Beveiligingsonderzoekers DongIT vinden kwetsbaarheden bij tien Nederlandse banken

Beveiligingsonderzoekers van DongIT hebben in websites van tien banken, waaronder ING, de Rabobank en ABN Amro, een xss-kwetsbaarheid gevonden op het hoofddomein. Daardoor konden kwaadwillenden eigen formulieren in de websites van de banken injecteren. Het probleem is inmiddels opgelost, nadat DongIT de betreffende banken hierover had geïnformeerd.

Naast ING, de Rabobank en ABN Amro hadden ook de websites van Binck, Alex, ASN, Knab, SNS, Triodos en de Belgische Van Lanschot-site last van het cross site scripting-probleem, zegt onderzoeker Wouter van Dongen van DongIT tegenover Nu.nl. "Die zaten voor het overgrote deel in Flash-bestanden", zegt hij tegenover Tweakers. Eveneens zijn er artikelen gepubliceerd door RadarTV van de NPO en het tijdschrift Computer Idee, welke hieronder is te downloaden.

Download het volledige artikel van Computer Idee.

De xss-kwetsbaarheden bevonden zich in de voorpagina's van de bankensites. Een aanvaller had het probleem kunnen misbruiken door eigen code te injecteren in de website, maar hij moest zijn potentiële slachtoffers er dan wel toe verleiden om op zijn link te klikken. De techniek zou onder meer kunnen worden gebruikt in phishing-mails. Gebruikers worden vaak opgeroepen om de url van de site te controleren. Die zou dan kloppen, terwijl de aanvaller zijn eigen code kan injecteren.

Van Dongen heeft een proof of concept gemaakt waarbij de html-elementen op de bankensites beginnen te schudden (zie onderstaand filmpje). "Ik heb expres geen eigen formulieren op de bankensites gezet", aldus Van Dongen. Inmiddels hebben de banken het beveiligingsprobleem opgelost.

In reactie op de ontdekking van DongIT bij tien Nederlandse banken hebben PvdA-Kamerleden Nijboer en Oosenbrug hier kamervragen over gesteld aan minister Dijsselbloem. De officiële bekendmaking van de Tweede Kamer is hieronder te downloaden.

Download de officiële bekendmaking van de Tweede Kamer.