Bank laat beveiligingslek twee jaar zitten
De Engelse HSBC bank heeft een beveiligingslek op haar website meer dan twee jaar laten zitten, waardoor 3,1 miljoen online bankieren klanten risico liepen, zo hebben onderzoekers gewaarschuwd. Via de kwetsbaarheid konden aanvallers achter de logingegevens van de online bankrekening komen. Er moest dan eerst wel een keylogger op het systeem zijn geinstalleerd.
De bank zou vanwege de moeite die een aanvaller moest doen om binnen te komen het lek hebben laten zitten. "Het gaat om een zeer gecompliceerde aanval die veel tijd vereist. Het is daardoor waarschijnlijk niet winstgevend voor criminelen om te misbruiken" aldus de bank in een verklaring.
Security professionals hebben ook hun vraagtekens over het rapport van de universiteit van Cardiff. "Tenzij Cardiff meer informatie geeft is het geen nieuws. Vanwege het bericht zijn consumenten bang, is HSBC geirriteerd en is niemand wijzer geworden" zegt Graham Cluley van Sophos.
Het blijft de vraag of banken verantwoordelijk zijn om hun klanten tegen keyloggers te beschermen. In de ideale situatie zou een bank eerst controleren of het systeem van de klant wel goed beveiligd is, maar dat is in de werkelijkheid onwerkbaar.
De bank doet haar best om het geld van de klanten te beschermen, wil een klant toegang tot zijn of haar geld, dan is het aan de klant om zijn kant van het verhaal zo veilig mogelijk te maken, gaat Martin McKeay verder.
beschermen, wil een klant toegang tot zijn of haar geld, dan
is het aan de klant om zijn kant van het verhaal zo veilig
mogelijk te maken
Zoiets als het niet opschrijven van je PIN-code, het
afschermen van het numeriek pad bij het betalen/geldopnemen
met de PIN-pas enz. Dit als vergelijking dus met de manier
van denken voor internetbankieren. Zorg dat je naar je beste
weten 'veilig' bezig bent, dat men niet de schuld bij de
argeloosheid van de klant kan leggen.
- Unomi -
keyloggers te beschermen. In de ideale situatie zou een bank eerst
controleren of het systeem van de klant wel goed beveiligd is, maar dat is
in de werkelijkheid onwerkbaar.
De bank doet haar best om het geld van de klanten te beschermen, wil
een klant toegang tot zijn of haar geld, dan is het aan de klant om zijn kant
van het verhaal zo veilig mogelijk te maken, gaat Martin McKeay verder."
Martin McKeay moet de veiligheid bij de klant en die bij de bank niet door
elkaar halen. De lek zit aan de kant van de bank en dat hoort de bank te
dichten al zou het systeem van de klant besmet zijn. De banksoftware
deugt niet en daar gaat het in dit geval om.
Dat banken hun best moeten doen om het geld van klanten te
beschermen is bij contract afgesproken. Of HSBC in dit geval voldoende
haar best gedaan heeft is duidelijk : zij heeft een lek laten zitten die andere
banken NIET hebben en daarvoor is zij verantwoordelijk.
Het geldverkeer via internet wordt door banken aangemoedigd, kassa's
ziet men nauwelijks meer en overmakingen d.m.v. een formulier worden
zelfs beboet, dan moet de bank niet achteraf komen met het verhaal dat
de risicoanalyse uitwijst dat het goedkoper is om een lek te laten zitten
tenzij de bank in haar voorwaarden zet dat zij alle eventuele schade
vergoedt ongeacht het bedrag !
categorie bedrijfsmentaliteit als van de betreffende bank.
Een flinke nonchalante bagateliserende houding aannemen en
het vooral niet over het beveiligingsprobleem en de
afhandeling zelf hebben.
Het laat zich raden, HSBC is een klant van Sophos die ze
niet willen missen en HSBC zelf is niet happig op goede
beveiliging zolang het ze teveel geld/moeite kost en ze zelf
niet de eerste slachtoffers zijn.
Dan maar liever de critici verwijten terug gooien en net
doen alsof er verder geen enkele fout zit aan de kant van
HSBC of Sophos.
49.95 euro + speciale pas a 7.50 euro + pinkosten)
Het is 'tijd' voor een afzonderlijk netwerk voor financiele
transacties........ (ondoenlijk? het ligt er al!)
Het is 'tijd' om in opstand (boycot) te komen tegen een systeem dat
NOOIT veilig zal kunnen functioneren en 'ons' door de strot is
geduwd en waarbij bijna ieder risico voor de klant/gebruiker is van
deze 'service' !
Maar ja, daar hebben de financiele instellingen al op geanticipeerd
door RFID chips in Euro biljetten aan te brengen waardoor ook deze
(anonieme?) betaalvorm van uitgifte tot uitgave gevolgd kan
worden.
B
Het blijft de vraag of banken verantwoordelijk zijn om hun
klanten tegen
keyloggers te beschermen. In de ideale situatie zou een bank
eerst
controleren of het systeem van de klant wel goed beveiligd
is, maar dat is
in de werkelijkheid onwerkbaar.
het ooit ergens is uitgevoerd) om klanten een (aangepaste)
linux live CD te geven. Het is een zeer gecontroleerde
omgeving die bij iedere boot hetzelfde is, certificaten van
de bank kunnen in de browser gezet worden, IP adressen
eventueel in /etc/hosts, of anders de DNS van de bank zelf
in de /etc/resolv.conf lijkt me eigenlijk best een ideale
situatie.
duidelijk dat de bank gefaald heeft. Het moet niet mogelijk zijn om oude
(tan) codes te hergebruiken.
Als alle codes anders zijn, eenmalig en in een niet voorspelbare volgorde
worden gebruikt zal een keylogger onvoldoende gegevens opleveren om
geld over te kunnen boeken. Als dat wel kan is het systeem niet goed.
Skimmen is ook iets waar banken voor verantwoordelijk kunnen worden
gehouden. De klant bezit niet de kennis of de middelen een
paskopieerapparaat te kunnen herkennen. Het gebeurt nog steeds bij
geldautomaten van banken. Het intoetsen van de pincode is niet afdoende
af te schermen. Wat hier faalt is het pas en pincode systeem. Daarvoor is
de bank zelf verantwoordelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.