Hacker breekt in bij twee banken

Dexia en ING op gebrekkige beveiliging gewezen

08 september 2009 | De Standaard

Een 'ethische' hacker kon vorige week binnendringen in de computersystemen van Dexia en ING België en opnieuw een aantal veiligheidsrisico's blootleggen.

De hacker in kwestie is de Roemeen Unu. Hij maakte op het internet bekend dat hij via een website van ING Belgium kon binnendringen in een database waar de wachtwoorden van klanten in gewone leesbare tekst zijn opgeslagen, net als hun persoonlijke e-mailadressen. Ook bij Dexia zou hij via een niet nader genoemde website toegang hebben gehad tot "een groot aantal databases".

Kruisvaarder
Gelukkig had Unu geen kwade bedoelingen. Hij staat internationaal bekend als een soort kruisvaarder die met zijn computerinbraken de betrokken bedrijven in het openbaar wil wijzen op de risico's van een gebrekkige beveiliging.

Zo legt Unu op het internet uit dat criminelen de veiligheidslacunes bij de banken bijvoorbeeld zouden kunnen misbruiken om controle te krijgen over de computerserver. Maar zover is de hacker zelf dus niet gegaan. Er is dan ook geen enkele financiële schade voor de klanten van Dexia en ING België.

SQL injection
De hamvraag is hoe groot de veiligheidslekken zijn die de hacker bovenspitte. "De techniek die Unu gebruikte, SQL injection, is niet nieuw. Dat lijkt vrij onschuldig, maar het is een techniek die eerder al is gebruikt bij grote computerkraken, waarbij wel grote sommen geld werden ontvreemd", reageert blogger en beveiligingsactivist Len Lavens.

"Alles hangt af van hoeveel toegangspoorten er zijn en hoe complex de computersystemen zijn die achter het veiligheidslek zitten. Soms duurt het zes maanden vooraleer malafide hackers aan de transactiegegevens kunnen."

Andere specialisten benadrukten gisteren vooral dat de transactiegegevens bij de Belgische banken voldoende beveiligd zijn door het verplichte gebruik van de Digipass.

"Hacker overdrijft"
Volgens Dexia overdrijft de hacker alvast het incident. "Het ging om een website met louter productinformatie bij een extern bedrijf. Er was geen enkele link met onze eigen database. We hebben het probleem in tien minuten opgelost." Eenzelfde verhaal klinkt bij ING België, dat meteen alle wachtwoorden blokkeerde.

De financiële waakhond CBFA, aan wie de banken elke inbraakpoging moeten melden, is van de incidenten op de hoogte. Omdat de internetcriminelen steeds professioneler worden, volgt de CBFA het probleem nauwgezet op. "We sturen geregeld IT-inspecties de baan op en hebben via een rondzendbrief de banken recent verplicht tot het nemen van maatregelen." 

Lees meer artikels over : hacker, bank, dexia, ing, sql injection, database

bron: De Standaard Online