Onderhoud aan de website veroorzaakte bij Rabobank donderdagochtend 7 april 2011 een storing in het internetbankieren. Klanten kregen de bankrekening van een ander te zien. Rabobank haalde direct het internetbankieren offline en zegt het probleem inmiddels te hebben opgelost.
Onderhoud aan de Rabobank-website was de aanleiding van de storing. De bank zoekt nog uit wat het onderhoud precies inhield en wat er dus voor heeft gezorgd dat het fout ging bij het internetbankieren. Voor de zekerheid heeft Rabobank zowel het internetbakieren uit de lucht gehaald, als de normale website, de mobiele apps en de telefonische bankierfunctie. Voor zover bekend konden er tijdens de storing geen betalingen worden gedaan vanaf andermans rekening.
Eerdere storing
In oktober 2010 had Rabobank ook te maken met een storing. Toen kon een deel van de Rabobank-klanten niet inloggen bij het internetbankieren. Het probleem zat toen in de automatische systeemkoppeling tussen de wereldpassen en internetbankieren. Passen die op 5 en 6 augustus 2010 waren aangemaakt, kampten met het probleem. Volgens de Rabobank waren toen enkele tientallen klanten de dupe.
voor dat alle metersdikke Rabobank storing procedures zijn bekeken, en alle Itil systemen zijn gevuld met allerlei storing gegevens, zal er na een paar dagen wel iemand naar het probleem kunnen kijken.
Fijne bedoeling als je opeens andermans rekening tot je beheer hebt. Oeps!!!
Zou het echt het onderhoud aan de website zijn wat de storing veroorzaakte ? Of zou er in de achterliggende systemen iets zijn misgegaan ? Een website verzint natuurlijk niet zomaar om de gegevens van een andere klant op te halen, dat ligt waarschijnlijk in de back-office daarachter waar een query niet goed gaat.
En waar ik ook benieuwd naar ben is of dit te maken heeft met het outsourcen/offshoren van het software-onderhoud naar India. Maar dat zullen we waarschijnlijk niet te horen krijgen.
Gokje zonder info en betrokkenheid bij de rabobank : kernel caching op een IIS webserverfarm. Ook een keer meegemaakt : onder grote load worden dezelfde sessionIDs verstrekt voor meerdere sessies. Dit stond standaard aan (machine.config) op IIS servers van voor versie 6. Het zou me niet verbazen als banken nog achter zouden lopen en een boerderijtje met IIS 5 machines hebben draaien. Inmiddels heeft microsoft deze configuratieoptie standaard uit gezet en dit probleem in de top 10 gezet van application pitfalls. Alsof dit te maken heeft met een applicatie en niet met de applicatieserver zelf : Yeah right…
@Chris :
Ik heb als beheerder gewerkt op de afdeling waar dit fout gegaan is. Ik kan je verzekeren dat zo’n grote bank geen IIS servertjes heeft. Ze hebben fouttolerante systemen, meerdere beveiligingslagen en uitwijklocaties. De gegevens van een andere klant kunnen zien is een blamage voor mijn voormalige collega’s, maar om een transactie te kunnen doen, moet je toch echt nog even bewijzen dat jij jij bent, en dat gaat niet werken. Dit is de prijs die de bank betaalt voor het bezuinigen op zijn IT-organisatie.
“Ik kan je verzekeren dat zo’n grote bank geen IIS servertjes heeft”
– Rabo gebruikt zeker IIS 5.0!
http://toolbar.netcraft.com/site_report?url=http://rabobank.nl
– Daarnaast komt je verhaal nogal management achtig over ipv technisch
– Ten derde doe je nogal raar over IIS. 20.2% van de websites, voornamelijke grote bedrijven, gebruiken IIS
– Ten vierde de rabobank is ook niet echt lekker bezig, in de pool van webservers hebben ze de meeste servers hun OS afgeschermd, behalve 2. Rara welk OS hebben die?
Ennuh sns bank gebruikt ook IIS (6) lijkt me ook niet echt een kleine bank..
http://uptime.netcraft.com/up/graph?site=www.snsbank.nl
En verder wordt IIS ook nog gebruikt door
http://uptime.netcraft.com/up/graph?site=frieslandbank.nl
http://uptime.netcraft.com/up/graph?site=asnbank.nl
Ook niet echt onbekende spelers..
Volgens mij is Schuberg Phillis de beheerorganisatie van de site en de mobile site da’s nou net geen 100%:
http://www.schubergphilis.com/customers/cases/rabobank-international/
begint outsourcing en wegvloeien van kennis parten te spelen?
Ik mag er niet teveel over zeggen, want ik heb natuurlijk ooit schriftelijk moeten beloven dat ik dat niet zou doen, maar ik kan nogmaals bevestigen dat het geen IIS is, en dat het ook niet onder een Microsoft OS draait.
RaboMobiel wordt door een externe partij verzorgd, het echte geld gaat alleen door de servers van de bank. Je komt niet meteen op een webserver, er zit nog een laag tussen. We wordt binnen het systeem geroute, afhankelijk van wat je komt doen. Wil je wat lezen over hypotheken, dan hoef je niet door de zwaarste beveiliging heen.
SNS is inderdaad geen grote bank.