Internetbankieren: websites banken onvoldoende beveiligd
Uitzending van 17 juli 2009
Veel websites van banken en overheid zijn onvoldoende beveiligd. Het zogeheten ‘slotje’ dat zou moeten garanderen dat een site veilig is, biedt geen garantie meer. Hackers zijn in staat om zulke websites te kraken en misbruik te maken van de gegevens die burgers invoeren. Bankrekeningen kunnen op die wijze worden geplunderd.
De Amsterdamse hostingprovider Byte brengt één en ander in Netwerk aan het licht. Het wordt onderschreven door professor Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen. Een aantal banken erkent het probleem en werkt aan oplossingen.
Sinds twee jaar bestaat al een verbeterde versie van het ‘slotje’. Maar banken, zoals ABN-Amro, Rabobank en DSB gebruiken die nog niet. En dat geldt ook voor een aantal sites van de overheid, zoals DigiD. De nieuwe gecertificeerde beveiligingsvorm is herkenbaar aan de groene adresbalk. Het kost een organisatie vanaf 500 euro om haar site te ‘upgraden’.
Professor Bart Jacobs: “Netwerk toont aan dat de beveiliging van DigiD niet werkt. Overheid en banken moeten hun sites snel aanpassen”. Desgevraagd geven banken aan Netwerk aan dat ze werken aan de verbeteringen.
Bekijk ook eerdere Netwerk-items over soortgelijke onderwerpen:
- Forse stijging skimming op stations
- Kinderlokkers werken steeds meer online
Als u wil weten of u veilig internetbankiert, ga dan naar de website 3xkloppen.nl van de Vereniging van Banken en check de procedures die daarop staan vermeld.
Bekijk hier de uitzending van vrijdag 17 juli.
De Amsterdamse hostingprovider Byte brengt één en ander in Netwerk aan het licht. Het wordt onderschreven door professor Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen. Een aantal banken erkent het probleem en werkt aan oplossingen.
Sinds twee jaar bestaat al een verbeterde versie van het ‘slotje’. Maar banken, zoals ABN-Amro, Rabobank en DSB gebruiken die nog niet. En dat geldt ook voor een aantal sites van de overheid, zoals DigiD. De nieuwe gecertificeerde beveiligingsvorm is herkenbaar aan de groene adresbalk. Het kost een organisatie vanaf 500 euro om haar site te ‘upgraden’.
Professor Bart Jacobs: “Netwerk toont aan dat de beveiliging van DigiD niet werkt. Overheid en banken moeten hun sites snel aanpassen”. Desgevraagd geven banken aan Netwerk aan dat ze werken aan de verbeteringen.
Bekijk ook eerdere Netwerk-items over soortgelijke onderwerpen:
- Forse stijging skimming op stations
- Kinderlokkers werken steeds meer online
Als u wil weten of u veilig internetbankiert, ga dan naar de website 3xkloppen.nl van de Vereniging van Banken en check de procedures die daarop staan vermeld.
Bekijk hier de uitzending van vrijdag 17 juli.
Reageer
Plaats een reactie
Banken & beveiliging omtrent 'digitaal' bankieren.
17 juli, 2009 - 17:08Mooi dat óók netwerk laat zien dat dit soort praktijken al jaren mogelijk zijn.
De IT-gemeenschap schreeuwt al jaren moord & brand om dit soort problemen en publique te krijgen.
Voor "leuk" beveiligingsnieuws kijk ook n's hier (voor 't geval dat): http://www.security.nl/
Er is meer nodig voor een kraak
17 juli, 2009 - 22:05Certificaten zijn gekoppeld aan een domein naam bv. as.digid.nl, zoals in de uitzending. Het volgende opstakel is nu dat de computer van de gebruiker via DNS nu ipv naar de officiële website naar de andere website moet. Alerte gebruikers kunnen bijhouden (extensies in firefox) welk ip adres wordt gebruikt en zo eventuele omleidingen ontdekken. Het neemt niet weg dat certificaten vallen of staan met vertrouwen in de uitgevers. Te veel bedrijven bieden root-certificaten aan die worden toegevoed aan browsers. Het bedrijf dat dit certificaat heeft uitgegeven zou direct uit de bestaande lijsten verwijderd moeten worden.
Banken & beveiliging omtrent 'digitaal' bankieren.
17 juli, 2009 - 21:12Beste "IT-ers", roep nu eens dat veilig internet bij jezelf begint. Degenen die het hardst schreeuwen, hebben dit soort problemen zelf niet eens opgelost. Byte heeft niet eens een httpS inlog site. Inloggen gaat over http, wat niet veilig is. En als je dan ZELF httpS van de url maakt, zie je dat Byte niet eens een paar honderd euro over heeft voor een uitgebreid certificaat! Ging het in de uitzending om gratis reclame voor Byte dan? Mijn boodschap is, dat veilig internetten ook bij jezelf begint, en dus een zaak is van jezelf en het bedrijf, of dat nu een financiele instelling is of een internet provider dat webmail aanbiedt. Je laat toch ook niet je voordeur open staan, als je een 5 sterren slot hebt?
Als ik naar de servicepanel
18 juli, 2009 - 12:01Als ik naar de servicepanel login van Byte ga, hebben ze toch echt wel een EV certificaat.
httpS inlog site
17 juli, 2009 - 22:18In mijn beleving heeft de inlog website van byte [ zie http://service.byte.nl ] een zogenaamde "extended en gevalideerd certificaat". Ik vond het een uitstekend verhaal van Byte.