image

'Website ING VS draait 3 jaar oude Drupal-versie'

woensdag 26 maart 2014, 09:46 door Redactie, 13 reacties

De Amerikaanse website van ING draait op een Drupal-versie die al 3 jaar niet is bijgewerkt en vijf beveiligingsupdates mist. Dat meldt beveiligingsbedrijf White Fir Design aan de hand van een zelf ontwikkelde plug-in die Drupal-versies checkt. Drupal is een opensource contentmanagementsysteem.

Een groot deel van de website ING.us draait op Drupal 6.19, een versie die op 15 december 2010 werd vervangen door versie 6.20. Sindsdien zijn er verschillende nieuwe versies verschenen, waaronder 5 versies die beveiligingslekken in het CMS verhelpen. Het inloggedeelte voor klanten is echter gescheiden van de hoofdwebsite en draait niet op een kwetsbare Drupal-versie. "Dus de lakse beveiliging heeft geen directe impact", aldus White Fir Design.

Het beveiligingsbedrijf vraagt zich echter af, gezien dit beveiligingsprobleem, hoe veilig de andere delen van de website zijn als ING dit soort basale beveiligingsmaatregelen vergeet. Daarnaast zou een aanvaller die de hoofdsite via de kwetsbaarheden in Drupal kan overnemen of aanpassen ervoor zorgen dat de links voor het inloggedeelte worden gewijzigd, zodat die naar een ander gedeelte wijzen waar de inloggegevens van klanten kunnen worden verzameld.

Image

Reacties (13)
26-03-2014, 09:57 door Anoniem
En dan wel eisen van klanten dat ze hun patching en antivirus op orde hebben...
Het valt ook niet mee allemaal.
26-03-2014, 10:03 door Anoniem
"Wat? Het werkt toch?"
26-03-2014, 10:20 door meinonA
Zijn er ook gecheckt wat voor lekken het zijn, want volgens mij zijn die allemaal niet exploiteerbaar zonder extra rechten.

Neemt niet weg dat het geen "best practice" is om up te daten.
26-03-2014, 10:21 door Anoniem
Dat een automatische scan een bepaalde versie van Drupal rapporteerd wil nog niet zeggen dat die versie ook daadwerkelijk gebruikt wordt en al helemaal niet dat bepaalde security-problemen aanwezig zijn (in veel organisaties is het gebruikelijk om security updates toe te passen zonder een hele versie-update te doen).
26-03-2014, 10:25 door Anoniem
De regels die ze ons toeschrijven om veilig te internetbankieren lappen ze dus zelf maar gewoon aan hun laars.
26-03-2014, 10:30 door Anoniem
Door Anoniem: Dat een automatische scan een bepaalde versie van Drupal rapporteerd wil nog niet zeggen dat die versie ook daadwerkelijk gebruikt wordt en al helemaal niet dat bepaalde security-problemen aanwezig zijn (in veel organisaties is het gebruikelijk om security updates toe te passen zonder een hele versie-update te doen).
Het is dan ook vooral een goedkope manier om nog maar weer eens een jezelf-belichtend persbericht (of blogpost) de deur uit te doen. En aangezien "nieuwsgaring" tegenwoordig vooral uit overtikken van persberichten door semiliterate vetersgediplomeerden bestaat, is het best een effectieve manier. Je ziet dan ook weinig anders in deze industrie.
26-03-2014, 11:14 door Anoniem
Het voor-de-nep teruggeven dat je een oude versie hebt, terwijl je een nieuwe versie draait, is dom, omdat het hackers aantrekt, die wellicht iets anders vinden. Andersom kan wel, dan doe je op zijn minst alsof je alles onder controle hebt.
26-03-2014, 11:37 door [Account Verwijderd] - Bijgewerkt: 26-03-2014, 11:43
[Verwijderd]
26-03-2014, 11:47 door [Account Verwijderd] - Bijgewerkt: 26-03-2014, 11:59
[Verwijderd]
26-03-2014, 15:54 door Sith Warrior
ING US is zelfstandig aan het worden (maakt geen onderdeel meer uit van ING groep) het gaat Voya heten, misschien dat ze daarom ontwikkeling aan de US portal hebben stilgezet / uit het oog verloren om bij te houden.
26-03-2014, 16:47 door Anoniem
Tja,dat is niet slim hoever zijn ze bij onze eigen Ing met de software?.
Ik denk dat ze hier wel een nieuwere versie hebben van de banksofware.
26-03-2014, 21:45 door Anoniem
Misschien gebruiken ze de basis van die Drupal versie en hebben ze deze helemaal veilig gemaakt en hardenend?
27-03-2014, 11:11 door [Account Verwijderd] - Bijgewerkt: 27-03-2014, 11:40
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.