De Rabobank heeft op zijn mobiele website van het internetbankieren van Rabobank heen beveiligingsprobleem opgelost. Kwaaddoeners konden eenvoudig inloggegevens achterhalen van verschillende klanten bij de bank.
Het probleem werd ontdekt door de 24-jarige student Sander Akkerman. De student tipte Webwereld over het probleem. De fout zat in de afhandeling van verkeerde inlogcodes. Een hacker kon gemakkelijk via een bruteforceaanval de inlogcode achterhalen. Na drie foute inlogpogingen kon een hacker nog steeds doorzetten met het proberen van de inlogcombinaties. De foutmelding kwam steeds terug, totdat de juiste combinatie werd ingevoerd.
Akkerman schreef een proof of concept om de aanval te demonstreren. "Bij een verkeerde poging zegt het systeem dat de combinatie van rekeningnummer en code niet klopt. Als de code geblokkeerd is, meldt het ‘deze code is geblokkeerd. Neem contact op met de Rabobank’," schrijft Akkerman. Hierdoor is het duidelijk wat de goede code is. Hierna hoeft de aanvaller te wachten tot de code gedeblokkeerd wordt. Akkerman vermeldt dat de klantenservice standaard dezelfde code terugzet.
Beveilingsdeskundige Frank van Vliet van Certified Secure meldt dat de bank het probleem makkelijk had kunnen voorkomen. "Dit probleem staat precies zo omschreven op onze basischecklist voor webapplicaties. Ze hadden dit makkelijk vooraf af kunnen vinken." Via de aanval konden hackers onder andere de saldogegevens van de klant zien en geld tussen eigen rekeningen en bekenden overmaken. De Rabobank heeft het probleem inmiddels opgelost door de foutmelding aan te passen.