Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties
Bron: Nu.nl

ABN Amro geeft toe dat het bedrijf verantwoordelijk is voor het beveiligingslek van HomeNet en stelt zichzelf aansprakelijk voor eventuele schade, zo meldt Nu.nl. De bank komt nu toch al volgende week met een oplossing, een stuk sneller dus dan de eerder gemelde "enkele weken". Het lijkt erop dat het geen patch zal betreffen die de gegevens zal encrypten, maar een firewall-achtig programma om de trojan tegen te gaan:

HomeNetABN Amro heeft toegegeven verantwoordelijk te zijn voor het lek in het telebankierprogramma HomeNet. Daarmee heeft de bank tevens erkend aansprakelijk te zijn voor de eventuele gevolgen voor de klant.

Volgende week komt ABN Amro voor de HomeNet-gebruiker met een noodoplossing. Ze stelt dan software ter beschikking waarmee de klant kan zien of 'hackers' zijn persoonlijke computer zijn binnengedrongen en daar met diens gegevens zoals bankrekeningnummer hebben geknoeid. Over zes weken komt de bank met een structurele aanpak.

Met dank aan TgF voor het tip.

Moderatie-faq Wijzig weergave

Reacties (33)

Nu snap ik toch een paar dingen niet van ABN-Amro:
1. Waarom hebben ze in godsnaam zo'n onveilig programma op de markt gebracht
2. Als ze nu binnen een week een oplossing kunnen bedenken, waarom was die oplossing er dan niet een hele tijd geleden al (toen die 2 studenten al aangaven dat het fout zat)??
3. Waarom ze hun eigen personeel niet instrueren om de mensen op een informatieve en correcte manier vragen te laten beantwoorden over dit probleem (ik belde de ABN-Amro gisteren en kreeg een heel ander, totaal niet kloppend, marketingverhaal te horen.)
4. Waarom zetten ze deze info niet eens op hun eigen site?

[update]

Hier nog even het officiele persbericht van ABN Amro:
ABN AMRO Bank N.V.
Press Relations (HQ 1190)

Gustav Mahlerlaan 10
1082 PP Amsterdam
The Netherlands
Tel. +31 (0)20 628 89 00
Fax. +31 (0)20 629 54 86

5 september 2000
ABN AMRO TREFT AANVULLENDE BEVEILIGINGSMAATREGELEN HOMENET EN OFFICENET PLUS

ABN AMRO betreurt het ten zeerste dat de veiligheid van
ABN AMRO's HomeNet en OfficeNet Plus ter discussie staat. Daarom neemt de bank aanvullende maatregelen om de veiligheid van het betalen via HomeNet en OfficeNet Plus te optimaliseren. Hiervoor ontwikkelt ABN AMRO een nieuwe HomeNet- en OfficeNet Plus-versie. Daarnaast stuurt de bank binnen twee weken aan alle HomeNet- en OfficeNet Plus-gebruikers een tussentijdse versie.

Met deze tussentijdse versie kan de gebruiker bij betalingsopdrachten vóór verzending naar de bank controleren of het rekeningnummer van de begunstigde niet gewijzigd is. Het wijzigen van de opdracht ná verzending is niet mogelijk door de elektronische handtekening die de gebruiker met zijn calculator zet.

Er zijn op dit moment - buiten de overboekingen die tijdens een televisie-uitzending werden getoond - bij ABN AMRO geen situaties bekend waarbij een bedrag is overgeboekt naar een andere rekening dan die door de gebruiker in HomeNet is ingevoerd. Indien de gebruiker ondanks het zorgvuldig gebruik van HomeNet en de computer toch het slachtoffer zou worden van een elektronische inbraak zoals op televisie werd gedemonstreerd, zal de bank de eventueel daardoor ontstane schade voor haar rekening nemen.

In zijn algemeenheid wijst ABN AMRO op gangbare veiligheidsregels die gelden voor het gebruik van Internet en e-mail. Zo waarschuwt de bank haar klanten geen software te installeren waarvan de bron twijfelachtig is en geen e-mail berichten te openen van onbekende afzenders. Het beleid van ABN AMRO is geen programma's via e-mail of nieuwsgroepen te distribueren en niet rechtstreeks te reageren op vragen in nieuwsgroepen.

ABN AMRO maakt haar aanvullende maatregelen bekend in een morgen te verzenden brief aan alle HomeNet- en OfficeNet Plus-gebruikers en in een advertentie in de landelijke dagbladen.

Tenslotte is ABN AMRO een onderzoek gestart naar de bewering dat de bank al eerder door hackers zou zijn gewaarschuwd voor mogelijke veiligheids-problemen rond het HomeNet-programma.


- - -

Perscontacten:
Drs. Th. J. van Dijk
Gevonden op www.i-actie.abnamro.nl/newsnet/newsitem.html?lang=NL&id=17002 Ik moest wel even zoeken. Ik kn me voorstellen dat mensen dit niet al te makkelijk kunnen vinden als ze naar www.abnamro.nl surfen. Erg duidelijk zijn ze daar niet vindt ik.
En mijn welgemeende excuses voor deze enorme lap tekst. ABN kon het niet korter zeggen.
1. Zodat ook 386-PC's gebruikt konden worden voor Homenet.
2. Het leek hen toen onbelangrijk.
3. Bij grote bedrijven duren dat soort dingen lang.
4. Dat is slecht voor de aandelen.
Dat heeft abn al toegegeven dat het programma zo slecht inelkaar zat..

Het zit erg simpel inelkaar omdat het ook op trage computers goed draait ....
Dat ze de files voor verzending niet konden encrypten in verband met systeemeisen, dat lijkt me onzin. Een 386 is langzaam vergeleken met de computers van vandaag, maar snel genoeg om een 128 bits encryptie uit te voeren. En veel geheugen heb je daar al helemaal niet voor nodig.

In een reactie op the Register stond dat ze de Borland Database Engine gebruikt hebben om de overboekingsgegevens op te slaan. Een eenvoudig te gebruiken standaardcomponent dus, maar niet beveiligd.

Ik denk dat ze ofwel helemaal niet aan dit soort crack gedacht hebben, ofwel bewust het risico gelopen hebben. In beide gevallen is het erg slordig.
Het is natuurlijk wel beste wat je kunt doen voor je klanten..snel met een oplossing komen..

Maar met deze snelle manier halen ze misschien hun imago weer wat omhoog. Het is niet niks natuurlijk als je software niet veilig genoeg is om het financiele verkeer van je klanten te verwerken.

Het is wel te hopen dat er in die firewall weer gene lek zit ;)
Als ik het persbericht zo lees, dan lijkt het helemaal niet op een firewall. Gelukkig maar, want anders zou het niet werken.

Het lijkt erop dat ze gewoon voor verzending alle gegevens, inclusief rekeningnummer, duidelijk in beeld brengen zodat de gebruiker kan controleren dat wat hij denkt te versturen ook is wat hij gaat versturen.
Wat ik nou niet snap, is waarom ze niet laten controleren of het ingevulde rekeningnummer klopt tegenover de naam van die eigenaar. Als het niet klopt dan krijgt de gebruiker een waarschuwing o.i.d.

Als je dat goed doet, zou het goed kunnen werken toch?
deze lek mag dan wel een erge security lek zijn, maar wat denk je wat voor KLAP dit is voor het managment voor ABN-AMRO?

Denk je nu echt dat dit pakket zo veel onveiliger is dan andere homebanking pakketten? okee ik geef toe dat deze fout na een uitgebreide testcyclus wel naar voren had moeten komen ( ik bedoel het was een simpele checksum geweest om te kijken of rekeningnummer en naam hetzelfde waren )

Maar wat denk je dat dit organisatorisch voor een klus gaat worden?
Een helpdesk die maandagochtend roodgloeiend staat, een overdosis aan schriftelijk overschrijving etc.. ( denk je nu echt dat Jan-met-de pet nog gaat Homenetten?) Persvoorlichtingsessies etc etc.

ABN-AMRO kan niks anders dan schuld bekennen, met een oplossing moeten komen ( geef homenet nieuwe naam, schrijf vanaf scratch nieuw prog en misschien??? just speculatie :) )en hopen dat hun imago weer een beetje word opgeschroeft. Want die heeft nog een grotere klap gekregen dan dat hele lek was....
ABN Amro zal denk ik de kosten van dit geintje wel verhalen op het bedrijf dat het programma heeft gemaakt (maar ligt natuurlijk aan het contract dat getekend is).
Als ze dit helemaal willen oplossen moeten ze gewoon een website bouwen met daar alles op, dan valt er op de pc's gewoon niets te halen en hoef je daar niet moeilijk over te doen. Het is dan wl handig om je database/webserver goed te beveiligen maar het is makkelijker om een paar server te securen als tig-duizend home pc's.
Venator slaat de spijker op zijn kop!

Vooralsnog is het meer dan positief voor de (gedupeerde) consument dat ABN Amro toegeeft dat ze fout zaten, dat ze het probleem gaan oplossen en dat eventuele schade voor hun rekening is.

Inderdaad, op de site van ABN is niks te vinden over het probleem op zich, de status en noem maar op. Gisteren zei ik ook al dat IMHO ABN zich uitermate arrogant opsteld(e) in het hele verhaal.

Kijk, fouten toegeven is voor niemand makkelijk, maar in dit geval vind ik dat je met een dergelijke houding absoluut geen enkel respect laat zien naar je klanten toe, maar hen meer een idee geeft van "laat ze maar barsten".

Maar gelukkig hebben ze (onder druk van oa. de media) nu in ieder geval die houding moeten laten gaan en stellen ze zich in ieder geval iets betrokkener op.
Ik begrijp de instelling van de ABN-AMRO ook niet helemaal. Het imago van DE bank is toch redelijk geschaad het afgelopen jaar. Eerst WOL, en dan nu dit...
Als ABN-AMRO al geruime tijd afwist van deze mogelijkeid, maar niks ertegen hebben ondernomen dan word het toch tijd dat ik mijn geld maar eens bij een andere bank zet.
Eentje waar veiligheid wel belangrijk is...

En de tijd die de ABN meent nodig te hebben is ook veel te lang. Toen het probleem vorig jaar bekend werd had de bank er al iets aan moeten doen... nu nog minstens 6 weken... toch blij dat ik dat HomeNet nooit heb gebruikt.
Maar je bent toch zelf ook best wel idioot bezig als je zomaar een bestandje dat uit naam van die bank via de e-mail wordt verstuurd aanneemt. Ik heb zelf ook homenet en accepteer alleen bestanden die ik bij de bank op moet komen halen. Of verstuur ze via de post in een envelop op diskette of cd. Ik vind mijn bankrekening toch iets te belangrijk om zomaar bloot te stellen aan allerlei programmaatjes.
Laat ik een van de bekende IT stellingen deponeren:

Er is niets zo blijvend als een tijdelijke oplossing

Projectie van deze intense waarheid op het ABN-homenet debacle laat ik als oefening over aan de lezer :)
Wat ik ervan begrijp zit het beveiligingslek in de lokale database bestanden van HomeNet. (Misschien begrijp ik het niet goed hoor)

Volgens mij kun je de veiligheid hiervan verbeteren door een paswoord aan deze database bestanden toe te voegen.
HomeNet maakt gebruik van Paradox Database bestanden, dus je moet een tool hebben waarmee je deze bestanden kunt wijzigen. (Bij de programmeertaal Delphi zit bijvoorbeeld zo'n tool, Database Desktop)
Je kunt dan bijvoorbeeld op het bestand payment.db (waar de te versturen betalingen in staan) een paswoord zetten.

Ik heb dit zelf geprobeerd met behulp van de tool die bij Delphi zit en zodra een programma (bijv. HomeNet) toegang probeert te krijgen tot de betalingen, wordt om het paswoord gevraagd dat je erop hebt gezet.
Je kunt dus nog gewoon met HomeNet werken, alhoewel hij dan nog meer om paswoorden vraagt.
Trouwens: hoe denkt de ABN deze 'update' bij de klant te krijgen? NIET VIA EMAIL! :D

De gemiddelde klant kijkt wel lekker uit :) die heeft op TV gezien dat middels een email, dat ogenschijnlijk door de ABN was gestuurd, een 'update' werd gestuurd naar hem, maar dat bleek geen update te zijn!

Ook opsturen met de post lijkt me al een probleem. Moeten die arme klanten helemaal naar dat kantoor banjeren voor een 3.5" diskje terwijl ze dat nu juist wilden VERMIJDEN en daarom juist homenet hadden aangeschaft!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True