Uit de communicatie blijkt dat de hackersgroep tussen oktober 2013 en februari 2014 bij de Rabobank melding heeft gemaakt van honderden XSS-fouten en verschillende SQL-injectiekwetsbaarheden op de websites van Rabomobiel.nl, Rabobank.de, rabbo.evolution-e.com en Rabobankwaterland.nl.

Bij een aantal van die meldingen duurde het meerdere weken en in één geval zelfs maanden voordat de kwetsbaarheid was verholpen. De reden? Gebrekkige onderlinge communicatie tussen de verschillende onderdelen van de bank, mede veroorzaakt doordat verschillende afdelingen meldingen van hackers in het kader van 'responsible disclosure' behandelen.

Verschillende meldpunten

Rabobank laat in een reactie weten er bewust voor gekozen te hebben meldingen te laten binnenkomen en te laten verwerken bij de IT-organisatie die de omgeving beheert waar de melding betrekking op heeft en niet met één coördinatiepunt te werken. De bank gaat niet in op de vraag hoe de communicatie tussen onderdelen van de Rabobank Group verbeterd kunnen worden. Wel stelt de Rabobank "voortdurend te investeren in de infrastructuur en de producten". Details over maatregelen om zaken als communicatie te verbeteren worden niet gegeven.

xLimbolandx Team is teleurgesteld over de "slechte manier van omgaan" van gemelde fouten en stelt dat het melden van fouten bij de Rabobank "voorlopig geen zin heeft".

Klachten over hoogte vergoeding

De hackersgroep beklaagt zich daarnaast over de vergoedingen die Rabobank in het kader van zijn responsible disclosure policy uitkeert. De hackers stellen dat concurrenten als ING, SNS-Bank en ABN-AMRO hogere bedragen betaalt dan de Rabobank dat doet. "Of je nu één of vijftig fouten hebt gevonden, dat maakt niets uit, je krijgt maar één vergoeding", stelt de groep. Meestal gaat het daarbij om een bedrag van 50 of 100 euro.

Nederlandse banken zijn volgens de 17-jarige bugjager Olivier Beg allemaal niet erg scheutig met vergoedingen. Hij stelt dat Nederland nog een flinke professionaliseringsslag kan maken.

Wat betreft de vergoeding stelt de Rabobank in een reactie dat het per geval de vergoeding bekijkt en dat deze afhankelijk de ernst van de melding gekoppeld zijn aan een bedrag. "De vergoeding dient te worden beschouwd als een uiting van dank aan de melder", laat een woordvoerder weten. De bank doet op zijn 'Meldpunt Kwetsbaarheden' geen mededelingen over de hoogte van uit te keren bedragen.