Van tien banken waren de websites kwetsbaar voor cross-site scripting (XSS). Het ging om ABN AMRO, Rabobank, ING, Binck, Alex, ASN, Knab, SNS, Triodos en de Belgsiche site van Van Lanschot Bankiers. Dat ontdekte de Nederlandse onderzoeker Wouter van Dongen.
Volgens onderzoeker Van Dongen had de gevonden XSS-kwetsbaarheid ingezet kunnen worden voor phishingaanvallen. Cybercriminelen bouwen dan een fake-site, die gegevens steelt van de gebruiker, over de echte site heen. De fake-site functioneert met alle echtheidskenmerken van de bank, inclusief groene zoekbalk en beveiligingscertificaat. De aanvaller lokt nietsvermoedende gebruikers met bijvoorbeeld een e-mail naar deze kwaadaardige website. Zo wordt fraude en oplichting met internetbankieren mogelijk.
Kamervragen
PvdA-Kamerleden Nijboer en Oosenbrug hebben hier kamervragen over gesteld aan minister Dijsselbloem. In zijn antwoord (pdf) geeft de minister van Financiën aan dat banken zelf zorgen voor het regelmatig updaten van hun systemen en het testen op beveiligingslekken. Hij zegt dat zulke beveiligingsproblemen nooit volledig uit te sluiten zijn en dat het probleem van cross-site scripting door de banken vaker is geconstateerd én aangepakt.
Betaalvereniging Nederland heeft minister Dijsselbloem laten weten niet bekend te zijn met aanvallen waarin gebruikt werd gemaakt van het XSS-lek. Inmiddels hebben de banken het lek gedicht.