Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties

De Rabobank heeft een lek in zijn mobiele site gedicht waarmee kwaadwillenden eenvoudig achter inlogcodes van klanten van de bank konden komen. Een brute force-aanval kon de code achterhalen, aangezien deze een andere foutmelding gaf.

De mobiele site en diverse apps van de Rabobank maakten gebruik van een vijfcijferige inlogcode. Wie de verkeerde code intikt, krijgt de melding dat de combinatie van code en inlognaam niet klopt. Na drie keer wordt de code geblokkeerd, maar de site blijft dezelfde melding afgeven, totdat de juiste code wordt ingevoerd. In dat geval zegt het systeem dat de desbetreffende code is geblokkeerd en dat de klant contact met de klantenservice moet opnemen.

Door een script te schrijven dat alle vijfcijferige codes afgaat, is dus de juiste te achterhalen. Vervolgens hoeft de kwaadwillende alleen te wachten tot de code wordt gedeblokkeerd, wat standaard zou gebeuren als de klant de blokkade bij de servicebalie meldt. De 24-jarige student Sander Akkerman, die het lek ontdekte, schreef een proof of concept dat werkte, volgens Webwereld. De Rabobank heeft het lek gedicht na met het probleem te zijn geconfronteerd; nu geeft de bank bij elke poging dezelfde melding.

Rekeningen leeghalen was niet mogelijk via het lek, maar wel waren saldogegevens in te zien en was geld overmaken naar bekenden mogelijk. Voor overmaken naar andere rekeningen is de Random Reader vereist en ook voor inloggen bij de normale site is die reader nodig.

Moderatie-faq Wijzig weergave

Reacties (52)

En toch heb ik het idee dat de combinatie mobiel + bankieren nog in de kinderschoenen staat, hoe zeer meerdere banken het juist nu ook aan het promoten zijn en in 2011 als doorbraak willen forceren.

Ik wacht voorlopig nog wel een jaartje of zo voor ik mijn financiŽle zaken ook aan de mobiele app bouwers toevertrouw.
Tja, Rabobank loopt sowieso niet echt voorop. Een paar weken terug werd Blackberry nog steeds niet ondersteund (staat er nu wel bij). Maar nog steeds geen support voor Symbian. Blijkbaar trekken er een paar mensen aan de touwtjes die een hekel hebben aan Symbian, maar Wereldwijd is het nog steeds marktleider op het gebied van smartphones en in Nederland zal dat niet heel veel anders zijn.

Zelfs Bada wordt ondersteund (waarschijnlijk na een zak met geld van Samsung) en Windows Mobile moet je tegenwoordig ook met een lampje zoeken.
De rabobank heeft een voor elke smartphone goed werkende mobiele website. Dat lijkt me ook de eerste prioriteit. Daarnaast heeft het voor enkele platformen specifieke apps.

Als jij al vindt dat de Rabobank niet voorop loopt, dan verwacht ik dat je zo meerdere banken kunt noemen die ver voor lopen.

Volgens mij is Rabobank juist 1 van de weinigen die, naast een op ieder platform werkende mobiele site, voor meerdere platformen een applicatie maakt!
Andere banken weet ik niet. Mogelijk lopen ze in hun branche zelfs voorop.

Maar als je de Rabobank afzet tegen andere bedrijven, lopen ze niet voorop. Dat ik niet specifiek voor mijn N8 een app kan vinden, kan ik nog begrijpen. Maar voor de vrij veel verkochte N97 en N97 mini is ook niets te vinden.
Windows Mobile heeft gewoon 2 rabo apps in de appstore staan :)
Ik doelde op de toestellen, die je tegenwoordig met een lampje moet zoeken. Met maakt dus apps voor toestellen met een marktaandeel, vrijwel gelijk aan nul.
http://m.rabobank.nl
Werkt voor Symbian, Blackberry, Windows Mobile, enz.
Ik kon anders in 2001 al bankieren met de Rabofoon, was erg handig omdat je er ook je prepaid beltegoed mee op kon waarderen :) En je hebt niet persť een app nodig om mobiel te bankieren, je kan ook gewoon de mobiele site gebruiken via je browser.
Onzin, de Rabobank loopt hier juist heel erg in voorop.

Ik heb zowel een iPad app (prachtig beeldvullend Rabobankieren) als een iPhone app. Deze worden prima onderhouden door de Rabobank en ze werken als een speer.
Symbian mag dan wel marktleider zijn in het segment smartphones, maar dat zijn ze totaal NIET in het mobiele internet gebruik van hun toestel.

http://gs.statcounter.com...-NL-monthly-200912-201011

Zoek even op Nederland en op Mobiel OS. Dan zie je dat Symbian internet gebruik in Nederland geen fluit voorstelt. Daarom zit de Rabobank op iOS. :) Terecht!
Inderdaad een knullig lek. Bij iedere login die ik zelf creŽer waar een loginnaam en wachtwoord moet worden ingevuld echo ik bij een foute login ook altijd terug "onjuiste loginnaam of wachtwoord" ongeacht of het wachtwoord of de gebruikersnaam onjuist was. Zodra de output meer onthuld geef je kwaadwillenden een instrument voor bruteforce aanvallen.
Daad deed de Rabobank dus ook... Maar daar ging het dus niet om!

Wat er mis ging, is dat het account wel werd geblokkeerd, maar de login niet. En dus kon je gewoon blijven proberen, totdat je de goede login gevonden had.
En toch heeft de Rabobank het lek gedicht, door de melding te veranderen. Neemt niet weg dat ik jouw oplossing ook mooier / netter vind.

Meerdere wegen leiden naar Rome.
Inderdaad knullig,

En wij maar denken dat het allemaal veilig is.

Iedere scripter met een beetje kennis heeft het zo voor elkaar om dit te "kraken".
Nee hoor ik denk helemaal niet dat het veilig is en dat is ook precies de reden waarom ik niet internet bankier met mijn smartphone via een mobiele site of app...nu blijkt maar eens te meer dat dat niet voor niets is ;)

Wat ik ook nooit zou doen bijvoorbeeld, is internet bankieren in een Internet cafe of bibliotheek. Better safe then sorry in dit geval dan :)

Is ook mss een ietwat ouderwetse instelling, maar het is nu eenmaal een principekwestie.
Bij mij geeft de rabobank app bij het inloggen "er zijn technische problemen". Is het inloggen geblokkeerd?
Raar dat je dezelfde code terugkrijgt nadat je code geblokkeerd is geweest, dan kun je dus na een aantal keer blokkeren de code ook weten...
Als ze na elke foute poging de wachttijd tot de volgende poging gewoon verdubbelen heb je het brute force probleem ook meteen opgelost, dan was zelfs deze knullige fout niet aan het licht gekomen. Toch handig om meerlaags je beveiliging te regelen...

edit:
typo aangepast

[Reactie gewijzigd door CMG op 20 december 2010 15:10]

Pluim voor de Rabobank dat ze niet alleen de fout serieus nemen, maar ook gelijk fixen. Daar kan de ING nog wat van leren. Zodra je daar een stevig onderbouwde melding maakt van mogelijke security problemen, dan krijg je geen response van de technische afdeling, maar van een downplayende marketing afdeling die loopt te verkondigen dat zo'n grote bank het echt wel beter weet en dat het toch nooit voor kan komen.

Bedenk daarbij dat dit Rabobank lek dezelfde gevolgen heeft als wanneer je de gebruikersnaam en wachtwoord (middels simpele phising) van een ING klant wist te achterhalen.
Knullig lek... security 101 op school: geef geen verschillende meldingen bij een gefaalde login. Verder, na een geblokkeerd account weer te activeren altijd het wachtwoord wijzigen. Had niet mogen gebeuren en had voorkomen kunnen worden. Maarja, sluipt er natuurlijk soms wel eens in.
Ze hadden gewoon de melding moeten geven dat account geblokkeerd is. Er is toch niets mis mee om als een account niet geblokkeerd is de melding te geven dat combinatie niet goed is.
Knullig security lekje inderdaad. Gelukkig moet je hiervoor een rekeningnummer invoeren waarvan je *weet* dat deze ge-enabled is voor rabo mobiel. Je kunt dus niet zomaar elk rekeningnummer uitproberen. Ik moet zeggen, er zijn mensen die nadenken over security bij de rabobank en dat goed doen.
Staat mooi op je CV, zo'n geintje, Sander. Ik zeg: studie afmaken en naar de Rabobank ;-)
nou ik weet niet of je het scriptje hebt gezien/gelezen; het is te simpel maar leuk bedacht, ik vrees dat dit voor meer sites op gaat.

[Reactie gewijzigd door bakman op 20 december 2010 09:43]

Ja, het script kan alleen wel wat aanpassingen gebruiken..
Bijvoorbeeld een break; statement wanneer de code juist is,
of ipv dat hele block met het toevoegen van die nullen ťťn simpel $code = printf("[%05d]\n", $i); statement...
Het gaat niet om code-grammar-nazis (grapje) maar het hebben van een idee + uitwerken van een idee. Dat jij, en met jou velen anderen vast beter zullen zijn in het programmeren dan Sander, zal misschien wel zo zijn. Maar, Sander was de eerste die met een proof-of-concept op de proppen komt. Mooie code/userinterfaces/installer/mobilewebinterface is stap >1.

Sander +1

edit: kan geen fatsoenlijke zin maken.

[Reactie gewijzigd door goestin op 20 december 2010 11:35]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True