Het SSL-encryptieprotocol dat de Belgische financiële instellingen gebruiken om de communicatie met hun klanten te beveiligen, is vaak zeer kwetsbaar. Dat ontdekte de Belgische securityblogger Yeri Tiete. 'Het gevaar is reëel dat hackers meelezen of sessies kapen', schrijft het ICT-vakblad Data News.
Websites die over de SSL-beveiliging beschikken, zijn herkenbaar aan het gesloten slotje en de https:// in de adresbalk. 'Onze banken implementeren SSL op een slechte manier en talmen te lang met het doorvoeren van belangrijke bugfixes en updates, waardoor ze een vals gevoel van veiligheid creëren', aldus de blogger. 'Als je https://-verbindingen kwetsbaar zijn, kunnen hackers probleemloos communicatiesessies tussen bank en klant meelezen, kunnen ze sessies kapen en kunnen ze naar hartenlust data aanpassen.'
'Bpost en BNP Paribas Fortis hebben de voorbije twee weken hun SSL-configuratie in orde gebracht, allicht omdat ze op mijn blog gelezen hadden wat er aan de hand was, en ook Argenta is in actie geschoten, maar bij ING, Record Bank, Hello bank! en bij Bank Van Breda is het nog steeds huilen met de pet op. Ook Ogone is kwetsbaar. Dat is misschien geen bank, maar wel een belangrijke speler in het betalingsverkeer', klinkt het.
Volgens de securityblogger aarzelen onze banken vaak bij het updaten van hun SSL-beveiligingsprotocol omdat ze er willen voor zorgen dat ook computers die nog draaien op het stokoude Windows XP of gebruikmaken van Internet Explorer 6 hun toepassingen nog kunnen draaien.
