Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tien banken hadden xss-kwetsbaarheid - update

Een beveiligingsonderzoeker heeft in websites van tien banken, waaronder ING, de Rabobank en ABN Amro, een xss-kwetsbaarheid gevonden. Daardoor konden kwaadwillenden eigen formulieren in de websites van de banken injecteren. Het probleem is inmiddels opgelost.

Naast ING, de Rabobank en ABN Amro hadden ook de websites van Binck, Alex, ASN, Knab, SNS, Triodos en de Belgische Van Lanschot-site last van het cross site scripting-probleem, zegt onderzoeker Wouter van Dongen van DongIT tegenover Nu.nl. "Die zaten voor het overgrote deel in Flash-bestanden", zegt hij tegenover Tweakers.

De xss-kwetsbaarheden bevonden zich in de voorpagina's van de bankensites. Een aanvaller had het probleem kunnen misbruiken door eigen code te injecteren in de website, maar hij moest zijn potentiŽle slachtoffers er dan wel toe verleiden om op zijn link te klikken. De techniek zou onder meer kunnen worden gebruikt in phishing-mails. Gebruikers worden vaak opgeroepen om de url van de site te controleren. Die zou dan kloppen, terwijl de aanvaller zijn eigen code kan injecteren.

Van Dongen heeft een proof of concept gemaakt waarbij de html-elementen op de bankensites beginnen te schudden. "Ik heb expres geen eigen formulieren op de bankensites gezet", aldus Van Dongen. Inmiddels hebben de banken het beveiligingsprobleem opgelost.

Woordvoerder Ronald van Buuren van ING bevestigt de bevindingen van Van Dongen. "We zijn in november benaderd, en daarna is het beveiligingsprobleem vrij snel opgelost", aldus Van Buuren. Hoe snel het probleem is opgelost, is niet bekend. Van Buuren zegt blij te zijn met hulp van onderzoekers als Van Dongen. Ook woordvoerder Margo van Wijgerden van de Rabobank bevestigt het lek. Volgens haar ging het om een relatief klein probleem.

Update, 20:57: Reactie Rabobank toegevoegd.

Door Joost Schellevis

Redacteur

12-01-2015 • 16:08

65 Linkedin Google+

Reacties (65)

Wijzig sortering
Langer, dat klopt maar ik heb er dan ook aardig voor m'n windows licenties moeten betalen. Van Google mag ik gratis android gebruiken, is om die reden alleen al niet echt te vergelijken. 2 jaar is bovendien best lang in de mobiele wereld waar de ontwikkelingen zich nog steeds in een hoog tempo opvolgen.
android is niet gratis je betaald met je privacy en google dat alles van jou logt.

Voor sommige mensen is dat gratis maar dat is het dus keihard niet.
Waarom lukt het diverse Linux-distributies als Debian dan wel om beveiligingspatches buiten een cyclus uit te brengen, zonder dat daardoor systemen omvallen?

Wat betreft je laatste punt: je weet niet of 0-days al misbruikt worden. Dat is waarom je aan moet nemen dat ieder lek al misbruikt wordt, en zo spoedig mogelijk moet patchen.
ja heeeel goed... krijgt niet voor betaald... kost hem veel werk en tijd en de bedrijven krijgen de info gratis en dat kan gewoon weg niet ...

en een dom tshirt helpt ook niet.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True