Rabobank dicht lek mobiele site

De Rabobank heeft een lek in zijn mobiele site gedicht waarmee kwaadwillenden eenvoudig achter inlogcodes van klanten van de bank konden komen. Een brute force-aanval kon de code achterhalen, aangezien deze een andere foutmelding gaf.

De mobiele site en diverse apps van de Rabobank maakten gebruik van een vijfcijferige inlogcode. Wie de verkeerde code intikt, krijgt de melding dat de combinatie van code en inlognaam niet klopt. Na drie keer wordt de code geblokkeerd, maar de site blijft dezelfde melding afgeven, totdat de juiste code wordt ingevoerd. In dat geval zegt het systeem dat de desbetreffende code is geblokkeerd en dat de klant contact met de klantenservice moet opnemen.

Door een script te schrijven dat alle vijfcijferige codes afgaat, is dus de juiste te achterhalen. Vervolgens hoeft de kwaadwillende alleen te wachten tot de code wordt gedeblokkeerd, wat standaard zou gebeuren als de klant de blokkade bij de servicebalie meldt. De 24-jarige student Sander Akkerman, die het lek ontdekte, schreef een proof of concept dat werkte, volgens Webwereld. De Rabobank heeft het lek gedicht na met het probleem te zijn geconfronteerd; nu geeft de bank bij elke poging dezelfde melding.

Rekeningen leeghalen was niet mogelijk via het lek, maar wel waren saldogegevens in te zien en was geld overmaken naar bekenden mogelijk. Voor overmaken naar andere rekeningen is de Random Reader vereist en ook voor inloggen bij de normale site is die reader nodig.

Reacties (52)

sambalbaj 20 december 2010 09:48

En toch heb ik het idee dat de combinatie mobiel + bankieren nog in de kinderschoenen staat, hoe zeer meerdere banken het juist nu ook aan het promoten zijn en in 2011 als doorbraak willen forceren.

Ik wacht voorlopig nog wel een jaartje of zo voor ik mijn financiële zaken ook aan de mobiele app bouwers toevertrouw.

pegagus @sambalbaj • 20 december 2010 10:04

Tja, Rabobank loopt sowieso niet echt voorop. Een paar weken terug werd Blackberry nog steeds niet ondersteund (staat er nu wel bij). Maar nog steeds geen support voor Symbian. Blijkbaar trekken er een paar mensen aan de touwtjes die een hekel hebben aan Symbian, maar Wereldwijd is het nog steeds marktleider op het gebied van smartphones en in Nederland zal dat niet heel veel anders zijn.

Zelfs Bada wordt ondersteund (waarschijnlijk na een zak met geld van Samsung) en Windows Mobile moet je tegenwoordig ook met een lampje zoeken.

Janoz Moderator PRG/SEA @pegagus • 20 december 2010 10:26

De rabobank heeft een voor elke smartphone goed werkende mobiele website. Dat lijkt me ook de eerste prioriteit. Daarnaast heeft het voor enkele platformen specifieke apps.

Als jij al vindt dat de Rabobank niet voorop loopt, dan verwacht ik dat je zo meerdere banken kunt noemen die ver voor lopen.

Volgens mij is Rabobank juist 1 van de weinigen die, naast een op ieder platform werkende mobiele site, voor meerdere platformen een applicatie maakt!

pegagus @Janoz • 20 december 2010 10:35

Andere banken weet ik niet. Mogelijk lopen ze in hun branche zelfs voorop.

Maar als je de Rabobank afzet tegen andere bedrijven, lopen ze niet voorop. Dat ik niet specifiek voor mijn N8 een app kan vinden, kan ik nog begrijpen. Maar voor de vrij veel verkochte N97 en N97 mini is ook niets te vinden.

Appie Heijn @pegagus • 20 december 2010 10:11

Windows Mobile heeft gewoon 2 rabo apps in de appstore staan

pegagus @Appie Heijn • 20 december 2010 10:31

Ik doelde op de toestellen, die je tegenwoordig met een lampje moet zoeken. Met maakt dus apps voor toestellen met een marktaandeel, vrijwel gelijk aan nul.

Apaat @pegagus • 20 december 2010 11:18

http://m.rabobank.nl
Werkt voor Symbian, Blackberry, Windows Mobile, enz.

Haan @pegagus • 20 december 2010 11:33

Ik kon anders in 2001 al bankieren met de Rabofoon, was erg handig omdat je er ook je prepaid beltegoed mee op kon waarderen

En je hebt niet persé een app nodig om mobiel te bankieren, je kan ook gewoon de mobiele site gebruiken via je browser.

wouter1971 @pegagus • 20 december 2010 13:31

Onzin, de Rabobank loopt hier juist heel erg in voorop.

Ik heb zowel een iPad app (prachtig beeldvullend Rabobankieren) als een iPhone app. Deze worden prima onderhouden door de Rabobank en ze werken als een speer.
Symbian mag dan wel marktleider zijn in het segment smartphones, maar dat zijn ze totaal NIET in het mobiele internet gebruik van hun toestel.

http://gs.statcounter.com...-NL-monthly-200912-201011

Zoek even op Nederland en op Mobiel OS. Dan zie je dat Symbian internet gebruik in Nederland geen fluit voorstelt. Daarom zit de Rabobank op iOS.

Terecht!

chaozz 20 december 2010 09:41

Inderdaad een knullig lek. Bij iedere login die ik zelf creëer waar een loginnaam en wachtwoord moet worden ingevuld echo ik bij een foute login ook altijd terug "onjuiste loginnaam of wachtwoord" ongeacht of het wachtwoord of de gebruikersnaam onjuist was. Zodra de output meer onthuld geef je kwaadwillenden een instrument voor bruteforce aanvallen.

Verwijderd @chaozz • 20 december 2010 11:56

Daad deed de Rabobank dus ook... Maar daar ging het dus niet om!

Wat er mis ging, is dat het account wel werd geblokkeerd, maar de login niet. En dus kon je gewoon blijven proberen, totdat je de goede login gevonden had.

Verwijderd @Verwijderd • 20 december 2010 13:40

En toch heeft de Rabobank het lek gedicht, door de melding te veranderen. Neemt niet weg dat ik jouw oplossing ook mooier / netter vind.

Meerdere wegen leiden naar Rome.

jqv 20 december 2010 09:38

Inderdaad knullig,

En wij maar denken dat het allemaal veilig is.

Iedere scripter met een beetje kennis heeft het zo voor elkaar om dit te "kraken".

NRGetic @jqv • 20 december 2010 12:50

Nee hoor ik denk helemaal niet dat het veilig is en dat is ook precies de reden waarom ik niet internet bankier met mijn smartphone via een mobiele site of app...nu blijkt maar eens te meer dat dat niet voor niets is

Wat ik ook nooit zou doen bijvoorbeeld, is internet bankieren in een Internet cafe of bibliotheek. Better safe then sorry in dit geval dan

Is ook mss een ietwat ouderwetse instelling, maar het is nu eenmaal een principekwestie.

stribold 20 december 2010 09:38

Bij mij geeft de rabobank app bij het inloggen "er zijn technische problemen". Is het inloggen geblokkeerd?

Verwijderd 20 december 2010 10:28

Raar dat je dezelfde code terugkrijgt nadat je code geblokkeerd is geweest, dan kun je dus na een aantal keer blokkeren de code ook weten...

CMG 20 december 2010 10:28

Als ze na elke foute poging de wachttijd tot de volgende poging gewoon verdubbelen heb je het brute force probleem ook meteen opgelost, dan was zelfs deze knullige fout niet aan het licht gekomen. Toch handig om meerlaags je beveiliging te regelen...

edit:
typo aangepast

[Reactie gewijzigd door CMG op 23 juli 2024 08:33]

Janoz Moderator PRG/SEA 20 december 2010 10:30

Pluim voor de Rabobank dat ze niet alleen de fout serieus nemen, maar ook gelijk fixen. Daar kan de ING nog wat van leren. Zodra je daar een stevig onderbouwde melding maakt van mogelijke security problemen, dan krijg je geen response van de technische afdeling, maar van een downplayende marketing afdeling die loopt te verkondigen dat zo'n grote bank het echt wel beter weet en dat het toch nooit voor kan komen.

Bedenk daarbij dat dit Rabobank lek dezelfde gevolgen heeft als wanneer je de gebruikersnaam en wachtwoord (middels simpele phising) van een ING klant wist te achterhalen.

Zoijar 20 december 2010 11:05

Knullig lek... security 101 op school: geef geen verschillende meldingen bij een gefaalde login. Verder, na een geblokkeerd account weer te activeren altijd het wachtwoord wijzigen. Had niet mogen gebeuren en had voorkomen kunnen worden. Maarja, sluipt er natuurlijk soms wel eens in.

Thomasje @Zoijar • 20 december 2010 11:31

Ze hadden gewoon de melding moeten geven dat account geblokkeerd is. Er is toch niets mis mee om als een account niet geblokkeerd is de melding te geven dat combinatie niet goed is.

Verwijderd 20 december 2010 11:36

Knullig security lekje inderdaad. Gelukkig moet je hiervoor een rekeningnummer invoeren waarvan je *weet* dat deze ge-enabled is voor rabo mobiel. Je kunt dus niet zomaar elk rekeningnummer uitproberen. Ik moet zeggen, er zijn mensen die nadenken over security bij de rabobank en dat goed doen.

jick 20 december 2010 09:37

Staat mooi op je CV, zo'n geintje, Sander. Ik zeg: studie afmaken en naar de Rabobank ;-)

Verwijderd @jick • 20 december 2010 09:43

nou ik weet niet of je het scriptje hebt gezien/gelezen; het is te simpel maar leuk bedacht, ik vrees dat dit voor meer sites op gaat.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:33]

hermanbanken @Verwijderd • 20 december 2010 10:24

Ja, het script kan alleen wel wat aanpassingen gebruiken..
Bijvoorbeeld een break; statement wanneer de code juist is,
of ipv dat hele block met het toevoegen van die nullen één simpel $code = printf("[%05d]\n", $i); statement...

Verwijderd @hermanbanken • 20 december 2010 11:34

Het gaat niet om code-grammar-nazis (grapje) maar het hebben van een idee + uitwerken van een idee. Dat jij, en met jou velen anderen vast beter zullen zijn in het programmeren dan Sander, zal misschien wel zo zijn. Maar, Sander was de eerste die met een proof-of-concept op de proppen komt. Mooie code/userinterfaces/installer/mobilewebinterface is stap >1.

Sander +1

edit: kan geen fatsoenlijke zin maken.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:33]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: