![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
![[quick]](http://tweakimg.net/g/if/icons/world_link_cropped.png){kind=icon}
De Rabobank heeft een lek in zijn mobiele site gedicht waarmee kwaadwillenden eenvoudig achter inlogcodes van klanten van de bank konden komen. Een brute force-aanval kon de code achterhalen, aangezien deze een andere foutmelding gaf.
De mobiele site en diverse apps van de Rabobank maakten gebruik van een vijfcijferige inlogcode. Wie de verkeerde code intikt, krijgt de melding dat de combinatie van code en inlognaam niet klopt. Na drie keer wordt de code geblokkeerd, maar de site blijft dezelfde melding afgeven, totdat de juiste code wordt ingevoerd. In dat geval zegt het systeem dat de desbetreffende code is geblokkeerd en dat de klant contact met de klantenservice moet opnemen.
Door een script te schrijven dat alle vijfcijferige codes afgaat, is dus de juiste te achterhalen. Vervolgens hoeft de kwaadwillende alleen te wachten tot de code wordt gedeblokkeerd, wat standaard zou gebeuren als de klant de blokkade bij de servicebalie meldt. De 24-jarige student Sander Akkerman, die het lek ontdekte, schreef een proof of concept dat werkte, volgens Webwereld. De Rabobank heeft het lek gedicht na met het probleem te zijn geconfronteerd; nu geeft de bank bij elke poging dezelfde melding.
Rekeningen leeghalen was niet mogelijk via het lek, maar wel waren saldogegevens in te zien en was geld overmaken naar bekenden mogelijk. Voor overmaken naar andere rekeningen is de Random Reader vereist en ook voor inloggen bij de normale site is die reader nodig.
 09:42 |
Verenigde Staten willen Julian Assange vervolgen |
 08:56 |
Britse minister wil onlineporno standaard blokkeren |
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.png "Reactie uitklappen")
Niet dat het veel uitmaakt, want ook die zijn eenvoudig allemaal te proberen.
