De Rabo-storing blijkt veroorzaakt door een grootschalige DDoS-aanval (distributed denial of service) door onbekenden. Daarbij zijn geen banksystemen gekraakt of klantgegevens buitgemaakt, benadrukt de bank. Terwijl de aanval zelf is afgeslagen en de eigenlijke storing zondag al is opgelost, blijkt het voor klanten nog flink na te ijlen.

Onbereikbaar

Het komt neer op een bereikbaarheidskwestie, voor de website Rabobank.nl en ook voor alternatief internetbankieren.nl/rib. Die laatste domeinnaam is door de bank aangedragen juist vanwege de storing, maar bleek ook niet goed toegankelijk. Het daarna door de bank geadviseerde alternatief, de https-server voor de bankwebsite, werkte wel naar behoren.

Om de DDoS-aanval af te slaan, heeft de Rabobank namelijk "technische aanpassingen gedaan in samenwerking met telecomproviders", meldt de bank. Dit om nieuwe aanvalspogingen van de onbekende daders te blokkeren. Daardoor waren de website en ook de internetbankierdienst niet langer op normale wijze bereikbaar. Dat gold niet alleen voor de aanvallers, maar dus ook voor reguliere klanten.

Enkele providers, volgens Rabo een klein aantal, moesten aanpassingen in hun DNS-servers (domain name system) doorvoeren. Voordat de providers dit deden, was de aangevallen bank nog steeds onbereikbaar voor hun eigen klanten. Dit ondanks het feit dat 'de storing' toen al wel was opgelost. De benaderbaarheid van de bank moest dus per provider worden geregeld. "Klanten van deze providers hebben de afgelopen dagen alleen via een rechtstreeks webadres kunnen internetbankieren", meldt Rabobank nu.

Buitenland afgesloten

Diverse lezers hebben Webwereld ook dinsdagochtend en -middag gemeld dat zij nog altijd geen contact krijgen met Rabobank.nl. “De site van de Rabobank is nog niet toegankelijk voor internetbankierders, zelfs geen tijdelijke pagina gewoon een error”, luidt één van de meldingen.

Ook voor een lezer in Thailand was dinsdagmiddag de website van de bank nog steeds niet te bereiken. Dat gold toen ook voor andere gebruikers in dat land. In een eerste verklaring tegenover Webwereld stelt de bank dat de storing is opgelost, maar dat “een klein aantal klanten nog moeilijkheden ondervindt bij het internetbankieren”.

Verschilt per provider

Hoeveel dat er zijn, wordt niet medegedeeld. Wel was gistermiddag al duidelijk dat dit afhankelijk is van de internet provider van de getroffen Rabo-klanten. De bank heeft tegenover Nu.nl verklaard dat de storing is opgelost, maar dat “het een tijdje duurt voordat dat bij alle providers merkbaar is. Een deel van de klanten kan inderdaad weer inloggen. Maar nog niet iedereen. We zijn met de betreffende providers in gesprek.”

Metro Nieuws wist gisteren te melden dat het in ieder geval zou gaan om klanten van provider Tele2. Daarnaast waren klanten van glasvezel-isp XMSnet gisteren ook nog afgesneden van de Rabobank. Ook inloggen vanuit het buitenland blijkt onmogelijk. De meldingen van Webwereld-lezers, klachten op Twitter en buitenlandse uptime-diensten bevestigen dit.

Naweeën

De woordvoerder spreekt in de eerste reactie aan Webwereld van “kleine naweeën van de storing”. Vervolgvragen van Webwereld over de oorzaak van de storing en wat Rabobank eraan heeft gedaan bleven onbeantwoord tót de plotse onthulling dinsdagavond van de DDoS-aanval.

Zondagavond heeft een Rabo-woordvoerder al tegen Nu.nl gezegd dat het ging om een netwerkprobleem. Wat dat dan was, is toen niet uitgelegd. Naderhand is wel duidelijk geworden dat er een DNS-probleem meespeelde, vooral in de nasleep. De vertaalslag tussen domeinnaam en ip-adres leek verkeerd te gaan. Dit was in eerste instantie dus opzet: om de massale aanval op Rabobank.nl af te slaan.

Doordruppelen

De gecorrigeerde DNS-routering is wereldwijd doorgekomen, wat zorgt voor de huidige ‘naweeën’. Door de opzet van ‘internet-telefoonboek’ DNS kan het enkele tot vele uren duren voordat een wijziging geheel is doorgedruppeld. Vandaar dat Rabo heeft gepraat met providers, om die voor hun eigen klanten de DNS-servers wel te laten doorverwijzen naar de banksite.

De eerder door Rabobank aangedragen andere url voor toegang tot internetbankieren van die bank wordt niet meer genoemd. Het Twitter-bericht van Rabo zelf waarin die url is genoemd, is ook verwijderd. In plaats daarvan verwijst de bank direct naar het https-adres voor zijn online-bankierdienst. Daarlangs is de eerder ontoegankelijke dienst te bereiken.

iDeal-storing

De bank gaat tegenover Webwereld nog niet in op de impact van de eigen storing op iDeal. De beheerder van dat betaalsysteem, Currence, heeft al aan Webwereld uitgelegd dat de iDeal-storing is veroorzaakt door de Rabo-storing.

Die heeft een stortvloed aan geweigerde transactieberichten opgeleverd, waardoor de buffer bij iDeal volliep. Rabo reageerde hierop met de mededeling dat de oorzaak van de storing wordt onderzocht. “Of deze storing ook geleid heeft tot een storing bij iDeal wordt dus ook onderzocht.”

Ene helft plat

De Currence-woordvoerder vertelt Webwereld nog in een tweede reactie dat iDeal via twee platformen werkt. “Een van de twee is door de ophoping van berichten tijdelijk uitgevallen. Maar de ander kon gebruikt worden. Banken die hierop zaten, hebben hun transacties gewoon kunnen uitvoeren. Niet alle banken waren dus getroffen.” In ieder geval ING en SNS zaten op hetzelfde iDeal-platform als Rabobank.