Mobiele site NS maand lang kwetsbaar voor XSS-aanval

Beveiligingsexpert Hans Wolters ontdekte meerdere problemen in verschillende sites in aanbouw van de spoorwegen. Enkele eenvoudige testen leerden hem dat er op de website voor mobiele telefoons een cross site scripting (XSS) lek aanwezig is.

Bij een cross site scripting lek voert een website commando's uit die aanvallers opgeven via online formulieren, zoals online maildiensten of sociale websites zoals Hyves. Deze instructies worden dan uitgevoerd wanneer andere bezoekers de informatie bekijken. Criminelen kunnen de aanval gebruiken om spyware te verspreiden of vertrouwelijke gegevens te stelen.

Niet verholpen

Wolters melde de problemen eind november. Na twee weken nam hij bovendien contact op met het beveiligingscentrum van de overheid Govcert. De overheidsinstelling nam vervolgens ook contact op met de NS.

"Het klopt dat er een probleem met de site is geweest", vertelt Michiel Jonker, voorlichter van de NS tegenover Webwereld. "Dat is eerst hersteld, maar later is het lek teruggekomen toen een backup is teruggezet." Jonker kwalificeert dat als "oerstom", maar benadrukt dat technici van de spoorwegen werken aan een oplossing. De problemen zijn na dinsdag verholpen, bevestigt Wolters.

Gevaarlijk

De website herbergt geen klantgegevens, waardoor reizigers niet hoeven te vrezen voor de privacy bij de NS. Jonker stelt echter dat de NS het lek serieus neemt en hard aan het probleem heeft gewerkt.

Wolters benadrukt dat het probleem vooral ook in een andere hoek zit: "Een paar leuke voorbeelden die men kan uithalen is een link ergens plaatsen en remote een javascript of css aanroepen." Hij vreest dat het vervolgens gebruikt wordt om niet alleen het uiterlijk aan te passen, maar ook extra velden toevoegen. Criminelen gebruiken dergelijke trucs dikwijls om slachtoffers door te leiden naar een nepversie van een vertrouwde site zoals Paypal.