Volgens ict'er Zarco Zwier zijn vijf Nederlandse banken vatbaar voor cross site scripting aanvallen. Het gat is te gebruiken via de zoekfuncties van de verschillende websites.Het gaat om ABN AMRO, Aegon bank, Delta Lloyd, Binck Bank, Fortis en ING.

Begin maart blogde de hacker over het lek en stelde hij de banken via e-mail op de hoogte. Daarop ondernamen alleen ING en ABN actie. Een woordvoerder van ING bevestigt dat Zwier het bij het rechte eind had en dat het lek inmiddels is gedicht. ABN laat weten hetzelfde gedaan te hebben. "Het ging wel om een minuscuul gaatje waarmee niks kon gebeuren", aldus de woordvoerder. De bank liet niet aan Zwier weten dat het probleem verholpen werd.

Potentieel ernstig

De andere banken zijn nog steeds kwetsbaar voor xss-aanvallen. Aegon laat middels een woordvoerster weten op 16 maart een waarschuwing te hebben ontvangen. "Ondanks dat we in het verleden maatregelen hebben genomen blijkt het waar te zijn", aldus de zegsvrouw. Met de volgende release update wordt het euvel verholpen. "Aanstaande dinsdag aan het eind van de dag is het gereed." De e-mail is "door de drukte" blijven liggen. Aegon gaat de hacker bedanken voor zijn oplettendheid.

Zwier meent dat websites van grote banken deze kwetsbaarheden niet kunnen tolereren. "Het zou potentieel ernstig kunnen zijn", aldus Zwier. Het kan namelijk gebruikt worden voor phishingaanvallen. Het vebaast Zwier dat de lekken 'vrij triviaal waren om te vinden'. Het zoekveld is volgens hem meestal de eerste plek waar kwaadwillenden dergelijke aanvallen uitproberen. Zwier vindt het ook verbazingwekkend dat de banken niet reageerden op zijn waarschuwing. "Een tijdje geleden heb ik hetzelfde getest bij een aantal overheidssites en daar had ik van iedereen wel binnen een week een reactie."

Kwaadaardige code

Ook Fortis is op de hoogte van de waarschuwing. "Wij kijken nu even wat het exacte probleem is. Als dat er inderdaad is, wordt dat zo snel mogelijk opgelost", laat een woordvoerder van de bank weten. Fortis is sinds vanmiddag op de hoogte van het mogelijke probleem. Zowel Delta Lloyd als Binck Bank konden niet direct reageren. De woordvoerders waren in ieder geval niet op de hoogte van de waarschuwing en het xss-probleem.

Bij een xss-aanval laat een belager code achter op bijvoorbeeld een reactieforum of elders op een website. Deze code is vaak onzichtbaar voor bezoekers, maar wordt elke keer dat iemand de pagina opvraagt automatisch uitgevoerd. Op die manier kunnen aanvallers bezoekers bijvoorbeeld doorsturen naar een website met kwaadaardige code, of wachtwoorden die in cookies zijn opgeslagen stelen.

Xss-gaten komen vaak voor

Webdiensten hebben met enige regelmaat te kampen met xss-gaten. In het verleden zijn onder andere Paypal, Gmail en Salesforce.com het slachtoffer geweest van dergelijke problemen. Beveilgingsfirma Acunetix onderzocht in 2007 3,200 websites met online applicaties en trof daar 210.000 kwetsbare plekken aan. Dat komt neer op 66 beveiligingsgaten per applicatie.