Betalingsverkeer verstoord als gevolg van DDoS-aanval (11/02/21)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen
On-page link, opens in this window Gerelateerde incidenten

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

Rabobank.

Betrokkenen

Gebruikers van Rabobank internetbankieren, mensen die door middel van iDeal betalingen hebben verricht.

"De Rabobank heeft zo'n 6,8 miljoen particuliere klanten, van wie er ruim drie miljoen internetbankieren." (Nu.nl, 11/02/21)

Soort (persoons)gegevens

Gegevens Rabobank internetbankieren, iDeal-transacties.

Type incident

Inbreuk op de beschikbaarheid (internetbankieren) en de integriteit (iDeal-transacties) van de verwerkte gegevens.

Omschrijving van het incident

Rabobank, zaterdag 19 en zondag 20 februari:

"Zaterdagavond en zondagmiddag was de website van de Rabobank enkele uren niet bereikbaar, waardoor klanten niet via internet of de mobiele telefoon konden bankieren. [Een] onbekende partij had met opzet het netwerk van de bank overladen met grote hoeveelheden dataverkeer – een zogeheten distributed denial of service (DDoS) aanval." (AG, 11/02/23)

"Klanten van Rabobank konden zondagmiddag van 13:00 tot ongeveer 16:30 niet internetbankieren of mobiel bankieren vanwege een storing. Ook de website van de bank was onbereikbaar. [...] Rabobank had zaterdagavond ook al last van een storing." (Nu.nl, 11/02/20)

iDeal, zaterdag 19, zondag 20 en maandag 21 februari:

"Het internetbetaalplatform Ideal was vanaf zondagmiddag ongeveer zes uur uit de lucht. Volgens Currence, het bedrijf achter Ideal, was de storing bij de Rabobank de oorzaak. Het betaalplatform draait inmiddels weer, maar de schade loopt waarschijnlijk in de miljoenen. Per dag worden 190 duizend betalingen gedaan via het systeem. Volgens Currence heeft de storing van de Rabonank het systeem van Ideal platgelegd. 'We hebben twee platforms. Niet alle banken werden door de storing getroffen. Banken op hetzelfde platform als de Rabobank, zoals ING en SNS, lagen er wel uit.' [...] Een woordvoerder van Currence heeft nog geen inzicht in het schadebedrag. 'We weten nog niet hoeveel transacties er niet konden plaatsvinden. Over de schade is nog niets te zeggen. Er zijn tot nu toe geen schadeclaims binnengekomen.'" (Nu.nl, 11/02/21)

"Door een storing bij iDeal zijn online bestellingen en betalingen dit weekend de mist in gegaan. Van zaterdagavond tot en met zondagavond was de online betaalmethode regelmatig niet beschikbaar. 'Veel last van gehad, zal miljoenen hebben gekost', meldt directeur [...] van [...].nl. 'Aangezien alle webshops hier last van hebben gehad is dit nogal een catastrofe.' Frustraties alom bij zowel winkeliers als klanten. Sommige webwinkels zijn klanten maandag gaan bellen dat orders door de storing zijn mislukt. Webshops zitten onder meer met boekingen zonder registratie, waarbij geld wel is overgeschreven maar iDeal geen notificatie naar de site terug heeft gestuurd." (Bright, 11/02/21)

"Koortsachtige meldingen van webwinkels aan klanten wijzen erop dat de Rabobank-storing inderdaad gerelateerd is aan problemen bij iDeal. Betalingen met dat betaalsysteem zijn het hele weekend geteisterd door landelijke storingen. Naast Rabobank zouden ook Fortis, ABN, SNS Bank en ING hierdoor geraakt zijn. Een tip van een andere Webwereld-lezer levert bevestiging op vanuit het iDeal-dashboard dat alle banken geraakt zijn. Op het forum webhostingtalk wordt dit uitgebreid besproken. Opvallend is de daar geposte foutmelding van iDeal bij het klaarzetten van Rabo-betalingen: 'IssuerID unknown'. Oftewel: Rabo was op dat moment niet bekend bij of erkend door iDeal. De storing heeft naast het eigenlijke betaalsysteem ook de website van iDeal getroffen. Die was zondagavond geheel onbereikbaar. Meldingen op Twitter dat het Nederlandse online-betaalsysteem niet werkt, waren er ‘s avonds nog volop. Ook de website van de Rabobank is afgelopen weekend nauwelijks bereikbaar geweest. Ook na de melding van Rabobank zelf dat de storing bij die bank was opgelost, kampten veel klanten nog met problemen. Zo leek de site van de bank wel weer te werken, maar bleken iDeal-betalingen nog altijd niet goed te verlopen. Ook mobiel bankieren haperde nog. De klachten op Twitter nadat de storing volgens de bank was opgelost, waren niet van de lucht." (WebWereld, 11/02/21)

"[De Rabo-storing] heeft een stortvloed aan geweigerde transactieberichten opgeleverd, waardoor de buffer bij iDeal volliep. Rabo reageerde hierop met de mededeling dat de oorzaak van de storing wordt onderzocht. 'Of deze storing ook geleid heeft tot een storing bij iDeal wordt dus ook onderzocht.' De Currence-woordvoerder vertelt Webwereld nog in een tweede reactie dat iDeal via twee platformen werkt. 'Een van de twee is door de ophoping van berichten tijdelijk uitgevallen. Maar de ander kon gebruikt worden. Banken die hierop zaten, hebben hun transacties gewoon kunnen uitvoeren. Niet alle banken waren dus getroffen.' In ieder geval ING en SNS zaten op hetzelfde iDeal-platform als Rabobank." (WebWereld, 11/02/23)

Rabobank, maandag 21 februari:

"Klanten van de Rabobank hebben maandag nog steeds problemen bij met internetbankieren. De technische problemen zijn na een storing op zondag verholpen, maar toch kunnen niet alle klanten bij hun geld. Inloggen via internet of de mobiele telefoon is volgens gebruikers onmogelijk en sommige mensen kunnen geen transacties verrichten. De website is voor sommige mensen al twintig uur niet te bereiken. De problemen ontstonden zondag rond 13.00 uur. Als gevolg van een storing waren de website van de Rabobank en de applicaties om mobiel te bankieren onbereikbaar." (Nu.nl, 11/02/21)

"[Op maandag 21 februari] blijkt dat ook de systemen van de bank nog niet op orde zijn. De bank meldt zelf op maandagochtend dat er voor sommige klanten nog steeds problemen zijn en verwijst naar een andere url voor internetbankieren. Rabobank.nl is gisteren voor internetbankierende klanten effectief offline gegaan. De website was misschien functioneel wel online, maar was onbereikbaar. Gebruikers kregen een foutmelding voorgeschoteld. Een Rabo-gebruikende Webwereld-lezer tipte de redactie via Twitter." (WebWereld, 11/02/21)

"Terwijl de aanval zelf is afgeslagen en de eigenlijke storing zondag al is opgelost, blijkt het voor klanten nog flink na te ijlen. Het komt neer op een bereikbaarheidskwestie, voor de website Rabobank.nl en ook voor alternatief internetbankieren.nl/rib. Die laatste domeinnaam is door de bank aangedragen juist vanwege de storing, maar bleek ook niet goed toegankelijk. Het daarna door de bank geadviseerde alternatief, de https-server voor de bankwebsite, werkte wel naar behoren. Om de DDoS-aanval af te slaan, heeft de Rabobank namelijk 'technische aanpassingen gedaan in samenwerking met telecomproviders', meldt de bank. Dit om nieuwe aanvalspogingen van de onbekende daders te blokkeren. Daardoor waren de website en ook de internetbankierdienst niet langer op normale wijze bereikbaar. Dat gold niet alleen voor de aanvallers, maar dus ook voor reguliere klanten. Enkele providers, volgens Rabo een klein aantal, moesten aanpassingen in hun DNS-servers (domain name system) doorvoeren. Voordat de providers dit deden, was de aangevallen bank nog steeds onbereikbaar voor hun eigen klanten. Dit ondanks het feit dat 'de storing' toen al wel was opgelost. De benaderbaarheid van de bank moest dus per provider worden geregeld. 'Klanten van deze providers hebben de afgelopen dagen alleen via een rechtstreeks webadres kunnen internetbankieren', meldt Rabobank nu." (WebWereld, 11/02/23)

Respons van de organisatie

"Zondagmiddag bevestigde een woordvoerder [van de Rabobank] dat de problemen verholpen waren. 'Het was een technische storing, er waren problemen met het netwerk. We doen nu onderzoek naar wat er precies heeft plaatsgevonden', aldus de zegsman." (Nu.nl, 11/02/20)

"Volgens de bank was de storing in de loop van [zondag]middag verholpen. 'Om het euvel te verhelpen hebben we zondag een aantal technische aanpassingen gedaan', meldt een woordvoerder. 'Het technische probleem is opgelost, maar het duurt een tijdje voordat dat bij alle providers merkbaar is. Een deel van de klanten kan inderdaad weer inloggen. Maar nog niet iedereen. We zijn met de betreffende providers in gesprek.'" (Nu.nl, 11/02/21)

De getroffen bank maakt nu bekend dat onbekenden een massale aanval hebben ondernomen op Rabobank.nl. Die website is bestookt met grote hoeveelheden verkeer en is daaraan bezweken. Er is sprake van opzet. De bank doet daarom deze week aangifte van deze DDoS-aanval (distributed denial of service) bij de politie. De Rabobank vermoedde al eerder dat er sprake was van een DDoS-aanval, maar wilde het eerst zeker weten voordat het daarmee naar buiten trad. [...] Een Rabo-woordvoerder wil tegenover Webwereld niet kwijt of al duidelijk is uit welke hoek de cyberaanval kwam. 'Daar doen we in het kader van het onderzoek geen uitspraken over.' Vorige week lag de overheidssite Rijksoverheid.nl urenlang plat door een grootschalige DDoS-aanval uit het buitenland. Ook Rijkswaterstaat.nl lag er die dag korte tijd uit door een aanval. De Rijksvoorlichtingsdienst heeft daarvan aangifte gedaan. (WebWereld, 11/02/22)

"De Rabobank stapt naar de politie, nadat een onbekende partij dit weekeinde met opzet de website heeft platgelegd. De bank maakte dinsdag bekend aangifte te doen. [...] Er is op geen enkele wijze sprake geweest van inbreuk op de bancaire systemen en klantgegevens, benadrukte de Rabobank. Inmiddels heeft de bank samen met telecomaanbieders technische aanpassingen gedaan om eventuele nieuwe pogingen tot blokkades te weerstaan." (AG, 11/02/23)

"De branden in het hoofdkantoor van de Rabobank en een cyberaanval op de website van de bank zijn opgeëist door een groep die zich Conspiracy Cells of Fire noemt. Dat staat te lezen op de website Indymedia, voor linkse activisten. De politie neemt het bericht serieus, liet een woordvoerder weten. De groep schrijft in juni en oktober vorig jaar en in februari dit jaar de Rabotoren aan de Croeselaan in Utrecht in brand te hebben gestoken. Ook zouden de activisten de website van de bank het afgelopen weekeinde hebben platgelegd." (AG, 11/02/24)

"De eventuele Nederlandse cel van de groep staat niet op de kaart bij de Nationaal Coördinator Terrorismebestrijding. 'Het is een ons onbekende club', zegt NCTb-woordvoerder [...] tegen Webwereld. 'We kunnen hier heel kort over zijn: de politie neemt dit mee in het onderzoek naar de branden.' Dat is dus de Utrechtse politie. Voor de DDoS-aanval van afgelopen weekend heeft GovCERT de leiding over het onderzoek, vertelt [...]. Die security-organisatie van de Nederlandse overheid heeft Webwereld nog geen reactie op de claims kunnen geven. Het NCTb 'wacht het politie-onderzoek rustig af', aldus [...]." (WebWereld, 11/02/23)

"De claim van een Nederlandse tak van een Griekse activistencel dat die de DDoS-aanvallen op de Rabobank heeft gedaan, is volgens de AIVD nep. Een dergelijke beweging bestaat in Nederland niet. [...] 'We noemen het een niet authentieke claim', zegt een woordvoerder van de AIVD tegen Webwereld. 'We hebben de claimbrief bekeken en volgens ons is het knip- en plakwerk uit een andere soortgelijke claim.' Het gaat om een samenstelling van gedeeltes van Nederlandse en Engelse verklaringen die eerder zijn verschenen, onder andere op Indymedia. 'Wij hebben ook geen aanwijzingen dat deze organisatie beschikt over een Nederlandse tak.'" (WebWereld, 11/02/25)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Nu.nl: Betalingsverkeer iDeal ondervindt hinder (11/02/20)
Off-site link, opens in new window Bright: Miljoenen schade na iDeal-storing (11/02/21)
Off-site link, opens in new window Nu.nl: Nog steeds problemen bij Rabobank (11/02/21)
Off-site link, opens in new window WebWereld: Rabobank en iDeal bezorgen elkaar storing (11/02/21)
Off-site link, opens in new window WebWereld: DDoS-aanval haalde Rabobank offline (11/02/22)
Off-site link, opens in new window AG: Rabobank doet aangifte na platleggen website (11/02/23)
Off-site link, opens in new window Nu.nl: Rabobank doet aangifte na cyberaanval (11/02/23)
Off-site link, opens in new window Nu.nl: Brand en cyberaanval bij Rabobank opgeëist (11/02/23)
Off-site link, opens in new window WebWereld: Rabo kampt met DNS-probleem na DDoS-aanval (11/02/23)
Off-site link, opens in new window WebWereld: Anarchistengroep claimt DDoS-aanval Rabobank (11/02/23)
Off-site link, opens in new window AG: Actiegroep claimt cyberaanval en branden Rabobank (11/02/24)
Off-site link, opens in new window WebWereld: Anarchistengroep claimt DDoS-aanval Rabo - update (11/02/24)
Off-site link, opens in new window AG: Claim aanvallers Rabobank nep (11/02/25)
Off-site link, opens in new window WebWereld: AIVD - opeising Rabo DDoS is nep (11/02/25)

Gerelateerde incidenten

11/05/02:
Off-site link, opens in new window AG: Internetbank Rabo ligt plat (11/05/02)
Off-site link, opens in new window AG: iDEAL kampt met storing (11/05/02)
Off-site link, opens in new window Computable: Rabobank kampt opnieuw met storing (11/05/02)
Off-site link, opens in new window Nu.nl: Aanval legt Rabobankieren grotendeels plat (11/05/02)
Off-site link, opens in new window Nu.nl: iDeal kampt met storing (11/05/02)
Off-site link, opens in new window Nu.nl: Toch geen storing bij iDEAL (11/05/02)
Off-site link, opens in new window Nu.nl: Internetbankieren Rabobank nog steeds plat (11/05/02)
Off-site link, opens in new window Security.nl: Rabobankieren doelwit Denial of Service-aanval (11/05/02)
Off-site link, opens in new window Tweakers.net: Rabobank kampt met storingen door ddos-aanvallen (11/05/02)
Off-site link, opens in new window WebWereld: DDoS-aanval nekt internetbankieren Rabo - UPDATE (11/05/02)
Off-site link, opens in new window AG: Rabobank weer helemaal in de lucht (11/05/03)
Off-site link, opens in new window AG: Rabobank nog niet verlost van siteproblemen (11/05/03)
Off-site link, opens in new window AG: Miljoenenschade webwinkels door storing (11/05/03)
Off-site link, opens in new window Computable: 'Rabobank had storing kunnen voorkomen' (11/05/03)
Off-site link, opens in new window Nu.nl: Internetbankieren Rabobank weer bereikbaar (11/05/03)
Off-site link, opens in new window Nu.nl: Storing Rabobank nog niet opgelost (11/05/03)
Off-site link, opens in new window Nu.nl: 'Miljoenenschade webwinkels door storing' (11/05/03)
Off-site link, opens in new window Security.nl: Rabobank slaat DoS-aanval internetbankieren af (11/05/03)
Off-site link, opens in new window Tweakers.net: Internetbankieren Rabobank krabbelt weer op na ddos-golf (11/05/03)
Off-site link, opens in new window SOLV: DDoS aanval op Rabobank leidt tot grote schadepost voor webwinkels (11/05/04)
Off-site link, opens in new window WebWereld: DDoS Rabobank kost webwinkels miljoenen (11/05/04)
Off-site link, opens in new window WebWereld: Rabo doet aangifte tegen DDoS'ers (11/05/04)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.