Het betreft een zogenaamde Cross-site request forgery lek. Ook grote sites als YouTube zouden hier kwetsbaar voor zijn. Inmiddels heeft ING Direct het lek gedicht, nadat de bloggers Bill Zeller en Ed Felton de financiële dienstverlener erop hadden gewezen, zo meldt The Register.

Nieuwe rekening openen

Via het door Zeller en Felton ontdekte lek konden hackers niet alleen geld van ING Direct-rekeningen halen, maar ook nieuwe rekeningen aanmaken op naam van hun slachtoffer. Zowel gebruikers van Firefox als van Internet Explorer liepen dit risico, terwijl ook het secure sockets layer (ssl)-protocol van ING geen bescherming bood.

Het gaat om cross-site request forgery (CSFR)-lekken, die ontstaan wanneer een site actie onderneemt zonder vooraf bevestiging te vragen aan de gebruiker. Criminelen kunnen hiervan misbruik maken door via malware-sites de browser van hun slachtoffers commando's te laten geven aan sites als ING.com. Deze gaan er dan van uit dat dit legitieme klanten of bezoekers zijn.

NYT, YouTube ook

Behalve op de ING-site constateerden Zeller en Felton een ernstig csrf-lek op de site van The New York Times (NYT). Aanvallers kunnen hier e-mailadressen van willekeurige sitebezoekers achterhalen door gebruik te maken van de functionaliteit voor het doorsturen van artikelen van die krant. Hoewel de webmasters van de NYT al een jaar geleden zijn gewaarschuwd voor dit gevaar, is het lek tot ontzetting van Zeller en Felton nog altijd niet gedicht.

De overige csrf-lekken zijn aangetroffen in de sites YouTube en MetaFilter. Aanvallers kunnen onder meer e-mailadressen van eigenaren wijzigen, 'vrienden' toevoegen of verwijderen en boodschappen sturen op de naam van iemand anders. Zowel YouTube als MetaFilter hebben de lekken gedicht.

In dit document (pdf) leggen Zeller en Felton uit wat mensen kunnen doen om zich tegen csrf-aanvallen te beschermen.