Een beveiligingsonderzoeker heeft op de websites van verschillende Nederlandse banken een beveiligingslek gevonden, maar ondanks een uitgebreide waarschuwing heeft alleen ING het probleem opgelost. Twee weken geleden ontdekte onderzoeker Zarco Zwier dat het mogelijk was om via de zoekfunctie Cross-Site Scripting aanvallen op de websites van ING, ABN AMRO, AEGON Bank, Delta Lloyd, Binck Bank en Fortis uit te voeren. "De reden dat ik mijn vindingen heb gepubliceerd is de simpliciteit van de lekken en het feit de lekken vrij simpel verholpen zouden moeten kunnen worden", zo laat Zwier tegenover Security.nl weten. In het ergste geval zou een aanvaller de internetbankieren sessie van een slachtoffer kunnen overnemen en ook het uitvoeren van een phishingaanval behoort tot de mogelijkheden.
Genegeerd
De onderzoeker heeft screenshots van de aanval gemaakt, maar informatie om de lekken te misbruiken verwijderd. Dat neemt niet weg dat de banken het probleem wel moeten oplossen. "Een ieder die behendig is in het vinden van Cross-Site Scripting lekken, kan deze binnen enkele momenten vinden." Zwier had één van de banken al op 18 augustus 2008 gewaarschuwd voor iets veel gevaarlijkers. "Na een aantal mailwisselingen heb ik hen weten te overtuigen van de impact van mijn vinding. Pas toen hebben ze ingestemd een wijziging door te voeren."
In dit geval werden alle betrokken banken op 4 maart ingelicht. Nu twee weken verder gaf alleen de ING bank gehoor aan de oproep van de onderzoeker om het probleem te verhelpen. Bij de vijf overige banken is de mogelijkheid tot Cross-Site Scripting nog steeds aanwezig.
Deze posting is gelocked. Reageren is niet meer mogelijk.