image

Bank betaalt 55.000 dollar wegens URL-lek

maandag 2 september 2013, 15:45 door Redactie, 1 reacties

Citibank gaat de Amerikaanse staat Connecticut een bedrag van 55.000 dollar betalen wegens een lek in de website waardoor op kinderlijk eenvoudige wijze de gegevens van 360.000 klanten werden gestolen. Na met een geldige gebruikersnaam en wachtwoord te zijn ingelogd, toonde de banksite het rekeningnummer van de klant in de adresbalk.

Door het aanpassen van het rekeningnummer konden de gegevens van andere klanten worden opgevraagd, zonder dat hiervoor een gebruikersnaam of wachtwoord waren vereist. De kwetsbaarheid wordt "insecure direct object reference" genoemd en komt erop neer dat vertrouwelijke informatie niet goed door de ontwikkelaars is afgeschermd.

De aanvallers die het lek ontdekten maakten een script waarbij ze willekeurige rekeningnummers probeerden om toegang tot andere accounts te krijgen. Was dit het geval, dan werd de informatie opgeslagen. Citibank ontdekte op 10 mei 2011 dat de Account Online-omgeving was gehackt, maar repareerde het beveiligingslek ruim twee weken later op 27 mei.

Eenvoudig

Klanten werden pas op 3 juni 2011 gewaarschuwd. In eerste instantie vertelde de bank dat de gegevens van 200.000 klanten waren buitgemaakt, maar dat bleken er uiteindelijk 360.000 te zijn. Aangezien er ook gegevens van burgers uit Connecticut werden gestolen, moest de bank hiervoor apart schikken met deze Amerikaanse staat. Naast het betalen van 55.000 volgt er ook een verplichte security audit van het creditcardrekeningsysteem.

"Citibank liet klanten geloven dat het online systeem veilig was, maar uiteindelijk waren de technieken die hackers gebruikten om individuele rekeninggegevens te bemachtigen relatief eenvoudig en ongeraffineerd", aldus procureur-generaal George Jepsen. Met de gestolen gegevens, in combinatie met andere gestolen data, werd uiteindelijk voor 2,7 miljoen dollar gefraudeerd.

Reacties (1)
02-09-2013, 17:00 door Whacko
Wow.... beschamend lek hoor. Deze staat in de OWASP top 10 en zou bij elke programmeur bekend moeten zijn. ZEKER als je aan banksystemen werkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.