Ethische hackers: 'Rabobank laat kwetsbaarheden maandenlang liggen'

  1. 7 mrt 2014
  2. 0 reacties

hacker3

De Rabobank onderneemt in sommige gevallen pas na maanden actie op meldingen van 'ethische hackers' over cross-site scripting (XSS) en SQL-injectie kwetsbaarheden op zijn website. Het melden van kwetsbaarheden heeft volgens de Nederlandse hackersgroep 'xLimbolandx Team' geen zin.

Dit blijkt uit een mailwisseling tussen de hackersgroep en de Rabobank die in handen is van Webwereld. De e-mails zijn tussen oktober 2013 en februari 2014 verzonden en maken melding van honderden XSS- en SQL-kwetsbaarheden. De kwetsbaarheden zouden aangetroffen zijn in de websites Rabomobiel.nl, Rabobank.de, rabbo.evolution-e.com en Rabobankwaterland.nl, die allen door de Rabobank worden beheerd.

Gebrekkige communicatie

Het feit dat sommige kwetsbaarheden maandenlang blijven liggen zou vooral door de gebrekkig interne communicatie van de Rabobank worden veroorzaakt. Meerdere afdelingen van de bank zouden zich bezig houden met meldingen van ethische hackers. De communicatie tussen deze afdelingen is echter niet goed, wat voor veel vertraging zorgt.

De problemen hebben kwaad bloed gezet bij de hackers. De hackersgroep stelt dat het melden van beveiligingsproblemen bij de Rabobank voorlopig geen zin heeft. Dit terwijl de acties van de ethische hackers er juist voor zorgen dat dergelijke kwetsbaarheden verholpen kunnen worden zodat klanten hier geen hinder van ondervinden.

Beloningen

De hackersgroep is ook niet te spreken over de hoogte van de vergoedingen die de Rabobank aan ethische hackers uitkeert. Concurrerende Nederlandse banken zouden aanzienlijk meer over hebben voor meldingen over ernstige kwetsbaarheden. De hackers zouden één vergoeding krijgen, ongeacht het aantal kwetsbaarheden dat zij bij de Rabobank melden. In de meeste gevallen zou het gaan om een bedrag tussen de 50 en 100 euro.

De Rabobank laat in een reactie aan Webwereld weten voortdurend te investeren in de infrastructuur en de producten. Ook meldt de bank er bewust voor te hebben gekozen om meerdere afdelingen de meldingen over kwetsbaarheden te laten behandelen. De hoogte van de vergoedingen zou simpelweg afhankelijk zijn van de ernst van de kwetsbaarheid.

Meer over
Lees ook
iPhones, scholen en het IoT vormen in 2016 de nieuwe doelwitten

iPhones, scholen en het IoT vormen in 2016 de nieuwe doelwitten

Nieuwe bedreigingen en trends rondom ransomware op nieuwe platforms, gerichte aanvallen op iPhones en een nieuw speelveld voor hackers om data te vinden voor identiteitsdiefstal zijn dreigingen waar we in 2016 mee te maken krijgen, voorspelt WatchGuard Technologies. Het bedrijf doet 10 voorspellingen voor informatiebeveiliging in 2016 uit de doeke1

Twitter waarschuwt gebruikers voor staatshackers

Twitter waarschuwt gebruikers voor staatshackers

Verschillende Twitter-gebruikers zijn door Twitter gewaarschuwd voor staatshackers. Deze aanvallers zouden uit zijn op e-mailadressen, IP-adressen en/of telefoonnummers van slachtoffers. Slechts een kleine groep Twitter-gebruikers heeft de boodschap ontvangen. De non-profit organisatie Coldhak uit het Canadese Winnipeg is één van deze gebruikers.1

Driekwart van de Nederlanders is bekend met mobiele malware

Driekwart van de Nederlanders is bekend met mobiele malware

73% van de Nederlanders weet dat zij ook op hun smartphone malware kunnen binnenhalen. Tegelijkertijd gebruikt slechts 43% software die hun smartphone beveiligt tegen virussen of hackers Dit blijkt uit onderzoek van Telecompaper onder leden van het Consumer Panel in oktober 2015. Slechts 9% van de Nederlanders blijkt niet op de hoogte te zijn van1