SSL-beveiliging Belgische banken is gatenkaas
SSL-encryptie zorgt er voor dat gegevens die op jouw computer vertrekken onleesbaar zijn voor derden, totdat ze aankomen op hun bestemming. SSL wordt heel vaak gebruikt: de meeste websites waarvan de ontwikkelaars een beetje gezond verstand hebben laten login-procedures en andere interacties waarbij gevoelige gegevens verzonden worden via het protocol verlopen. Je kan eenvoudig zien of je verbinding beveiligd is: de url van een website begint in dat geval met https in de plaats van gewoon http.
Magere beveiliging
Het spreekt voor zich dat banken gebruik maken van dergelijke SSL-encryptie. Er bestaan slechts weinig websites waaraan je als klant meer gevoelige informatie toevertrouwt. Dat de beveiliging van veel bankwebsites op niets trekt is dan ook verontrustend. Volgens beveiligingsblogger Yeri Tiete is de SSL-beveiliging van veel grote banken niet up-to-date, wat de encryptie in casu nagenoeg waardeloos maakt. Dat maakte Data News gisteren wereldkundig.
Tiete ging de kwaliteit van de beveiliging na met SSL Labs, een online tooltje dat iedereen kan gebruiken. SSL Labs geeft iedere website een score van A tot F, waarbij A+ het best mogelijke resultaat is, en F het slechtste. Op een eerste test haalden BNP Paribas Fortis, Bpost bank, ING en Argenta allemaal een F. Tietes post werd echter opgemerkt waarna enkele banken schijnbaar wakker schoten. Momenteel hebben enkel ING en Record Bank nog een schandalige F-rating. Hun SSL-encryptie stelt dus nauwelijks iets voor.
Ook Ogone doet het slecht
BNP Paribas Fortis heeft zich herpakt en promoveerde sinds de eerste post op 20 januari van de laatste plaats naar een knappe A- rating vandaag. Opvallend is dat ook Ogone niet hoger scoort dan een C. Opvallend, aangezien dat bedrijf als job heeft om betalingsverkeer veilig te laten verlopen.
Dat ING zo slecht scoort is erg opvallend. De bank positioneert zich op het voorfront van beveiliging door onder andere als eerste mobiel bankieren met een vingerafgdruksensor te combineren. Dat de SSL-beveiliging zo lek is als een zeef, en zelfs nog kwetsbaar is voor Poodle, een bug die al sinds 15 oktober van vorig jaar gekend is, is dan ook verrassend. Een recente lijst met de scores van de banken hier bekijken.
Update: In een reactie aan Belga slaat ING mea culpa. De bank laat weten dat de SSL-encryptie daadwerkelijk niet in orde was maar de veiligheid van de transacties is naar verluidt nooit in het gedrang gekomen. ING is de beveiliging momenteel aan het opkrikken. "We benadrukken dan ook dat dit voor ons een absolute permanente topprioriteit is, en dat wij dit constant monitoren en verbeteren. In dit geval waren wij op de hoogte van de gevoeligheden en waren wij dit reeds enige tijd aan het opvolgen om de nodige stappen tot verbetering en verstrenging van onze veiligheidsmaatregelen te garanderen."