Userbase

Een aantal Belgische banken, waaronder ING, heeft de ssl-beveiliging van zijn websites niet goed op orde, zo blijkt uit resultaten van een scan door de online tool SSL Labs. Door de soms ondermaatse ssl-implementaties bestaat het risico dat hackers sessies kunnen kapen.

SSL Labs geeft een score aan de implementatie van het ssl-protocol: een A+ betekent dat een https-website voldoende beveiligd is, terwijl een F-beoordeling wijst op kwetsbaarheden. De securityblogger Yeri Tiete is alle Belgische banken nagelopen met behulp van de tool en stelt op basis daarvan dat de websites van Bpost, BNP Paribas, HelloBank!, ING, Record Bank en Bank van Breda een slechte tot zeer slechte beoordeling kregen. Hierdoor zijn de websites potentieel onvoldoende beveiligd. Zo zijn sommige sites kwetsbaar voor de Poodle-bug, een kwetsbaarheid in het ssl 3.0-protocol.

Bpost en BNP Paribas Fortis hebben inmiddels hun ssl-configuratie op orde hebben gebracht, maar ING, Recordbank, Hellobank en Bank van Breda zouden nog steeds slecht scoren. De belangrijkste Nederlandse banken komen overigens beter uit de test: Rabobank, Knab, ING en Triodos Bank scoren een A-, terwijl ABN Amro, ASN Bank, RegioBank, SNS Bank en Van Lanschot een B-score krijgen toegekend.

We benadrukken dan ook dat dit voor ons een absolute permanente topprioriteit is, en dat wij dit constant monitoren en verbeteren. In dit geval waren wij op de hoogte van de gevoeligheden en waren wij dit reeds enige tijd aan het opvolgen om de nodige stappen tot verbetering en verstrenging van onze veiligheidsmaatregelen te garanderen

wimpie3 schreef:Journalistiek is dit weer een toppertje... NOT! Wat ik mij dan zo vaak afvraag: wij weten als 'nerds' redelijk veel van informatica en merken makkelijk dit soort dingen op. Maar over hoeveel onderwerpen waar wij niets vanaf weten staan er ook zulke nonsens in de krant? Vermoedelijk meer dan we denken...

meon schreef:De Standaard:
"Hacker stelt beveiliging banken op de proef: ING en Record Bank ondermaats"
"ING reageert op hacking van securityblogger"

... hacking? Serieus?
Iedereen kan de Qualys SSL-check toch gewoon online uitvoeren... https://sslcheck.globalsign.com/nl

ITnetadmin schreef:Het trieste is vaak dat bij banken de volledige IT molen zo traag draait wegens vanalle papierwerk en andere vereisten dat dit soort dingen idd tijd inneemt

We benadrukken dan ook dat dit voor ons een absolute permanente topprioriteit is, en dat wij dit constant monitoren en verbeteren. In dit geval waren wij op de hoogte van de gevoeligheden en waren wij dit reeds enige tijd aan het opvolgen om de nodige stappen tot verbetering en verstrenging van onze veiligheidsmaatregelen te garanderen

Geachte heer XXX,

Naar aanleiding van artikels in de pers begin deze week, willen wij u graag bevestigen dat wij ons ten volle bewust zijn van het belang van de veiligheid rond bankieren en het vertrouwelijk behandelen van uw gegevens. We benadrukken dan ook dat veiligheid voor ons een absolute topprioriteit is en dat wij deze constant opvolgen en verbeteren.

Maandag heeft ING België een update uitgevoerd om haar systemen voor internetbankieren nog beter te beveiligen. Door deze update, die al eerder was gepland, krijgt ING voor haar online beveiliging een A- score* van het beveiligingsbedrijf Qualys. Dat is de op een na hoogste score. Wij willen nogmaals beklemtonen dat de veiligheid van uw online betaaltransacties op geen enkel moment in het gedrang is gekomen.

Hebt u hierover nog vragen? Contacteer dan gerust uw gebruikelijke ING-gesprekspartner.

* Score gegeven door Qualys op basis van de SSL Server Test. Deze test maakt op een uniforme manier een analyse van verschillende beveiligingscomponenten van een website.