaat het bij de SMS dienst, dus ik gok dat het bij de MSN dienst niet veel anders zal zijn.

Ik ben trouwens geen voorstander van open source i.c.m. bankgegevens dus wat mij betreft doen ze hier goed aan.

Wat een ongelooflijk domme opmerking is dit. Je vertrouwt dus liever een product waarvan niemand weet hoe het in elkaar zit, niemand weet wat er met de gegevens gebeurd, waarvan de server in een land staat waar alle dataverkeer afgeluisterd wordt want "er zouden misschien wel eens terroristen kunnen communiceren" dan een open product waar iedereen inzage in heeft en waar iedereen dus kan zien dat er niks afgeluisterd wordt, geen kopietje van elk bericht naar de FBI/CIA/NSA/TLA gestuurd wordt?

Zou je liever een bank hebben waar je je geld door de brievenbus moet gooien en waar je daarna absoluut geen idee hebt wat ze er mee doen (misschien wordt het wel in een kartonnen doos onder de brug gelegd) of een bank waar je je geld overhandigd aan iemand, die je vervolgens (via camera's) kan volgen tot hij het in de goed beveiligde kluis stopt?

Security through obsurity is no security!!!!

@Dubbeldrank

Als je even terug leest dan zie je dat deze specifieke thread gaat over de keuze van het protocol (MSN Jabber etc)

Lekker belangerijk wat men in de US het meeste gebruikt... Postbank is Nederlands, de doelgroep is Nederlands, en MSN messenger is hier verreweg het populairst...

Net als dat Girotel (iig in het begin) alleen geschreven was voor Windows... Jammer voor de Macs, linux dozen etc... de bulk gebruikt Windows, dat gebruiken ze zelf, dus dat kunnen ze testen en ondersteunen.

Tuurlijk kan je opensource gebruiken, tuurlijk zijn open protocollen leuk.... that ain't the point. Ga niet verwachten dat een bank de wereld gaat overtuigen van het nut van Jabber, dat is niet in hun belang, Je moet als organisatie uiteindelijk iets gebruiken waar de bulk gebruik van maakt. Op dit moment MSN dus.

Was het ook niet de site van de Postbank die alleen goed werkte op Internet Explorer?

Nee dat is de Rabo-bank De Postbank is juist één van de weinigen waarmee je met elke browser kunt inloggen omdat ze gebruik maken van JAVA applets.

PS: Als je in bijv. Opera instelt dat ie zich voor moet doen als IE dan kom je RaboBank site ineens wel op...

voor heel wat protocollen zijn er versleuteingsopties
ook voor Jabber bijvoorbeeld.
zoek ff op google en gij zult vinden

De meeste protocollen bieden een optionele versleuteling aan. Dat wil niet zeggen dat ze ook geïmplementeerd moeten worden. Bovendien garanderen de meeste van die secure oplossingen de vertrouwlijkheid van de verbinding tussen client en server... (Lees: TLS en SASL, zo ook Jabber). De server ziet dus weer gewoon plain-text berichten, lekker ga jij Microsoft vertrouwen?

Mijn Jabber client (psi) kan gewoon de berichtjes met pgp versleutelen. Dan kan alleen de ontvanger ze weer leesbaar maken.

Wat mij betreft mag de hele wereld weten hoe mijn magere rekening eruit ziet, en wat voor transacties ik doe. Kan me niet veel boeie

Als je ouder wordt en meer $$$ hebt, dan maakt het je denk ik wel iets meer uit.
Je kan namelijk met dit soort informatie hele aardige databases aanleggen over wat je allemaal uitgeeft. Het zal je verbazen wat voor aardige conclusies je hieruit zou kunnen trekken.

Naief om te denken dat dit soort databases er nu nog niet zijn....

Helaas, was dat maar zo. Het enige wat ze pas aangepast hebben om de veiligheid te verhogen is de authenticatie. Daar wordt nu gebruik gemaakt van SSL ipv de simpele hashing methode om je als gebruiker aan te melden.
De rest van de hele conversatie is geheel in normale onversleutelde vorm over het internet.
Het gebruik van MSN is dus absoluut niet veilig, en niet geschikt om vertrouwelijke of persoonlijke gegevens mee te gaan verzenden. Ik mag hopen dat de Postbank de klanten hier heel erg duidelijk over inlicht voordat ze van deze dienst gebruik kunnen maken. Ik vind het zowiezo niet best dat ze gebruik maken van onveilige communicatie middelen om je bank- en persoonlijkegegevens mee te versturen, maar daar heeft de Postbank wel vaker zonder het de klant duidelijk te maken maling aan. Zo is het hele contact om rekeningen te wijzigen of andere persoonlijke bankzaken te regelen via hun normale website ook totaal niet beveiligd. Nmm zegt dat genoeg over de kennis en wil van de Postbank om te beveiligen en de klant goed op de hoogte te houden.

Het staat vermeld in de algemene voorwaarden, maar er wordt niet gewezen op de risico's:

Ik accepteer dat de e-mail en MSN-berichten met de saldogegevens en af- en bijschrijvingen onversleuteld worden verzonden.
De Postbank is niet aansprakelijk voor de gevolgen van het kennisnemen of wijzigen door onbevoegden van verzonden e-mail of MSN-berichten
Ik accepteer dat de Postbank ten behoeve van de aan mij te verzenden informatie inlogt op MijnPostbank.nl.
De Postbank is niet aansprakelijk voor schade van welke aard dan ook als gevolg van buitengebruikstelling of storing van de faciliteit, tenzij de schade te wijten is aan opzet of grove schuld van de Postbank.
Het gebruik van de faciliteit kan zowel door de client als door de Postbank met onmiddellijke ingang worden opgezegd.
Op deze faciliteit zijn tevens de Algemene Voorwaarden en de Girovoorwaarden van toepassing.