Mobiele internetbankiersite lekt inlogcodes (10/12/20)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

Rabobank.

Betrokkenen

Klanten die gebruik maakten van mobiel internetbankieren. Van hoeveel klanten er daadwerkelijk gegevens zijn ingezien is niet bekend.

Soort (persoons)gegevens

"Eenmaal ingelogd kan de aanvaller de saldogegevens van de klant inzien. Ook is het mogelijk geld over te maken tussen eigen rekeningen en naar bekenden. Voor overschrijvingen naar onbekende rekeningen is de Random Reader nodig." (WebWereld, 10/12/20)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

Een student kwam erachter dat de vijfcijferige inlogcode van de website met een brute force-aanval te achterhalen was.

"Na drie foute pogingen is inloggen weliswaar niet meer mogelijk, maar dat houdt de aanvaller niet tegen. Bij iedere verdere poging met een verkeerde inlogcode geeft de site steeds dezelfde foutmelding, maar als de juiste inlogcombinatie wordt ingevoerd geeft de Rabobank ineens een andere foutmelding terug. Zo weet de hacker meteen dat dat de juiste code is." (WebWereld, 10/12/20)

De student meldde het lek bij WebWereld, en WebWereld meldde het lek vervolgens bij de Rabobank.

Respons van de organisatie

"Nadat Webwereld de fout bij de Rabobank had gemeld, heeft de bank het probleem opgelost. De melding dat de code is geblokkeerd is verwijderd en voortaan krijgen aanvallers bij iedere poging de melding dat de code niet klopt. Nu geeft de applicatie dus zowel bij foute als bij juiste codes dezelfde foutmelding. Daardoor is het niet langer mogelijk om de juiste code af te lezen uit de resultaten van een brute forcepoging, maar die pogingen worden nog steeds niet geblokkeerd. Het is niet duidelijk of dit slechts een tijdelijk lapmiddel is of de definitieve oplossing van de bank." (WebWereld, 10/12/20)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Mobiele site Rabobank lekt inlogcodes (10/12/20)

Zie verder:
Off-site link, opens in new window Security.nl: Mobiele site Rabobank lekte inlogcodes (10/12/20)
Off-site link, opens in new window Tweakers.net: Rabobank dicht lek mobiele site (10/12/20)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.