Nieuws

Fortis, AEGON en ABN AMRO dichten lek in website

zaterdag 21 maart 2009, 09:40 door Redactie, 9 reacties

Fortis, AEGON en ABN AMRO zullen het beveiligingslek in hun website "zeer spoedig gaan oplossen", zo laat de hacker die het probleem gisteren wereldkundig maakte aan Security.nl weten. Beveiligingsonderzoeker Zarco Zwier ontdekte twee weken geleden dat het mogelijk was om via de zoekfunctie Cross-Site Scripting aanvallen op de websites van ING, ABN AMRO, AEGON Bank, Delta Lloyd, Binck Bank en Fortis uit te voeren. Alle banken werden op 4 maart ingelicht, maar alleen de ING bank nam de moeite om het probleem te verhelpen. In het ergste geval zou een aanvaller de internetbankieren sessie van een slachtoffer kunnen overnemen en ook het uitvoeren van een phishingaanval behoort tot de mogelijkheden.

"Bij misbruik van dergelijke beveiligingslekken is het mogelijk andere gegevens op de pagina te tonen wanneer een dergelijke link wordt aangeklikt of gegevens te ontfutselen die worden ingevuld", aldus Zwier. "Inmiddels heb ik ook bericht ontvangen van AEGON en de verantwoordelijke voor het zoekformulier bij ABN AMRO en Fortis. Zij hebben toegezegd dat het probleem zeer spoedig wordt opgelost." De onderzoeker wacht nog altijd op een reactie van Delta Lloyd en Binck Bank.

VS overwegen zwaardere straffen voor proxy-gebruik

Privacy-activist wil Google Street View aanpakken

Reacties (9)

21-03-2009, 12:04 door spatieman

zeer spoedig: over 6 maanden beginnen ze er aan te denken, hoe ze het gaan aanpakken...

21-03-2009, 15:43 door Anoniem

Wat is het nut van deze berichtgeving dat banken hebben toezeggingen om het te repareren? Heeft iemand hier enig idee hoeveel lekken er nooit bij het publiek bekend zijn? Maar nog belangrijker: wie zegt dat Zarco Zwiers voldoende weet van de omvang van het probleem? Hij kan alleen testen voor zover zijn creativiteit gaat om XSS te vinden. Of dat nu een beperking is door het gebruik van een tool of de beperking om het met eigen creativiteit te kunnen vinden. Laat de kunst van XSS vinden wat anders zijn dat het lek repareren. Als de banken zeggen dat het gerepareerd is en Zwiers weet het niet meer uit te buiten dan weet men Zwiers zoet te houden. Of het XSS probleem dan niet meer bestaat, dat kan je eigenlijk pas goed inschatten als bekend is welke invoer filtering er plaats vind. Een simpele blacklist, selectieve filtering, het zijn allemaal mogelijkheden die populair zijn maar waarbij de makers fouten blijven maken. En alleen de bank en hun ingehuurde auditor heeft daar echt zicht op.

21-03-2009, 16:21 door Paultje

Wat is het nut van deze berichtgeving dat banken hebben toezeggingen om het te repareren?

Nut is, dat je geld niet veilig op die banken staat en dat je beter naar de ING als bank kunt gaan.

21-03-2009, 19:24 door Anoniem

Of gewoon naar de rabo gaan die dit lek niet heeft..

21-03-2009, 22:56 door Anoniem

De exploit kans is niet zo verschrikkelijk groot. Je moet al ingelogd zijn op de site van de bank en je moet op een link klikken van de aanvaller.

Tips:
1. Zorg dat als je bankiert via internet, je maar 1 browser open hebt staan en verder geen andere sites bezoekt. Log altijd uit en sluit je browser af voordat je een andere site bezoekt.
2. Gebruik een andere browser (bijv. Opera) voor het bankieren dan het bezoeken van internetsites (bijv. Firefox).

22-03-2009, 04:26 door Anoniem

Door Paultje

Nut is, dat je geld niet veilig op die banken staat en dat je beter naar de ING als bank kunt gaan.

Dan weet je zeker dat je geld besteed wordt aan bonussen

22-03-2009, 09:04 door Anoniem

@Paultje.

Bij de ING wil ik niet vanwege het beloningsbeleid, bij Fortis wil ik niet vanwege wanbeleid, bij ABN wil ik niet vanwege staatsbeleid, bij SNS wil ik niet vanwege spambeleid .....

M.a.w. er blijft gewoon helemaal niks over als je principieel bent en daaraan vast houdt.

22-03-2009, 10:44 door Anoniem

Als je een inlogscherm kunt injecten, anoniem, gaat het niet om de integriteit van de systemen van de bank, maar die van de inlog gegevens van de klant van die bank.... (Das wat anders dan Zarco zelf liet zien)
Wat een onzin verhaal. Zarco Zwiers heeft - terecht - gedaan wat is gedaan.

23-03-2009, 17:13 door Anoniem

Inmiddels weten wij allemaal wat toezeggingen van banken waard zijn ! LOL

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer