SNS en Rabo hebben xss-lek - UPDATE3

Bij de SNS Bank doet het probleem zich voor op de hoofdsite van de bank. Bij de Rabobank gaat het om een lek in de site rabosport.nl. De 17-jarige Webwereldlezer Dennis Veninga ontdekte de gaten en waarschuwde de banken.

Beide sites hebben hetzelfde lek dat te benaderen is via het zoekveld. Veninga wilde de banken graag de kans geven om de gaten te dichten voordat hij het bekend maakte. "Want als bekend wordt gemaakt waar het om gaat, ben ik bang dat mensen er van gaan profiteren. Ik mag dan nog wel 17 jaar zijn, maar de beveiliging van websites vind ik zeer belangrijk", aldus de jonge hacker.

Contact opgenomen

Veninga heeft contact opgenomen met zowel de Rabobank als SNS Bank. Beide banken beloofden volgens Veninga naar het probleem te kijken. De jonge hacker vind vooral het probleem op de hoofdsite van SNS belangrijk, omdat daar meer mogelijkheden zijn dan op het sportportaal van de Rabobank.

Woordvoerders van beide banken waren niet direct in staat om te reageren op een verzoek om commentaar. Op de website van SNS lijkt het er inmiddels op dat die bank werkt aan het dichten van dit gat. In plaats van een pop-up levert de xss-hack nu een foutmelding op. De site van de Rabobank is nu nog kwetsbaar.

Eerder gebeurd

Begin maart bleken zes Nederlandse banken ook al te kampen met een xss-lek waarbij via het zoekveld kwaadaardige code kon worden uitgevoerd. ING had dat toen al gelijk gedicht. De vijf nog kwetsbare banken waren ABN AMRO, Aegon bank, Delta Lloyd, Binck Bank en Fortis.

Niet alert

Die vijf waren niet erg alert op de waarschuwingen. Slechts twee ondernamen actie na waarschuwing van hacker Zarco Zwier. Veninga heeft SNS en Rabo wat korter de tijd gegeven om te reageren. Hij verstuurde gisteravond rond een uur of tien de waarschuwingen. Zwier gaf de banken nog een aantal dagen de kans om de problemen op te lossen.

Update: Een woordvoerster van de SNS Bank bevestigt dat de site te maken heeft met een lek. Die bevindt zich echter voor het inloggedeelte. "De betalingsgegevens zijn niet in gevaar", benadrukt de zegsvrouw. De bank wil verder kwijt veiligheid erg belangrijk te vinden.

Update2: Het probleem van de SNS Bank is nog niet opgelost. Webwereld lezer 'Wwwouter' wijst erop dat met een simpele aanpassing hetzelfde script nog steeds uitvoerbaar is.

Update3: De Rabobank schrijft in een commentaar op dit bericht: "Het aangegeven 'lek' op rabosport.nl is na melding zo snel mogelijk verholpen. Dit betrof alleen de hockeypoule als tijdelijke actie op deze site", aldus een woordvoerder. "Voor het complete beeld: rabosport.nl. is een externe website en wordt gehost buiten het Rabobank-domein. Er is dus geen enkel verband of veiligheidsrisico met Rabobank-internetbankieren. Niettemin hebben we deze verstoring op de sportsite onmiddelijk laten verhelpen, want zo'n xss-lek hoort natuurlijk niet."