Dexia-homebanking geeft toegang tot rekening van derde

[Blue-Sky]

<img src="http://upload.userbase.be/upload/061221_dexia1_kl.jpg" align="left" width="120" height="100">Fout na 12 uur nog online. De voordelen van internetbankieren zijn bekend. Maar het kan ook ernstig fout gaan, zoals een medewerker van PC Labs gisteravond ontdekte toen hij inlogde op Dexia.be. Behalve tot zijn eigen rekeningen kreeg hij toegang tot de bankrekeningen van een andere Dexia-klant. Het nieuws komt als een totale verrassing voor Dexia, dat zegt de zaak te gaan onderzoeken.

Rik Versweyveld van PC Labs ontdekte het probleem toen hij woensdagavond inlogde op de homebanking-dienst van Dexia. Die staat te boek als veilig, onder meer door de koppeling aan een code geproduceerd door een unieke DigiPass. Versweyveld kon zonder problemen toegang krijgen tot de rekening van een andere, hem onbekende Dexia-klant.

Het was ook geen probleem om transacties door te voeren, zoals bestendige opdrachten invoeren of overschrijvingen. Versweyveld kon, als hij dat wou, het geld op de rekening van de andere Dexia-klant overschrijven naar zijn eigen rekening.

Twaalf uur later had Versweyveld nog altijd toegang tot de rekening van de ander. Dexia, dat meteen door de redactie werd gewaarschuwd, onderzoekt de zaak. De bank kan nog niet vertellen of het gaat om een unieke vergissing of een systematische fout in zijn homebanking-module.

Een initiële analyse wijst in de richting van een menselijke fout. "Men heeft aan de verkeerde persoon een volmacht gegeven", aldus een woordvoerder van Dexia. De bank heeft slechts weet van één eerder vergelijkbaar incident, enkele jaren geleden. Toen betrof het twee Dexia-klanten met dezelfde naam. De beveiligingsafdeling van Dexia onderzoekt het incident verder. Dexia zou de fout hebben rechtgezet, maar ten tijde van schrijven had Versweyveld nog altijd toegang tot rekeningen van de andere Dexia-klant.

Met een bijdrage van Dominique Deckmyn, IT Professional.

Bron: ZDNet.be en lees hier meer van 21 december 2006

[Ofloo]

Dat zal wel .. ik geloof er niks van, het zijn gewoon prutsers ja. Het feit dat het meer dan 12 uur geduurd heeft bevestigd dit nog eens, als ik dexia was zou ik het hele systeem direct plat gooien en onderzoeken, wat er fout is. Tot ik zeker wist wat de fout was, nee waarschijnlijk zal het wel een menselijke fout zijn, .. verder geen actie ondernomen, buiten dat ze de files van de persoon en account onderzoeken. Wie weet zijn er nog mensen die dit kunnen.

Het gaat hier om privé gegevens én geld.. als deze persoon anders ingesteld was hadden ze een serieus probleem !!!! Zelfs na verwittiging zeggen ze het zal wel een menselijke fout zijn, en doen ze precies of het niks is.

[Nob]

Het gaat hier om privé gegevens én geld.. als deze persoon anders ingesteld was hadden ze een serieus probleem !!!! Zelfs na verwittiging zeggen ze het zal wel een menselijke fout zijn, en doen ze precies of het niks is.

Volledig akoord dat ze dat eens beter mogen nakijken.
Maar ik ben er zeker van dat die zaken enorm goed getest zijn, zo goed zelfs dat ze daar vrij zeker van zijn (100% zekerheid heb je nooit natuurlijk)
De kans is gewoon veel groter dat die bepaalde rekening per ongeluk door een medewerker verhangen werd aan een andere persoon...

greetz,

Nob

[decomp]

Rik Versweyveld van PC Labs ontdekte het probleem
....
Twaalf uur later had Versweyveld nog altijd toegang tot de rekening van de ander. Dexia, dat meteen door de redactie werd gewaarschuwd, onderzoekt de zaak.

Op één of andere manier krijg ik hier het afknappend gevoel bij dat dit "incident" wordt uitgebuit om gratis reclame te scoren.
Die indruk wordt nog versterkt door het feit dat gesugereerd wordt dat "de redactie" Dexia op de hoogte heeft gebracht.

Ik zou nooit in de krant komen als "decomp van bedrijf X" en Dexia onmiddellijk rechtstreeks verwittigen, weet je.
Maar waarschijnlijk is dit ook wel gebeurt: de media kennen er ook iets van om "hun waarheid" aan de man te brengen!

Fout na 12 uur nog online
....
Dexia zou de fout hebben rechtgezet, maar ten tijde van schrijven had Versweyveld nog altijd toegang tot rekeningen van de andere Dexia-klant.
....
Rik Versweyveld van PC Labs ontdekte het probleem toen hij woensdagavond inlogde

Als dexia effectief 12 uur voordien werd verwittigd en er wordt geconstateerd dat het probleem nog bestaat terwijl Dexia beweert dat het probleem werd opgelost, dan is dit inderdaad toch wel iets om bang van te worden als Dexia klant! Dat zegt twee dingen: responstijd veels te traag en reactie niet adekwaat.
Het "probleem" is blijkbaar ontdekt ná de kantooruren.
Permanentie problematisch of onbestaande?

[meon]

Voor zover ik de verhalen heb gelezen is het een menselijke fout en was het niet beperkt tot de webbanking. Gewoon verkeerde rekening gekoppeld aan de verkeerde naam.
Dit dus afschuiven op onveiligheid van webbanking vind ik dus een beetje ver gaan!

[Ofloo]

zover ik lees staat dat ze het veronderstellen, .. en een systeem is maar zo veilig als de gene die het in handen hebben, een auto is maar zo veilig als de bestuurder achter het stuur !!! Dus bij deze is het heel onveilig.

[Ofloo]

Het gaat hier om privé gegevens én geld.. als deze persoon anders ingesteld was hadden ze een serieus probleem !!!! Zelfs na verwittiging zeggen ze het zal wel een menselijke fout zijn, en doen ze precies of het niks is.

Volledig akoord dat ze dat eens beter mogen nakijken.
Maar ik ben er zeker van dat die zaken enorm goed getest zijn, zo goed zelfs dat ze daar vrij zeker van zijn (100% zekerheid heb je nooit natuurlijk)
De kans is gewoon veel groter dat die bepaalde rekening per ongeluk door een medewerker verhangen werd aan een andere persoon...

greetz,

Nob

Door zo'n kieken zeker die pas html,php,java geleerd heeft en denkt het te kunnen.. bij ons op het werk zit ook van dat soort, 'k ga niet zeggen dat ik het allemaal kan maar ik beweer het dan ook niet te kunnen !

Ik kan er gewoon niet bij dat ze der zo licht overgaan het zal wel een menselijke fout zijn, wat als het niet zo is, men word met de feiten op de neus gedrukt, en nog durft men te zeggen het zal wel menselijke fout zijn alsof hun systeem onfeilbaar is.

[Robbe]

Voor zover ik de verhalen heb gelezen is het een menselijke fout en was het niet beperkt tot de webbanking. Gewoon verkeerde rekening gekoppeld aan de verkeerde naam.
Dit dus afschuiven op onveiligheid van webbanking vind ik dus een beetje ver gaan!

Webbanking in zijn geheel niet nee, maar wel bij Dexia als dat hun manier van handelen is. En zeker als dat inderdaad hun reactie was.

[Nob]

Door zo'n kieken zeker die pas html,php,java geleerd heeft en denkt het te kunnen.. bij ons op het werk zit ook van dat soort, 'k ga niet zeggen dat ik het allemaal kan maar ik beweer het dan ook niet te kunnen !

Denkt ge nu echt dat ze alleen technische testen doen?

Dat zijn basistesten, alsof ze niet veel meer testen dan dat...


greetz,

Nob

[gimic]

het artikel beweerd dat hij overschrijvingen kon doen, maar om overschrijvingen te kunnen doen moet je terug de hash van het digitooltje hebben, als de echte eigenaar niet achter de pc zit met de juiste bankkaart kan hij daar geen geld van trekken dacht ik.

Gimic

[wem]

het artikel beweerd dat hij overschrijvingen kon doen, maar om overschrijvingen te kunnen doen moet je terug de hash van het digitooltje hebben, als de echte eigenaar niet achter de pc zit met de juiste bankkaart kan hij daar geen geld van trekken dacht ik

Maar als het "gewoon" een probleem is van een verkeerde volmacht te hebben gegeven, dan kan dit wel he. En dit staat dan los van het webbanking, maar zal doordat je thuis je rekeningen kan bezien en controleren veel sneller duidelijk worden.

[The_Borg]

Door zo'n kieken zeker die pas html,php,java geleerd heeft en denkt het te kunnen.. bij ons op het werk zit ook van dat soort, 'k ga niet zeggen dat ik het allemaal kan maar ik beweer het dan ook niet te kunnen !

Met alle respect, ICT implementaties bij banken zijn uiterst strikt. Applicaties worden getest, geretest en gereretest. Begin dus aub niet plat populistisch te zeveren over "zo'n kieken dat pas html heeft geleerd".

Er is waarschijnlijk een menselijke fout gebeurd, die niks maar dan ook niks te maken heeft met Netbanking en er wordt direct maar van alles geroepen.

[Avenger]

Ga volledig akkoord met bovenstaande post,
heeft geen bal met netbanking te maken .

[stefke]

Ik heb nog steeds een veilig gevoel bij gebruik van mijn netbanking, dit was een fout van verkeerde volmachten aan een persoon met dezelfde naam, dus puur de bediende die een fout maakt.

Kan ook gebeuren zonder netbanking,

[deej]

Met alle respect, ICT implementaties bij banken zijn uiterst strikt. Applicaties worden getest, geretest en gereretest. Begin dus aub niet plat populistisch te zeveren over "zo'n kieken dat pas html heeft geleerd".

Zover als html-kieken gaat het inderdaad niet maar als security consultant heb ik al stoten gezien bij die grootbanken die echt niet door de beugel kunnen, en die enkel gedaan worden omdat de programmeurs zich veel te weinig bewust zijn van security. Bovendien zijn bij mijn weten de banken verzekerd tot 2500€ per rekening dus bedragen eronder die "verdwijnen" liggen ze ook niet zo echt wakker van.

Webbanking - zelfs met digipass - is maar zo veilig als de applicatie zelf. En daar is nog werk aan de winkel. Het enige voordeel van die digipass is dat als je de buggy applicatie hackt ze weten wie je bent. Dus wie de hack van de eeuw wil doen kan best eerst een digipass met pincode opgekleefd pikken .

[Ofloo]

dat van dat html kieken was dan ook maar een uitdrukking.. maar ik heb er al vaak dingen zien doen waar ik van denk, ..

[Draco888]

Was dit niet reeds opgeheldert?
Was op het nieuws vorige week.
Human error. De rekening in kwestie stond onder curatele of zoiets en een notaris ( of was het accountant of zoiets?) en zijn assistent hadden er toegang tot voor hun functie. Maar nadien was er iemand bij Dexia vergeten deze toegang weer in te trekken.

[CueBoy]

Was dit niet reeds opgeheldert?
Was op het nieuws vorige week.
Human error. De rekening in kwestie stond onder curatele of zoiets en een notaris ( of was het accountant of zoiets?) en zijn assistent hadden er toegang tot voor hun functie. Maar nadien was er iemand bij Dexia vergeten deze toegang weer in te trekken.

Euhm, 't was gewoon een geval van persoonsverwisseling/naamsverwarring hoor.

[Joe de Mannen]

ze moeten bij de banken nog meer besparen om meer winst te boeken en personeel achter het loket zetten dat niet eens een naam deftig kan overtypen/schrijven, dan komen ze nog van die stoten tegen. Maar ge kunt tegenwoordig niet zonder bank en dat weten zij ook...

J.

[PowerSoft]

ze moeten bij de banken nog meer besparen om meer winst te boeken en personeel achter het loket zetten dat niet eens een naam deftig kan overtypen/schrijven, dan komen ze nog van die stoten tegen. Maar ge kunt tegenwoordig niet zonder bank en dat weten zij ook...

J.

en jij maakt nooit fouten op je werk?

[Joe de Mannen]

toch wel maar als ik een formulier moet invullen voor een klagende klant zorg ik wel dat het juist is... zeker als het gaat over het rechtzetten van een eerder gemaakte fout.


J.