Een beveiligingsonderzoeker heeft in websites van tien banken, waaronder ING, de Rabobank en ABN Amro, een xss-kwetsbaarheid gevonden. Daardoor konden kwaadwillenden eigen formulieren in de websites van de banken injecteren. Het probleem is inmiddels opgelost.
Naast ING, de Rabobank en ABN Amro hadden ook de websites van Binck, Alex, ASN, Knab, SNS, Triodos en de Belgische Van Lanschot-site last van het cross site scripting-probleem, zegt onderzoeker Wouter van Dongen van DongIT tegenover Nu.nl. “Die zaten voor het overgrote deel in Flash-bestanden”, zegt hij tegenover Tweakers.
De xss-kwetsbaarheden bevonden zich in de voorpagina’s van de bankensites. Een aanvaller had het probleem kunnen misbruiken door eigen code te injecteren in de website, maar hij moest zijn potentiële slachtoffers er dan wel toe verleiden om op zijn link te klikken. De techniek zou onder meer kunnen worden gebruikt in phishing-mails. Gebruikers worden vaak opgeroepen om de url van de site te controleren. Die zou dan kloppen, terwijl de aanvaller zijn eigen code kan injecteren.
Van Dongen heeft een proof of concept gemaakt waarbij de html-elementen op de bankensites beginnen te schudden. “Ik heb expres geen eigen formulieren op de bankensites gezet”, aldus Van Dongen. Inmiddels hebben de banken het beveiligingsprobleem opgelost.
Woordvoerder Ronald van Buuren van ING bevestigt de bevindingen van Van Dongen. “We zijn in november benaderd, en daarna is het beveiligingsprobleem vrij snel opgelost”, aldus Van Buuren. Hoe snel het probleem is opgelost, is niet bekend. Van Buuren zegt blij te zijn met hulp van onderzoekers als Van Dongen. Ook woordvoerder Margo van Wijgerden van de Rabobank bevestigt het lek. Volgens haar ging het om een relatief klein probleem.
Update, 20:57: Reactie Rabobank toegevoegd.