Onderzoeker had toegang tot alle rekeningen van Indiase bank door lek systeem

Beveiligingsonderzoeker Sathya Prakash Kadhirvelan ontdekte meerdere kwetsbaarheden in een app voor mobiel bankieren van een grote Indiase bank. Daardoor was hij in staat om informatie over elke rekening in te zien en geld over te maken tussen willekeurige bankrekeningen.

De onderzoeker schrijft dat zijn eigen bank eind 2015 een app voor mobiel bankieren uitbracht, waarna hij besloot deze eens onder de loep te nemen. De eerste kwetsbaarheid die hij vond was het feit dat de bank niet gebruikmaakte van certificate pinning, waardoor het voor hem mogelijk was om een door hemzelf ondertekend certificaat te gebruiken en verkeer te onderscheppen. Bovendien maakte de bank gebruik van een verouderd protocol om een beveiligde verbinding op te stellen, namelijk ssl 3.0.

Door het gedrag van de app te analyseren kwam de onderzoeker er vervolgens achter dat deze bij het opstarten een check uitvoert om te achterhalen of er een nieuwe versie beschikbaar is. Uit dat verzoek kon hij een session id vaststellen, waarvan na enig onderzoek bleek dat deze nooit verliep. Daarnaast was het mogelijk om via dit id zonder authenticatie gegevens van een bankrekening op te vragen, zoals het saldo.

Ook kon de onderzoeker via een curl-verzoek geld overschrijven van en naar willekeurige rekeningen, omdat de app niet controleerde of de nodige klant-id en pin afkomstig waren van de partij die het geld verstuurt, maar slechts het onderlinge verband van de twee naging. Hij kon dus zijn eigen klant-id gebruiken voor betalingsverzoeken vanaf andere rekeningen.

Hij probeerde dit uit aan de hand van rekeningen van familieleden en kon inderdaad geld overmaken, ook al was een bepaalde rekening helemaal niet aangemeld voor internetbankieren. De bank verstuurde wel een sms-notificatie bij een betalingsverzoek, maar achterhaalde het telefoonnummer door de klant-id te checken. Daardoor werd de notificatie naar de potentiële aanvaller gestuurd, en niet naar het slachtoffer.

Nadat de onderzoeker de bank in november 2015 op de hoogte had gesteld van zijn bevindingen duurde het twaalf dagen voordat hij een antwoord kreeg. Daarin beloofde de bank de door hem voorgestelde verbeteringen door te voeren, zoals het gebruik van tls. De vraag of er een bug bounty-programma bestaat en wanneer de verbeteringen doorgevoerd worden, is tot op heden niet beantwoord, zo schrijft de onderzoeker. Volgens zijn eigen berekeningen op basis van publieke informatie van de bank had hij toegang tot een geschatte 25 miljard dollar.

IT-banen

Reacties (64)

ikweethetbeter 17 mei 2016 16:56

Triest verhaal... Nu ben ik benieuwd hoe het met onze banken gesteld is!

Neophyte808 @ikweethetbeter • 17 mei 2016 19:03

Zo: https://decorrespondent.n...de/1140066560490-607f3373

ikweethetbeter @Neophyte808 • 18 mei 2016 08:50

Interessant verhaal! En ik zag er nog een bekende naam in staan uit mijn periode dat ik als consultant bij oa banken werkte...

Ik wist al dat het qua infrastructuur houtje-touwtje was, en dat er op vele manieren oude en nieuwe systemen aan elkaar geknoopt zijn (via flat files en ESB's en telex-netwerken en ...), maar dat de individuele software-onderdelen ook al aan alle kanten gepatcht zijn is nieuw voor mij.

Ik hoop dat ze de portal, dus waar je met je browser of je app binnenkomt, wel vanaf de grond helemaal schoon en veilig hebben opgebouwd!

kimborntobewild @ikweethetbeter • 17 mei 2016 17:01

Het is bij onze banken als volgt gesteld: zo lang de kosten van het dichttimmeren van lekken duurder wordt ingeschat dan de gevolgen voor de bank, zullen ze die lekken niet dichttimmeren.
Niet privacy en veiligheid is prioriteit nr.1; maar geld. Dat kan, omdat er niet veel toezicht is op de banken.
Niettemin is de gemiddelde nederlandse bank vast een stuk beter in apps dan deze indiase bank.

kvdveer @kimborntobewild • 17 mei 2016 17:28

> Dat kan, omdat er niet veel toezicht is op de banken.

Jij bent duidelijk niet goed geïnformeerd over hoeveel toezicht er is op de bankenwereld. De bankenwereld is de meest gereguleerde sector in de westerse wereld. Nederlandse banken hebben te voldoen aan de regelgeving van Nederland, Europa, en alle landen waar ze zaken mee doen (in praktijk dus bijna alle landen ter wereld). Banken hebben hele afdelingen die zich uitsluitend bezig houden met het aantonen dat ze aan de regeltjes houden. Die diverse regelgevers eisen allemaal gedetailleerde rapportages, die ze steekproefsgewijs controleren. Bij non-conformiteit krijgen ze een boete, of wordt de banklicentie ingetrokken.

mancide @kvdveer • 18 mei 2016 10:08

Ik heb 2 jaar terug ook een melding gemaakt bij mijn bank dat ik andere bankrekeningen kon inkijken.
Het gebeurt dus niet enkel in India.
Binnen de 3 uur na mijn mail hingen ze al aan de telefoon en binnen de 24 uur was het probleem opgelost.
Wel nooit geen beloning gekregen...

Iblies @kvdveer • 17 mei 2016 18:45

Kom op en doe normaal.

De bankensector is een sector waarbij er juist zoveel regels zijn dat niet-confirmeren zonder de regels te overtreden tot een sport is verheven. En als ik daarbij belastingontwijking roep en dat dat gewoon kan dan zal dat bij de meeste wel een belletje rinkelen.

De banken-sector wordt deels door zichzelf gecontroleerd. Het zijn namelijk accountants-bureau als Deloitte die de cijfers komen controleren,
echter is het stuivertje wisselen met de register-accountants. Die kunnen net zo makkelijk aan de slag bij een financiële instelling.

En dat klinkt misschien gek,
maar het is gewenst dat controle door een extern bedrijf wordt gedaan, echter worden de getallen al van te voren geprepareerd door accountants van hetzelfde kaliber maar die dan voor instelling werken. De vijver waar uit gevist wordt is daarbij niet eens denderend groot.

En dat keer op keer een bom knalt waar de samenleving voor opdraait is niet uniek.
Argentinië, Mexico, bric-landen, Enron, banken-crisis, Griekenland, van China weten we allemaal dat de optelsom niet klopt en de lijst is echt oneindig lang omdat lokale problemen Nederland niet eens bereiken.

De controle is uitbesteed en de kwaliteit van de controleur is matig of zelfs ronduit slecht en dient niet altijd hetzelfde en sowieso niet het maatschappelijk belang.

kvdveer @Iblies • 18 mei 2016 08:35

Het zijn namelijk accountants-bureau als Deloitte die de cijfers komen controleren,
echter is het stuivertje wisselen met de register-accountants. Die kunnen net zo makkelijk aan de slag bij een financiële instelling.

Als je daar ook maar 1 echte aanwijzing voor hebt - bel dan alsjeblieft Zembla: het land moet dat weten!

Als je alleen maar onderbuikgevoelens aan het uiten bent, kun je dat misschien beter alleen op de WC doen.

Iblies @kvdveer • 18 mei 2016 09:55

Je mag twijfelen,
maar Nout Wellink die een commissariaat krijgt bij PwC.

Inderdaad, de man van DNB. Ook de man die aangaf dat hij op de hoogte was van een aantal zaken maar dat hij deze niet kon/mocht escaleren vanwege protocollen.

Icesave was een voorbeeld, maar Libor-schandaal viel ook zijn periode, maar hij heeft een hele rits aan tekortkomingen. Deze vent gaat nu toezicht houden.

Iblies @hmr • 18 mei 2016 12:14

Heeft niets te maken met alu, maar met normen en waarden.

Het is vreemd dat hij nu een functie vervult die in het leven is geroepen om te voorkomen dat fouten in het verleden zich opnieuw herhalen, terwijl bekend is dat hij een persoon van belangen en protocollen is en die vaak heeft mee laten wegen in beslissingen waarbij het maatschappelijk belang het heeft afgelegd.

En een ongezonde balans tussen maatschappelijke en financiële normen en waarden zie je overal terugkomen en is niet alleen voorbehouden aan de financiële wereld.

Het grote verschil is dat een normaal bedrijf failliet gaat, terwijl een financiële instelling is afgedekt door de maatschappij.

kimborntobewild @kvdveer • 17 mei 2016 17:40

Jij bent duidelijk niet goed geïnformeerd over hoeveel toezicht er is op de bankenwereld. De bankenwereld is de meest gereguleerde sector in de westerse wereld.

Banken mogen nog steeds investeren in (leef)milieuonvriendelijke zaken (zoals Monsanto), dus nee: het is helemaal niet goed gereguleerd. In mijn ogen.

Banken hebben hele afdelingen die zich uitsluitend bezig houden met het aantonen dat ze aan de regeltjes houden.

Da's nu net vaak een probleem: ze willen ervoor zorgen dat ze net binnen de regels blijven; c.q. kijken hoe ver ze kunnen gaan. Nog steeds verdienen bankiers veel meer dan de minister-president. Laten we bijv. een limiet hanteren: niemand in publieke of semi-publieke sector mag bijv. meer dan 10x zoveel verdienen als bijstands/minimumloonniveau. Ik vind dat banken bij de publieke of semi-publieke sector zou moeten horen.

Arokh @kimborntobewild • 17 mei 2016 18:22

Banken die van de overheid zijn (abn) vallen ook onder die regels. Ok banken met overheidssteun (ing vroeger)

Als ze bij de publieke of semi publieke sector zouden moeten horen worden ze per definitie onderdeel van de overheid, en dus ambtenaar. Eerlijk gezegd weet ik niet of dat beter zou zijn...

Glashelder

@Arokh • 18 mei 2016 08:03

Je weet dat Gerrit Zalm € 759.375,00 per jaar opstrijkt?
Mathijs van Nieuwkerk: € 580.000,00.

Die limieten worden niet afgedwongen. Die zijn er alleen maar om het volk een idee te geven dat de overheid iets aan de exorbitant hoge beloningen in de (semi) publieke sector doet.

Ik meen me te herinneren dat er een land is (Noorwegen?) dat als regel hanteert dat de meest verdienende in een bedrijf niet meer dan 10x het salaris van de minst verdienende mag binnenharken. Het gevolg is dat schoonmakers een stuk beter betaald worden

Arokh @Glashelder • 18 mei 2016 09:30

dat zou ik ook een mooi regel vinden trouwens. Maximaal 10x of eigenlijk 7x het salaris. Maar dan wel inclusief mogelijke bonussen etc.

Ik weet dat die mensen veel verdienen. Dat heeft voor zover ik weet ook te maken met vroegere afspraken. Er werd al (te) veel verdient voordat het genationaliseerd werd.
(zo werkte ik in de zorg (geen grote organisatie) waar onze financiële manager (3 dagen werk per week) eventjes ruim 2 ton per jaar kreeg. Boven de norm, maar omdat hij niet de echte topman was mocht dat (interim wat elke keer verlengd werd). Zijn beste maatje was de directeur (ze werken al lang samen bij verschillende bedrijven vroeger) en schoven elkaar op deze manier de dure baantjes toe).

Bij de publieke omroep (en sommige andere branches) kan ik me ergens een beetje voorstellen dat de toppers binnenboord gehouden moeten worden, maar nooit tegen elke prijs.

Ik weet niet of v Nieuwkerk echt naar SBS6 zou gaan als hij daar 5 ton verdient tegen 1 ton bij NPO 1. Dan heeft hij nauwelijks kijkers meer en er zijn altijd mensen die hem kunnen vervangen en goed zijn.

Dus ja, ik denk wel dat wij op één lijn zitten hoor!

_Pussycat_ @kimborntobewild • 18 mei 2016 08:00

Uiteraard mogen banken in mosanto investeren, net als jij en ik. Dat jij het geen goed bedrijf vindt heeft met bankenregulering niks te maken.
En waarom zou het loonniveau gereguleerd moeten zijn? Bij vrij ondernemerschap mag iedereen dat zelf betalen, en schijnbaar is het voor de aandeelhouders zo OK.

Ik geloof dat je er en probleem mee hebt dat ze op winst gericht zijn. Maar de regels zijn er alleen om ervoor te zorgen dat ze niet schadelijk zijn.

Arokh @kvdveer • 17 mei 2016 18:20

Het voldoen aan basale regels overal waar je zaken doet is volkomen normaal. Als ze dat niet zouden doen zijn ze nog crimineler bezig dat nu.

In jouw redenatie is ook gentech, aanhangerverhuur en slagerij de meest gereguleerde sector, omdat ze zich aan regels moeten houden.

Kain_niaK @kimborntobewild • 17 mei 2016 20:38

Europese online banking is 100 keer veiliger dan hier in Canada. Voor mijn online banking is alias of account nummer plus password genoeg. Password maximaal 8 characters lang en alleen alfanumeriek Op nieuwe systemen word er een van je geheime vragen gesteld en dan een cookie geplaatst + ip onthouden. Met een simpele RAT en keylogger kan ik dus toegang krijgen. Waarom is het zo onveilig hier? Omdat het de banken niet veel kan schelen. Meeste mensen hier zijn gekend door hun local branch. Als iemand geld steelt bel je de bank en ze draaien de transactie gewoon terug. Bank verliest geen geld. Enige manier van fraude is dus iemand zijn rekening gebruiken om voor spullen te betalen, eenmaal die verzonden zijn kan de transactie terug gedraaid worden maar heeft de dief wel zijn spullen. De verkoper is dan het slachtoffer, zijn geld verdwijnt opeens. Hier word alles nog met cheque gedaan. Online overschrijving naar een rekening nummer kennen ze niet. Alleen email transfers voor 3 dollar per transfer. Redelijk omslachtig maar goed. Nee met online banking mogen ze in Nederland en België best blij zijn. Het is niet overal zo goed en goedkoop. Hier krijg je maar een handje vol transacties gratis per maand, daarna 2 dollar per transactie. Leuk als je voor 50 cent een kauwgumpje koopt. Ik kan natuurlijk een duurdere bankrekening nemen en 25 CAD per maand betalen maar daar per ik principieel tegen. Ze hebben toch al toegang tot al mijn geld, waarom moet ik dan nog 300 CAD per jaar betalen? Maar goed hier is 2008 geen enkele bank om gevallen dus misschien hebben ze een punt.

[Reactie gewijzigd door Kain_niaK op 23 juli 2024 20:52]

Firefly III @kimborntobewild • 17 mei 2016 17:33

Wat apart dat je een [+1] krijgt voor deze ongefundeerde kletskoek.

Nederlandse banken steken kapitalen in de beveiliging van hun systemen. Veel en veel meer geld dan er verdwijnt via list, fraude en bedrog. Dat valt via elk jaarverslag na te gaan.

Dat banken als prioriteit geld hebben is makkelijk scoren. We hebben het over banken. Dichter op geld kan je zowat niet zitten. Al ken ik weinig andere bedrijven die van lucht kunnen leven.

Daarnaast: openstaande lekken kosten geen statisch bedrag aan geld. Het is niet zo dat een gaatje zo groot als een vinger, zo groot als een vinger blijft. Als een bank een lek heeft, wordt dat lek een gat, dat wordt een scheur, en voor je het weet is je bank leeg.

Maar ik snap dat het nou eenmaal makkelijk karma scoren is op banken. Ik vind dat alleen meer iets voor Nujij, dan voor Tweakers.net

bigbadbull @Firefly III • 17 mei 2016 17:42

en dat is dan ook DE manier om het opgelsot te krijgen door de onderzoeker.
hoeft gewoon het geld van de CEO overschrijven naar een geblokkeerde rekening op een andere bank, totdat het lek gedicht is.

Firefly III @kimborntobewild • 17 mei 2016 17:47

Nee want daar komt niemand achter. Mijn hemel. Denk je dit echt, of zit je gewoon te trollen?

kimborntobewild @Firefly III • 22 mei 2016 17:29

Ik weet het wel zeker.

downtime @kimborntobewild • 17 mei 2016 17:28

Dat is toch overal? Heb jij voor een miljoen euro aan sloten en alarminstallaties op je huis zitten? Of maak je een afweging tussen kosten en risico? Banken zullen het nodige doen, niet het onnodige.

Durandal @downtime • 17 mei 2016 17:57

Als ik voor miljarden aan waarde in mijn huis had liggen dan zou ik voor miljoenen aan sloten hebben, ja.

Blijkbaar, als ik naar die bank kijk, en naar de twee banken die onlangs gehackt zijn, doen banken niet altijd het nodige.

Arokh @Durandal • 17 mei 2016 18:17

Dan gaat het om percentages.

Als jij 25 miljard dollar thuis hebt investeer jij miljoenen.
Deze bank heeft vast ook miljoenen uitgegeven aan kluizen, de appbeveiliging, site beveiliging, en alle andere onderdelen die daarbij horen. Dat telt allemaal hard op hoor.

kimborntobewild @downtime • 17 mei 2016 17:44

Regelmatig duiken er weer lekken op; dus dat ze het nodige doen, lijkt mij te enthousiast.

Rutix @kimborntobewild • 17 mei 2016 20:33

Helemaal niet. Je scheert alle banken nu over 1 kam terwijl als je objectief er naar kijkt relatief weinig grote lekken bij banken zijn. We hebben echt duizenden banken op de wereld en omdat er nu 2 gehackt zijn, zijn ze allemaal laks? Dus omdat er moordenaars in Nederland leven zijn we maar allemaal moordenaars?

kimborntobewild @Rutix • 22 mei 2016 17:39

Ja hoor... alsof dit de enige 2 banken zijn waarbij een lek is ontdekt. En de lekken die naar buiten komen: da's slechts het puntje van de ijsberg. Denk je dat banken het graag een de grote klok hangen als er weer een lek is gevonden?

Rutix @kimborntobewild • 22 mei 2016 21:14

Je doet nu wel veel aannames zonder die te onderbouwen met bewijs. Ik heb toevallig wel insider informatie en ik weet dus zeker dat veel banken echt wel veel doen om zich goed te beveiligen. Dus wat jij zegt is misschien zo voor een paar banken maar zeker niet allemaal. Lekken en bugs kunnen altijd ontdekken want geen een stuk software is veilig of bugvrij.

kimborntobewild @Rutix • 24 mei 2016 08:37

Lekken en bugs kunnen altijd ontdekken want geen een stuk software is veilig of bugvrij.

Een punt is dat bij banken besturingssystemen, firmware / drivers, en software zelden Open Source is. Banken hanteren daarmee nog massaal Security by Obscurity - een falend model.

Rutix @kimborntobewild • 24 mei 2016 15:51

Het is al lang bewezen dat Open Source per definitie niet betekent dat iets veiliger is. Er worden genoeg security audits gedaan dat het prima met commercial software kan.

kimborntobewild @Rutix • 10 juni 2016 11:08

Het is al lang bewezen dat Open Source per definitie niet betekent dat iets veiliger is.

Open Source is per definitie een voorwaarde voor veiliger software. Dat is anders dan dat het per definitie veilig is.
Waarom is dat dan wel veiliger?
-Iedereen kan in de code kijken. Er stiekum spionage in stoppen kan dus niet. Er stiekum een phone-home functie dus ook niet. Bij slechte code op 't gebied van security wordt de programmeur afgestraft; immers: iedereen kan je broddelwerk zien. Simpele conclusie: Open Source heeft per definitie stappen vóór op Closed Source.

Er worden genoeg security audits gedaan dat het prima met commercial software kan.

Een security audit kan nooit op tegen het wereldwijd door iedereen in de code kunnen kijken.

Rutix @kimborntobewild • 10 juni 2016 17:41

Een security audit kan nooit op tegen het wereldwijd door iedereen in de code kunnen kijken.

In theorie ja. Maar als er niemand naar kijkt dan kan een security audit er zeker wel tegenop. Plus de bank systemen en standaarden zijn echt wel een vak apart dat ik professionele audits boven een paar random mensen kies.

Ik zeg niet dat open source niet helpt maar het is een utopie om ervan uit te gaan dat als code opensource is dat er mensen ook naar kijken om security issues op te speuren. Dat gebeurt echt niet altijd.

Keypunchie @kimborntobewild • 17 mei 2016 20:14

Onzin.

Nederlandse banken werken samen op gebied van beveiliging en fraudebestrijding. Er is streng toezicht vanuit de AFM en DNB/ECB.

In de praktijk betekent dit o.a. geregelde audits zowel intern als extern, strenge technische eisen (inclusief specificatie van bvb. Ciphersuites) en regelmatige Disaster Recovery oefeningen.

Security is verre van een ondergeschoven kindje. Niet zo gek, omdat vertrouwen een van de belangrijkste peilers van ern bank is. Wat niet wil zeggen dat er nooit iets mis gaat bij een bank, want het blijft mensenwerk. Wel dat er serieuze en constante aandacht voor het onderwerp is.

--Andre-- @Keypunchie • 17 mei 2016 20:33

Nederlandse en Europeese banken lopen voor zover mij bekend voorop op het gebied van beveiliging. In sommige landen, zoals de Verenigde Staten hebben ze nog nooit van een chip gehoord en betalen ze nog steeds met magneetstrips.

TWyk @--Andre-- • 17 mei 2016 21:06

In sommige landen, zoals de Verenigde Staten hebben ze nog nooit van een chip gehoord en betalen ze nog steeds met magneetstrips.

Dat is achterhaald. Momenteel worden de EMV chip kaarten al op grote schaal in de US verspreid maar het duurt wel een paar jaar voor alle terminals zijn aangepast.

Ongeveer 7 van de 12 miljoen terminals in de VS zijn nu al geschikt voor chip kaarten maar de meeste moeten nog geupgrade worden met gecertificeerde software. Naar verwachting zullen eind 2016 6 miljoen terminals in staat zijn om chip based pinbetalingen te verrichten. In 2017 zullen de meeste andere volgen.

--Andre-- @TWyk • 17 mei 2016 22:24

Ik was er vorig jaar en heb nog geen chip gezien, niet in de winkels, niet op de bankpassen.

TWyk @--Andre-- • 18 mei 2016 10:33

Ik was er vorig jaar en heb nog geen chip gezien, niet in de winkels, niet op de bankpassen.

Men is in de VS begonnen met de chips in creditcards en ligt wat achter bij gewone bankpassen (debitcards) omdat de fraude ratio veel hoger is bij creditcards. Er waren eind 2015 zo'n 500 miljoen passen in de VS met een chip.
In oktober 2015 is er een 'liability shift' geweest waardoor betalingsverwerkers altijd volledig aansprakelijk zijn voor fraude met betaalpassen zonder EMV (met name dus bij skimmen) . Dat heeft in 2015 een flinke versnelling aan de uitrol gegeven en dat zal in 2016 voortduren.

--Andre-- @TWyk • 18 mei 2016 13:11

Nu je het zegt, bij reclames voor Travelex Prepaid Creditcards (dezelfde als je hier bij het gwk krijgt) werd geadverteerd "met chip", maar de advertentie kwam zo op mij over "voor gebruik in de EU"

ikweethetbeter @kimborntobewild • 17 mei 2016 17:14

Je verwacht dat ze met goede beveiliging op basis van vertrouwde certificaten werken, strakke autorisatie en authenticatie hebben, controleren of een transactie verlopen is, ...

--Andre-- @ikweethetbeter • 17 mei 2016 20:31

Als IT'er verwacht je dat, maar het blijft een bank, die misschien alles van de financiële wereld weet, maar niks van IT. Dit bewijst maar weer dat ook als IT niet je core bussiness is, je er toch in moet investeren.

ikweethetbeter @--Andre-- • 18 mei 2016 00:28

Bankieren anno 2016 betekent middels ICT financiële diensten aanbieden!

mrdemc @kimborntobewild • 17 mei 2016 17:33

Als ik naar m'n eigen bankapp kijk en dan naar bovenstaande bevindingen, dan weet ik dat ze stuk voor stuk niet kunnen worden uitgevoerd op de eigen bankapp. Namelijk, sessie verloopt, id per inlog, cert-pinning, etc. Dus het is gelukkig een stuk beter gesteld hier, in ieder geval bij de bank die ik gebruik.

TWyk 17 mei 2016 16:56

Nogal genant voor een bank zo'n regen van fouten in één app.

--Andre-- @TWyk • 17 mei 2016 20:34

Nou ja, één app, als je het zo wil noemen? Het is niet zozeer de app, maar het geheel aan systemen, waar de app de front-end van is.

Verwijderd 17 mei 2016 17:01

Dus de back-end is lek niet de app, afgezien van de SSL validatie dan.

Auteur

duqu @Verwijderd • 17 mei 2016 17:17

Klopt! Zal de titel zo aanpassen

The Underminer 17 mei 2016 19:33

Verbaast me niet enorm veel. Mijn ervaring met Indiase it is absoluut dramatisch. De site waar je een visum aanvraagt lijkt uit 1995 te stammen en er is hier ooit ook een verhaal gepubliceerd van een tweaker die een lek gevonden had. Zo ongebruikelijksvriendelijk als maar kan, en ook vaak tineouts. Dergelijke verhalen hoor ik ook over de site van spoorwegen en hoe er in het algemeen over it gedacht wordt daar.

mutley69 17 mei 2016 19:37

Hoera - open bank - dat is wellicht veiliger dan een beveiligde bank. Geen enkele overvaller durft daar binnen te gaan, dat is immers te mooi om waar te zijn! Even ernstig nu - het bewijst nogmaals dat mobiel bankieren niet marktrijp is - en zolang het zoveel bugs voor vooral android, maar ook voor iOS blijft regenen - moet je eigenlijk aan je bank opleggen dat je met dat dure speelgoed geen connectie wil met je bankrekening. Laat dat ook bevestigen op papier dat men dat weet.
Doet men niks - dan heb je een bewijs dat u dat nooit gaat gebruiken en dan neemt de bank het volle risico. Draai de tafels om - voor je geruïneerd wordt - want dat is het echte spel!

_Pussycat_ @mutley69 • 18 mei 2016 08:36

Het bewijst helemaal niet dat mobiel bankieren nog niet marktrijp is. Het bewijst dat beveiliging fatsoenlijk gedaan moet worden. Fouten met sessions id zullen ook over 100 jaar nog bestaan, net als goede beveiliging ook al lang kan.

djiwie 17 mei 2016 18:54

Een 'curl-verzoek'? Gewoon een HTTP-verzoek neem ik aan?

--Andre-- @djiwie • 17 mei 2016 20:35

HTTPS met SSL 3.0

djiwie @--Andre-- • 17 mei 2016 22:43

curl is een library om HTTP(S)-requests te doen, vandaar mijn opmerking. Staat een beetje gek.

--Andre-- @djiwie • 17 mei 2016 22:51

Naast library ook command line tool. Ik vermoed dat daarheen verwezen word om aan te geven dat het mogelijk is via de console, zonder verdere tools (die codes berekenen of zo) de hack uit te voeren.

Verwijderd 17 mei 2016 16:57

Gemaakt in India zeker

Verwijderd 17 mei 2016 18:49

Dit had ook bij Nederlandse banken kunnen gebeuren.

Verwijderd 17 mei 2016 19:14

Best sympathiek dat hij dit deelt en niet even eerst 25 miljard naar zichzelf over heeft gemaakt. Hij had in één klap een van de rijkste mensen op aarde kunnen zijn, alsmede de meest gezochte crimineel. Ik ben benieuwd of hij de verleiding gevoeld heeft.

RGAT @Verwijderd • 17 mei 2016 17:33

Ja want de directie heeft er last van als het geld van klanten weg is

Niet de klant, die vindt het prima...

Jace / TBL @RGAT • 17 mei 2016 17:48

Het geld is niet weg (los van de vraag of het er in de eerste plaats überhaupt ooit was). Er zijn wat verkeerde getallen veranderd in de database van de bank, dus dit is puur een aangelegenheid in hun backend. De klant heeft daar geen boodschap aan, die heeft met dergelijk technisch gezever van de bank geen reet te maken.

Dat getalletje dat een klant bij zijn saldo ziet staan als hij zijn rekening checkt representeert geen werkelijke roepies, maar een vordering op de bank. En die vordering blijft natuurlijk gewoon.

Verwijderd @Verwijderd • 17 mei 2016 17:42

En daar moeten klanten voor boeten?

Op dit item kan niet meer gereageerd worden.

Onderzoeker had toegang tot alle rekeningen van Indiase bank door lek systeem

Lees meer

IT-banen

Reacties (64)

Sorteer op:

Weergave: