Rabobank dicht lek in mobiele site

De Rabobank heeft een lek gedicht in de mobiele site voor internetbankieren. Kwaadwillenden konden met een zogenoemde brute force-aanval de inlogcodes van klanten achterhalen.

Dat schrijft Webwereld.nl, die naar aanleiding van een tip de brute force-aanval succesvol toepaste. Bij deze aanval werden geautomatiseerd codes ingevoerd op de mobiele site van de Rabobank. Na drie foutieve invoeringen werd de code geblokkeerd, waarna de site echter de melding 'Deze code is geblokkeerd' gaf, wanneer wel de juiste cijfercombinatie werd ingevoerd.

Bij deblokkering zou klantenservice van de Rabobank standaard dezelfde code terugzetten, waardoor de hacker achter de brute force-aanval beschikt over de juiste inloggegevens. Hiermee kan geen geld naar onbekende rekeningen worden gesluisd, maar krijgen kwaadwillenden wel inzicht in de financiƫle situatie van hun doelwit. Dit kan voor cybercriminelen waardevolle informatie zijn.

De Rabobank heeft inmiddels het lek gedicht, waardoor er ook bij invoering van de juiste code na blokkering niet meer gemeld wordt dat die cijfercombinatie is geblokkeerd. Het probleem deed zich alleen voor bij de mobiele site, voor de reguliere website van de Rabobank is bij het inloggen een Random Reader vereist.