Het probleem zit in de handleiding voor acceptanten van iDeal Lite, waarin ook een aantal PHP-scripts worden meegeleverd. Deze zijn bedoeld om de eigen webwinkels te checken tegen een demonstratieomgeving. Wie wat kleine wijzigingen doorvoert, kan de programmatuur ook inzetten voor het daadwerkelijk verwerken van transacties.

40 lekken

Beveiligingsexpert Sijmen Ruwhof van beveiligingsbedrijf Secundity ontdekte 40 fouten in de code toen hij een bezig was een implementatie te maken. De problemen variëren van het geven van teveel informatie over een gebruikt systeem, gevoelig zijn voor Denial-of-Service-aanvallen tot zelfs XSS-lekken. Met die laatste is het daadwerkelijk mogelijk om mensen te misleiden bij het doen van betalingen.

"Het was schrikbarend om te zien dat de software op geen enkele wijze aan invoervalidatie deed. Iemand die ook maar een beetje wat van informatiebeveiliging afweet, ziet direct dat het vol met lekken zit”, vertelt Ruwhof tegenover Webwereld. “Het saillante is dat de Rabobank hiermee de beveiliging van tot dan toe goed beveiligde webshops ondermijnt.”

Jarenlang kwetsbaar

Uit de code blijkt dat het laatste geregistreerde onderhoud in mei 2006 is uitgevoerd. “Hierdoor is het de afgelopen 3,5 jaar mogelijk om webshops die deze software geïmplementeerd hebben, geheel over te nemen, te defacen of zelfs offline te halen”, constateert de expert.

Op zich hoeft het geen probleem te zijn als de code niet daadwerkelijk wordt gebruikt. Maar na wat zoeken met een zoekmachine blijkt de code her en der daadwerkelijk voor webwinkels te worden ingezet.

Voorbeeldcode

Volgens de Rabobank is het niet de bedoeling dat de voorbeeldcode ook daadwerkelijk in de praktijk worden ingezet. De woordvoerster erkent dat dit niet duidelijk uit de handleiding naar voren komt. De bank is dan ook van plan de handleiding aan te passen.

Ook zal de leverancier van de broncode worden benaderd om op de bevindingen te reageren. Zij moeten volgens Verhaegh de code aanpassen. “Als het blijkt dat er echt fouten in zitten dan zullen we de acceptanten via een nieuwsbrief op de hoogte stellen.”

Beveiliging niet serieus genomen

"Hoewel wij deze code niet zelf hebben bekeken, zou het ons niet verbazen als hier inderdaad beveiligingsproblemen in aanwezig zijn. We zien dit soort problemen namelijk schrikbarend vaak", vertelt Joost Pol van Certified Secure tegenover Webwereld.

Zijn bedrijf richt zich op de beveiliging van applicaties. "De meeste bedrijven nemen security helaas nog steeds niet serieus. Ze doen maar wat, terwijl dit nergens voor nodig is. Al jaren maken wij gratis checklists beschikbaar waarmee eenvoudig de veiligheid van webapplicaties te controleren is."