Sinds begin maart zijn vijf Nederlandse banken kwetsbaar of kwetsbaar geweest voor zogenaamde xss-aanvallen, ook wel “Cross-site scripting” genoemd.
Bij een xss-aanval laat een belager code achter op bijvoorbeeld een reactieforum of elders op een website. Deze code is vaak onzichtbaar voor bezoekers, maar wordt elke keer dat iemand de pagina opvraagt automatisch uitgevoerd. Op die manier kunnen aanvallers bezoekers bijvoorbeeld doorsturen naar een website met kwaadaardige code, of wachtwoorden die in cookies zijn opgeslagen stelen. Zie ook het bijgevoegde YouTube filmpje voor een korte uitleg over cross-site scripting.
Begin maart blogde een hacker over het lek op de websites van ABN AMRO, Aegon bank, Delta Lloyd, Binck Bank, Fortis en ING. Alleen ING en ABN namen daarop actie. Een woordvoerder van ING bevestigde het lek in de zoekfunctie van de website en melde dat het lek inmiddels is gedicht. ABN liet weten hetzelfde gedaan te hebben. De woordvoerder van ABN liet weten dat het wel een minuscuul gaatje betrof waarmee niks kon gebeuren.
De andere banken zijn nog steeds kwetsbaar voor xss-aanvallen. Aegon laat weten op 16 maart de waarschuwing te hebben ontvangen en dat het lek met de volgende release update wordt verholpen.
Ook de Binck-bank heeft inmiddels het lek gedicht.
Ook Fortis is op de hoogte van de waarschuwing. “Wij kijken nu even wat het exacte probleem is. Als dat er inderdaad is, wordt dat zo snel mogelijk opgelost”, aldus een woordvoerder van de bank. Fortis is sinds afgelopen vrijdag op de hoogte van het mogelijke probleem. Zowel Delta Lloyd als Binck Bank konden niet direct reageren. De woordvoerders waren in ieder geval niet op de hoogte van de waarschuwing en het xss-probleem.
Zarco Zwier, ict-er, meent dat de websites van grote banken deze kwetsbaarheden niet kunnen toleren omdat het potentieel ernstig zou kunnen zijn. Dergelijke lekken kunnen namelijk gebruikt worden voor phisingaanvallen. Het zoekveld is volgens Zwier meestal de eerste plek waar kwaadwillenden dergelijke aanvallen uitproberen, en daarom verbaast het Zwier dat de lekken ‘vrij triviaal waren om te vinden’. Ook vindt hij het verbazingwekkend dat enkele banken niet reageerden op zijn waarschuwing. Dezelfde test bij een aantal overheidswebstes gaf binnen een week een reactie.
Webdiensten hebben met enige regelmaat te kampen met xss-gaten. In het verleden zijn onder andere Paypal, Gmail en Salesforce.com het slachtoffer geweest van dergelijke problemen. Beveilgingsfirma Acunetix onderzocht in 2007 3,200 websites met online applicaties en trof daar 210.000 kwetsbare plekken aan. Dat komt neer op 66 beveiligingsgaten per applicatie.
Lees hier het bericht.
