Belgische banken hebben massaal de SSL-problemen die door een Belgische blogger werden ontdekt verholpen. Zo ondersteunen de banken geen oudere versies meer van het SSL-protocol. Het SSL-protocol wordt onder andere gebruikt om het verkeer tussen bezoekers en de banksite te versleutelen.
Blogger Yeri Tiete besloot de SSL-implementaties van de banken te testen via de website van SSL Labs. Het resultaat was schokkend, waarbij allerlei grote banken een onvoldoende scoorde. Zo werd bijvoorbeeld het SSL 3.0-protocol nog ondersteund. In dit protocol zijn kwetsbaarheden ontdekt die een aanvaller in bepaalde scenario's kan gebruiken om gebruikers aan te vallen.
De Belgische banken kwam na het bericht en de mediastorm die losbrak in actie en hebben grotendeels de gevonden problemen verholpen. Zo ging ING Belgie van een "F" naar een "A-". De Record Bank deed hetzelfde, zo blijkt uit een blogposting van Tiete. Fortuneo en Ogone scoren met een "C" het laagst, maar Ogone heeft aangegeven dat het vandaag de ondersteuning van SSL 3.0 zal stopzetten.
"We hebben vandaag beslist om de oudere SSL-versie 3 niet langer te ondersteunen en minstens TLS 1.0 te eisen. Hierdoor kan een beperkt aantal cliënten sinds vanmorgen niet meer inloggen. We nemen nu met hen contact op. Door deze aanpassing is onze score op de 'SSL Labs test' meteen verhoogd van C naar B, wat een veilige score is", zo liet Luk Lammens, woordvoerder van Bank van Breda & Co, maandag al tegenover Het Laatste Nieuws weten.
ING, Record Bank en Bank van Breda & Co benadrukken dat de veiligheid van online betalingstransacties op geen enkel moment in gevaar is geweest. "De aangehaalde gevoeligheden waren bekend", aldus een woordvoerder van Record Bank. "En de geplande aanpassingen worden versneld uitgevoerd, waardoor Record Bank nog in de loop van de dag een topniveau zal halen."
Ook de Keytrade Bank stelt dat haar website steeds veilig was. "We maken wel degelijk gebruik van het SHA-256 (SHA2) mechanisme", aldus de bank. "Sommige besturingssystemen van Apple zijn niet in staat zijn het certificaat van de uitgever te herkennen wanneer deze gebruik maakt van dat mechanisme. We bevelen al onze klanten aan om steeds de meest recente updates browsers en besturingssystemen te installeren."
Deze posting is gelocked. Reageren is niet meer mogelijk.