image

Hacker kraakt websites ING, Dexia en HSBC

maandag 7 september 2009, 09:42 door Redactie, 16 reacties

De Roemeense hacker Unu is erin geslaagd de websites van HSBC, Dexia en ING Belgie te hacken en zo een onbekend aantal klantgegevens en andere vertrouwelijke informatie buit te maken. Via SQL-injectie wist hij toegang tot verschillende databases te krijgen, maar in het geval van Dexia was het ook mogelijk om "load_file execution" uit te voeren. "Met enig geluk kunnen we een schrijfbare directory vinden, kwaadaardige code injecteren, vervolgens krijgen we command line toegang waarmee we bijna alles met de website kunnen doen", aldus Unu. Zo is het mogelijk om shells te uploaden, redirects in te stellen, pagina's te infecteren met Trojan droppers en zelfs het defacen van de website.

Bij de Belgische afdeling van ING betrof het de Giftshop, toch schrok de Roemeense hacker van de gebrekkige beveiliging. Zo was het admin wachtwoord in platte tekst opgeslagen, wat ook gold voor de wachtwoorden van alle geregistreerde gebruikers. "ING is één van de grootste financiële instellingen ter wereld. Toch slaagt zo'n grote financiële instelling er niet in de eigen database te beveiligen!" Hoewel de SQL-injectie in de cadeauwinkel zat, ontdekte de hacker dat die zich op de "grote ING server" bevindt.

Slordig
Via een onbeveiligde parameter wist Unu volledige toegang tot de database van HSBC Frankrijk te krijgen. "Zeer ernstig en gevaarlijk, met name bij een bank die internetbankieren heeft." De hacker probeerde de beveiligingsproblemen te melden, maar vond geen contactgegevens. Daarop stuurde hij een bericht naar de webmaster, admin, abuse en security e-mailadressen, maar ontving alleen een out-of-office bericht dat mensen op vakantie waren. "Het is ongelooflijk om bij zo'n grote bank geen competente medewerker te vinden die de e-mail kan beantwoorden." Ondanks herhaaldelijke pogingen blijkt de bank niet te reageren. Daarom zal de hacker vandaag de onveilige parameter publiceren.

Met dank aan Christiaan en Fish_ voor het melden van dit nieuws

Reacties (16)
07-09-2009, 10:10 door Thijzzz
naming and shaming.

Er wordt vast een directeur gebeld door een verslaggever, die vervolgens een manager ICT uit zijn hotelletje wakkerbelt, die een systeembeheerder uit zijn tentje in de Jura belt...

die logt vervolgens in met 1k2 via zijn nokia- type middeleeuw, en krijgt de zwarte piet zodra ie teruggereden is.
07-09-2009, 10:39 door Anoniem
Hoezo de "grote ING server"? Wat is dat voor onzin.
07-09-2009, 10:43 door U4iA
ING weet dus zelfs met die miljarden belasting poet niet eens bekende lekken in software op te lossen?!? Dat Bos daar überhaupt nog geld in stopt!
07-09-2009, 10:47 door Anoniem
Lezen ;)
"ING Belgie", niet ING Nederland!
07-09-2009, 10:53 door Anoniem
Er wordt nog steeds teveel op 'security by obscurity' gestoelt. Jammer, want oplossingen voor deze issues zijn legio.
07-09-2009, 11:25 door Anoniem
ING staat niet bekend om de aandacht voor veiligheid maar wel krenterigheid. Daar hebben wel meer banken last van, maar ik vind het bij hun nogal opvallend. Ik verbaas me er dan ook niet over dat deze banken de klos zijn.

Overigens vind ik het niet netjes van deze hacker om de persoonsgegevens van een aantal klanten ook mee te publiceren in de screenshots.
07-09-2009, 12:27 door Anoniem
1-0 voor Oranje ;)
07-09-2009, 12:31 door spatieman
tja.
maar zo hebt die wel bewijs geleverd dat het gelukt is.
dom ook om de wachtworden in plain tekst te op te slaan..
07-09-2009, 12:56 door [Account Verwijderd]
[Verwijderd]
07-09-2009, 16:36 door Anoniem
"Daarom zal de hacker vandaag de onveilige parameter publiceren. "

Goh wat zullen de klanten daar blij mee zijn.
als het net zo een bank is als in amerika ;-)
het is hun EIGEN SCHULD *kuch kuch *
07-09-2009, 18:11 door TD-er
Door Anoniem: 1-0 voor Oranje ;)
Dat de NLse tak van de ING niet gemeld wordt in dit bericht, zegt niets over de veiligheid.
07-09-2009, 20:06 door cyberpunk
Volgens Dexia is er niet veel aan de hand: "er is geen geld verdwenen van de klanten".

http://www.deredactie.be/cm/vrtnieuws/binnenland/090907_sites_gekraakt
07-09-2009, 22:42 door Bill Torvalds
Nou lees ik in een ander nieuws artikel die ik gegoogled heb dat de betreffende waakhond er voor zorgt dat internetbankieren nu veiliger gaat worden.

Zijn ze daar nu pas wakker?
07-09-2009, 23:13 door Karl Hungus
Zoals altijd (in België) moet er eerst wat (ergs) voorvallen voordat men in actie schiet.
De reacties:

http://www.standaard.be/Artikel/Detail.aspx?artikelId=DMF20090907_015&word=ing Test-Aankoop 'niet verrast' door hackers
http://www.standaard.be/Artikel/Detail.aspx?artikelId=OT2EH85K CBFA verstrengt regels internetbankieren
http://www.standaard.be/Artikel/Detail.aspx?artikelId=E42EPFA3 Het internetbeveiligingsbeleid in ons land laat al jaren te wensen over, maar daar lijkt nu wat verandering in te komen
08-09-2009, 21:27 door Anoniem
Door Anoniem: Lezen ;)
"ING Belgie", niet ING Nederland!
Jaaaaaaaa Ik denk ook echt dat het in Nederland heel anders is.
Een bedrijf als de ING heeft natuurlijk per land een heel ander beleid en gebruikt heel andere beveiligingsmethoden en middelen.

m.a.w als het in Belgie lukt, maak dat mij niet echt heel gerust voor de Nederlandse kant van de bank.

Peterbd
14-09-2009, 13:22 door Anoniem
Door Anoniem: Er wordt nog steeds teveel op 'security by obscurity' gestoelt. Jammer, want oplossingen voor deze issues zijn legio.

Daar ben ik het helemaal mee eens. Maar innovatieve oplossingen zijn ook vaak een beetje eng voor banken. Wat als dat ook weer problemen/veiligheidsrisico's met zich mee brengt. Of wat als het niet werkt. De gehandteerde methode is zeker niet waterdicht, maar het blijft (dat denken ze tenminste) overzichtelijk voor de banken.

Toch hadden ze deze aanval niet verwacht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.