Hacker breekt in bij twee banken
Een ‘ethische’ hacker kon vorige week binnendringen in de computersystemen van Dexia en ING België en opnieuw een aantal veiligheidsrisico’s blootleggen.
De hacker in kwestie is de Roemeen Unu. Hij maakte op het internet bekend dat hij via een website van ING Belgium kon binnendringen in een database waar de paswoorden van cliënten in gewone leesbare tekst zijn opgeslagen, net als hun persoonlijke e-mailadressen. Ook bij Dexia zou hij via een niet nader genoemde website toegang hebben gehad tot "een groot aantal databases".
Gelukkig had Unu geen kwade bedoelingen. Hij staat internationaal bekend als een ‘ethische’ hacker, een soort kruisvaarder die met zijn computerinbraken de betrokken bedrijven publiek wil wijzen op de risico’s van een gebrekkige beveiliging. Zo legt Unu op het internet uit dat criminelen de veiligheidslacunes bij de banken bijvoorbeeld zouden kunnen misbruiken om controle te krijgen over de computerserver. Maar zover is de hacker zelf dus niet gegaan. Er is dan ook geen enkele financiële schade voor de klanten van Dexia en ING België.
De hamvraag is dan ook hoe groot de veiligheidslekken zijn die de hacker bovenspitte. "De techniek die Unu gebruikte, SQL injection, is niet nieuw. Dat lijkt vrij onschuldig, maar het is een techniek die eerder al is gebruikt bij grote computerkraken, waarbij wel grote sommen geld werden ontvreemd", reageert blogger en beveiligingsactivist Len Lavens. "Alles hangt af van hoeveel toegangspoorten er zijn en hoe complex de computersystemen zijn die achter het veiligheidslek zitten. Soms duurt het zes maanden vooraleer malafide hackers aan de transactiegegevens kunnen." Andere specialisten benadrukten gisteren vooral dat de transactiegegevens bij de Belgische banken voldoende beveiligd zijn door het verplichte gebruik van de Digipass.
Volgens Dexia overdrijft de hacker alvast het incident. "Het ging om een website met louter productinformatie bij een extern bedrijf. Er was geen enkele link met onze eigen database. We hebben het probleem in tien minuten opgelost." Eenzelfde verhaal klinkt bij ING België, dat meteen alle paswoorden blokkeerde.
De financiële waakhond CBFA, waar de banken elke inbraakpoging moet melden, is van de incidenten op de hoogte. Omdat de internetcriminelen steeds professioneler worden, volgt de CBFA het probleem nauwgezet op. "We sturen geregeld IT-inspecties de baan op en hebben via een rondzendbrief de banken recent verplicht tot het nemen van maatregelen."