Beveiliging online bankieren van ING, Record Bank en Bank J.Van Breda deugt niet
De beveiliging van het online bankieren bij ING, Record Bank en Bank J. Van Breda deugt niet. Hackers kunnen zomaar meelezen. Tot die conclusie komt blogger Yeri Tiete.
Miljoenen websites gebruiken een SSL-encryptie voor het beveiligen van online aankopen en financiële transacties en voor het versturen van persoonsgegevens. Bedoeling is dat alle informatie tijdens het transport vertrouwelijk blijft en niet leesbaar is door derden.
Websites die over de SSL-beveiliging beschikken, zijn herkenbaar aan het gesloten slotje en de https:// in de adresbalk. Uw bank gebruikt SSL-encryptie, maar ook Facebook en vele andere webplatformen doen het.
Het was de Belgische securityblogger Yeri Tiete die recent de kat de bel aanbond en opmerkte hoe de SSL-beveiliging bij de Belgische banken aan een grondige verbetering toe is. Tiete ontdekte de mankementen in het beveiligingssysteem via de ‘SSL Labs’-test. Deze online tool laat iedereen die het wenst toe om te controleren in hoeverre het SSL-encryptieprotocol van een organisatie naar behoren configureert en up to date is. SSL-Labs werkt via bepaalde scores die worden gegeven na de test. A+ is prima, B staat voor zwak, en C tot F zijn slecht tot zeer slecht.
Tiete’s oordeel nadat hij de proef op de som nam, is duidelijk: “Onze Belgische banken implementeren SSL op een slechte manier en talmen te lang met het doorvoeren van belangrijke bugfixes en updates. Daardoor creëren ze een vals gevoel van veiligheid”. Daarnaast vraagt de securityblogger zich af of het “uit onwetendheid of uit luiheid zou zijn dat de banken hun beveiligingsproblemen niet beter opvolgen?”. “Hoe dan ook”, zo gaat hij verder, “als je https://-verbindingen kwetsbaar zijn, kunnen hackers probleemloos communicatiesessies tussen bank en klant meelezen, kunnen ze sessies kapen én kunnen ze naar hartenlust data aanpassen. Als je weet dat die https://-verbindingen eigenlijk de ‘voordeur’ zijn van een bank, dan begin je bijna te vrezen hoe erg het intern gesteld is.”
De resultaten van Tiete’s test waren niet geruststellend, want Bpost, BNP Paribas, Hellobank!, ING, Record Bank en Bank van Breda scoorden allemaal slecht tot zeer slecht. Bpost en BNP Paribas Fortis hebben hun SSL-configuratie tijdens de afgelopen twee weken wel in orde gebracht, terwijl ook Argenta bezig is met de kwestie. “Waarschijnlijk omdat ze mijn blog gelezen hebben”, zo concludeert Tiete.
Andere tips over zichtrekeningen
Log in om reacties to posten. Geen login? Registreer u hier.