Onlangs ontdekte een Nederlandse onderzoeker dat de websites van tien banken kwetsbaar voor Cross Site Scripting (XSS) waren, maar voor zover de Betaalvereniging Nederland kan zien zijn dit soort kwetsbaarheden nog nooit in Nederland gebruikt voor het uitvoeren van aanvallen op internetbankieren.
Dat blijkt uit antwoord van minister Dijsselbloem van Financiën op Kamervragen van PvdA-Kamerleden Nijboer en Oosenbrug. De onderzoeker die het probleem ontdekte stelde dat de gevonden XSS-kwetsbaarheid voor phishingaanvallen gebruikt had kunnen worden. Hierbij had een aanvaller het slachtoffer wel eerst naar een kwaadaardige website moeten lokken, bijvoorbeeld door een e-mail te versturen.
Volgens Dijsselbloem (pdf) testen de banken zelf op beveiligingslekken en zorgen ze dat hun systemen regelmatig worden geüpdatet. Toch zijn dergelijke beveiligingsproblemen nooit helemaal uit te sluiten, aldus de minister. Hij merkt verder op dat het probleem van cross site scripting vaker is geconstateerd en eerder is aangepakt door de banken. De Betaalvereniging Nederland heeft de minister laten weten dat het niet bekend is met aanvallen waarin gebruik werd gemaakt van het inmiddels verholpen XSS-lek of vergelijkbare lekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.