Nieuws
image

Fortis, AEGON en ABN AMRO dichten lek in website

zaterdag 21 maart 2009, 09:40 door Redactie, 9 reacties

Fortis, AEGON en ABN AMRO zullen het beveiligingslek in hun website "zeer spoedig gaan oplossen", zo laat de hacker die het probleem gisteren wereldkundig maakte aan Security.nl weten. Beveiligingsonderzoeker Zarco Zwier ontdekte twee weken geleden dat het mogelijk was om via de zoekfunctie Cross-Site Scripting aanvallen op de websites van ING, ABN AMRO, AEGON Bank, Delta Lloyd, Binck Bank en Fortis uit te voeren. Alle banken werden op 4 maart ingelicht, maar alleen de ING bank nam de moeite om het probleem te verhelpen. In het ergste geval zou een aanvaller de internetbankieren sessie van een slachtoffer kunnen overnemen en ook het uitvoeren van een phishingaanval behoort tot de mogelijkheden.

"Bij misbruik van dergelijke beveiligingslekken is het mogelijk andere gegevens op de pagina te tonen wanneer een dergelijke link wordt aangeklikt of gegevens te ontfutselen die worden ingevuld", aldus Zwier. "Inmiddels heb ik ook bericht ontvangen van AEGON en de verantwoordelijke voor het zoekformulier bij ABN AMRO en Fortis. Zij hebben toegezegd dat het probleem zeer spoedig wordt opgelost." De onderzoeker wacht nog altijd op een reactie van Delta Lloyd en Binck Bank.

Reacties (9)
21-03-2009, 12:04 door spatieman
zeer spoedig: over 6 maanden beginnen ze er aan te denken, hoe ze het gaan aanpakken...
21-03-2009, 15:43 door Anoniem
Wat is het nut van deze berichtgeving dat banken hebben toezeggingen om het te repareren? Heeft iemand hier enig idee hoeveel lekken er nooit bij het publiek bekend zijn? Maar nog belangrijker: wie zegt dat Zarco Zwiers voldoende weet van de omvang van het probleem? Hij kan alleen testen voor zover zijn creativiteit gaat om XSS te vinden. Of dat nu een beperking is door het gebruik van een tool of de beperking om het met eigen creativiteit te kunnen vinden. Laat de kunst van XSS vinden wat anders zijn dat het lek repareren. Als de banken zeggen dat het gerepareerd is en Zwiers weet het niet meer uit te buiten dan weet men Zwiers zoet te houden. Of het XSS probleem dan niet meer bestaat, dat kan je eigenlijk pas goed inschatten als bekend is welke invoer filtering er plaats vind. Een simpele blacklist, selectieve filtering, het zijn allemaal mogelijkheden die populair zijn maar waarbij de makers fouten blijven maken. En alleen de bank en hun ingehuurde auditor heeft daar echt zicht op.
21-03-2009, 16:21 door Paultje
Wat is het nut van deze berichtgeving dat banken hebben toezeggingen om het te repareren?

Nut is, dat je geld niet veilig op die banken staat en dat je beter naar de ING als bank kunt gaan.
21-03-2009, 19:24 door Anoniem
Of gewoon naar de rabo gaan die dit lek niet heeft..
21-03-2009, 22:56 door Anoniem
De exploit kans is niet zo verschrikkelijk groot. Je moet al ingelogd zijn op de site van de bank en je moet op een link klikken van de aanvaller.

Tips:
1. Zorg dat als je bankiert via internet, je maar 1 browser open hebt staan en verder geen andere sites bezoekt. Log altijd uit en sluit je browser af voordat je een andere site bezoekt.
2. Gebruik een andere browser (bijv. Opera) voor het bankieren dan het bezoeken van internetsites (bijv. Firefox).
22-03-2009, 04:26 door Anoniem
Door Paultje

Nut is, dat je geld niet veilig op die banken staat en dat je beter naar de ING als bank kunt gaan.

Dan weet je zeker dat je geld besteed wordt aan bonussen
22-03-2009, 09:04 door Anoniem
@Paultje.

Bij de ING wil ik niet vanwege het beloningsbeleid, bij Fortis wil ik niet vanwege wanbeleid, bij ABN wil ik niet vanwege staatsbeleid, bij SNS wil ik niet vanwege spambeleid .....

M.a.w. er blijft gewoon helemaal niks over als je principieel bent en daaraan vast houdt.
22-03-2009, 10:44 door Anoniem
Als je een inlogscherm kunt injecten, anoniem, gaat het niet om de integriteit van de systemen van de bank, maar die van de inlog gegevens van de klant van die bank.... (Das wat anders dan Zarco zelf liet zien)
Wat een onzin verhaal. Zarco Zwiers heeft - terecht - gedaan wat is gedaan.
23-03-2009, 17:13 door Anoniem
Inmiddels weten wij allemaal wat toezeggingen van banken waard zijn ! LOL
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search