Nieuws
image

Mobiele site Rabobank lekte inlogcodes

maandag 20 december 2010, 08:33 door Redactie, 8 reacties

Een beveiligingsprobleem met de mobiele website van de Rabobank zorgde ervoor dat kwaadwillenden de vijfcijferige inlogde van klanten konden achterhalen. Het probleem werd ontdekt door de 24-jarige student Sander Akkerman, die vervolgens Webwereld tipte. Door het niet goed afhandelen van foute inlogpogingen, was het mogelijk om via een brute force-aanval de inlogcode te raden. Na drie foute inlogpogingen kon een aanvaller nog steeds doorgaan met het proberen van inlogcombinaties. De website gaf steeds dezelfde foutmelding terug, totdat de juiste combinatie werd ingevoerd.

"Bij een verkeerde poging zegt het systeem dat de combinatie van rekeningnummer en code niet klopt. Als de code geblokkeerd is, meldt het ‘Deze code is geblokkeerd. Neem contact op met de Rabobank," aldus Akkerman tegenover Webwereld. Een aanvaller hoeft vervolgens alleen maar te wachten tot de code gedeblokkeerd wordt.

Foutmelding
Via de aanval kan een aanvaller de saldogegevens van de klant zien en geld tussen eigen rekeningen en bekenden overmaken. Voor transacties naar andere rekeningen is de Random Reader nodig, wat het leegplunderen van de rekening voorkomt. “Dit probleem staat precies zo omschreven op onze basischecklist voor webapplicaties. Ze hadden dit makkelijk vooraf af kunnen vinken", aldus beveiligingsexpert Frank van Vliet van Certified Secure.

Akkerman schreef een proof-of-concept om de aanval te demonstreren. De Rabobank heeft het probleem inmiddels opgelost door de foutmelding aan te passen.

Reacties (8)
20-12-2010, 09:17 door oom agent
Rabobank zit vol gaten kijk maar eens naar de ip via robotex
20-12-2010, 10:47 door Anoniem
Wat is in vredesnaam een mobiele website ??

Verplaatst zo'n website zich continu over het internet ??
Steeds een ander IP-nummer ?
Of wordt die server steeds rondgereden ?

-;)
20-12-2010, 11:25 door Zeurkool
Door Anoniem: Wat is in vredesnaam een mobiele website ??

Verplaatst zo'n website zich continu over het internet ??
Steeds een ander IP-nummer ?
Of wordt die server steeds rondgereden ?

-;)


Een speciaal voor gebruikers met een telefoon opgezette site misschien???
20-12-2010, 11:29 door Mysterio
Duidelijk een site waar niet heel diep over is nagedacht. De functionaliteit had weer meer aandacht dat de veiligheid.
20-12-2010, 11:54 door Anoniem
Het gaat hier om de app van Rabobank zoals die op een smartphone (en ook de zgn wap-website) te gebruiken is. Er is een lagere beveiliging (alleen 5 cijferige pincode, dus geen 'random reader' om in te loggen) waarbij je kunt overboeken tussen je eigen rekeningen en zgn. bekende rekeningen die het afgelopen jaar gebruikt zijn. Wordt echter het over te boeken bedrag te hoog, of is de rekening onbekend dan is echter gewoon de random reader nodig.
20-12-2010, 12:12 door anoniem lafbekje
Dat krijg je ervan als een bank mobiele telefoons gaat verkopen.
20-12-2010, 12:38 door Anoniem
Door anoniem lafbekje: Dat krijg je ervan als een bank mobiele telefoons gaat verkopen.

Dat heeft dus totaal niets met dit probleem te maken.
20-12-2010, 12:56 door Syzygy
Door anoniem lafbekje: Dat krijg je ervan als een bank mobiele telefoons gaat verkopen.

Ben je al vast de Gluhwein aan het proeven hahahaha
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure