Veel veiligheidslekken bij webwinkels
Bert Quist Expert Geld & PrivacyGepubliceerd op:30 april 2015
Tweederde webshops is lek
Consumenten worden er regelmatig op gewezen dat ze op hun hoede moeten zijn op internet, met name bij online shoppen. Voor hackers is het lucratief om rechtstreeks bij webshops in te breken en in één klap de hele klantendatabase te bemachtigen.
De Consumentenbond schakelde daarom beveiligingsbedrijf Onvio in om de veiligheid te onderzoeken van de top 100 webwinkels met de grootste omzet. Tot hun en onze grote verbazing bleek bij maar liefst tweederde de digitale beveiliging niet op orde. Bij meer dan eenderde van de webwinkels ging het zelfs om ernstige veiligheidslekken.
109 websites, 10 soorten lekken
De 100 grootste webwinkelbedrijven hebben soms meerdere websites, zoals de Bas Group met mycom.nl en dixons.nl. In een aantal gevallen scanden we daarom 2 websites per bedrijf. In totaal bekeken we 109 webwinkelsites.
De sites zijn gescand op veiligheid aan de hand van de Open Web Application Sercurity Project (OWASP) top 10. Dit zijn bekende en vaakvoorkomende lekken, waarbij met name SQL-injectie en XSS kritisch zijn.
SQL-injectie-lekken
Dankzij een zogenoemd SQL-injectie-lek kunnen hackers met speciale zoekopdrachten soms een hele klantendatabase in één keer binnenhalen. Dit kan gaan om contact- en adresgegevens, rekeningnummers en wachtwoorden.
Bij de webwinkel 123tijdschrift.nl, onderdeel van uitgeverij Sanoma, troffen we een dergelijk ernstig SQL-lek aan. Nadat wij Sanoma op de hoogte brachten, gaven ze aan het lek te dichten. Bij Drogisterij.net troffen we ook een SQL-lek aan, maar dit bleek minder makkelijk vatbaar voor grootschalig misbruik.
XSS-lekken
Met XSS (cross site scripting) wordt een serie opdrachten (script) aan webpagina's toegevoegd. Voorwaarde is wel dat iemand op een - op het eerste gezicht veilige - link naar de webwinkel klikt. Daarna kunnen bijvoorbeeld:
- gegevens aan een klant of de websitebeheerder worden ontfutseld door een cookie (klein internetbestandje) te stelen en zo de sessie over te nemen, met spam en identiteitsfraude als mogelijke gevolgen;
- virussen of malware worden verspreid;
- klanten worden doorgeleid naar een andere pagina, zoals een vervalste betaal- of bankpagina.
We troffen een XSS-lek aan bij maar liefst 41 van de 109 gecheckte webwinkels. Klik op de afbeelding rechts om de tabel met webwinkels groot weer te geven.
Lekken in webshops
Jasper Weijts en Dick Snel van Onvio lichten in deze video het onderzoek toe en laten zien hoe ernstige lekken in webwinkels kunnen worden misbruikt.
Let op!
Je kunt momenteel geen video's bekijken, omdat je hiervoor geen cookies hebt geaccepteerd. Wil je toch video's bekijken? Wijzig dan je cookie instellingen en accepteer de YouTube cookies
Helft webshops reageert niet
Na afloop van de veiligheidsscan heeft de Consumentenbond alle webwinkels met kwetsbare lekken op de hoogte gebracht van de aangetroffen lekken en in de gelegenheid gesteld de lekken te dichten. Enkele webwinkels, waaronder ANWB, Beltegoed.nl, Coolblue (onder meer Laptopshop.nl) en Warmteservice.nl, reageerden vlot en verhielpen de ernstigste lekken binnen een dag.
Teleurstellend is dat bijna de helft van de webwinkels met een ernstig lek niet reageerde op onze bevindingen. Voor de webwinkels is er dus werk aan de winkel. 100% beveiliging is misschien een illusie, maar de getroffen winkels kunnen het een criminele hacker wel veel moeilijker maken.
Ook op de website van de Consumentenbond troffen we een XSS-lek aan. Dat is inmiddels gedicht. Onze IT-afdeling zal bij aanpassingen aan de website nog beter letten op mogelijke kwetsbaarheden, naast de veiligheidschecks die er al worden uitgevoerd.
Keurmerk niet veiliger
De vraag is natuurlijk: hoe kun je als consument inschatten of een webwinkel je gegevens goed beschermt? Een keurmerk geeft namelijk geen 100% garantie. Thuiswinkel Waarborg is het enige keurmerk dat behalve garanties rondom betrouwbaarheid en klachtenafhandeling ook zekerheden belooft op het gebied van technische veiligheid.
Driekwart van de winkels in de top-100 draagt dit keurmerk, maar ze scoren in onze scan niet beter dan webwinkels zonder dit keurmerk. Bij ruim 35% vonden we een ernstig lek. Thuiswinkel Waarborg is verbaasd, maar geeft aan druk bezig te zijn de veiligheid van leden op een hoger plan te krijgen.
Dit kun je wél doen
Gelukkig kun je als consument wel wat doen om schade te voorkomen of te beperken.
- Gebruik verschillende wachtwoorden voor de belangrijkste zaken als banksites en e-mail of laat dit doen door een wachtwoordmanager. Het e-mailaccount is namelijk een goudmijn voor criminelen.
- Beveilig je pc met goede antivirus-software.
- Houd daarnaast Windows, programma's en (browser)aanvullingen zoals Adobe Flash en Adobe Reader up-to-date.
- Gebruik je gezonde verstand en wees op je hoede. Klik bijvoorbeeld niet op links die je niet vertrouwt, typ altijd zelf het webadres in de browser in en download of open geen verdachte/onbekende bestanden. Zo voorkom je niet alleen problemen door een geprepareerde link die een XSS-lek misbruikt, maar ook door andere vormen van phishing of besmetting met ransomware of cryptoware.
Voor meer tips rond veilig webwinkelen, zie checklist online veilig kopen.
Lees ook:
Nieuw & interessant
- Test | 5 jul.
Test problemen bij pakketbezorging
Tijdens de coronaperiode kregen we veel klachten over pakketbezorging. Zijn er inmiddels minder problemen? We vroegen het aan ruim 20.000 panelleden en analyseerden de klachten. - Nieuws | 16 mei
Consumentenorganisaties dienen klacht in tegen Temu
18 Europese consumentenorganisaties hebben een klacht ingediend bij hun nationale toezichthouders tegen de Chinese webwinkel Temu. Volgens de consumentenbonden houdt Temu cruciale informatie achter en gebruikt het platform dark patterns om consumenten te beïnvloeden. - 7 mrt.
Nieuwe regels moeten online platforms veiliger maken
Onlineplatforms moeten beter omgaan met jouw meldingen over illegale zaken op het platform. Zij moeten vanaf nu voldoen aan de Digital Services Act (DSA). - 22 feb.
Webwinkels zonder achteraf betalen
Koop je iets online, dan moet je de optie krijgen om minstens de helft van het aankoopbedrag pas bij levering te betalen. Toch blijkt dat achteraf betalen bij een kwart van de onderzochte webwinkels niet mogelijk is.