icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
Ga naar hoofdinhoud

Veel veiligheidslekken bij webwinkels

Dat een webwinkel van een lokale middenstander niet optimaal beveiligd is, is misschien niet opzienbarend. Maar wij troffen in een onderzoek voor de Digitaalgids van mei/juni 2015 ernstige lekken aan bij meer dan eenderde van de 100 grootste webwinkels.
bert quist

Bert Quist   Expert Geld & PrivacyGepubliceerd op:30 april 2015

  1. Tweederde webshops is lek
  2. XSS-lekken
  3. Lekken in webshops
  1. Helft webshops reageert niet
  2. Keurmerk niet veiliger
  3. Dit kun je wél doen

Tweederde webshops is lek

Consumenten worden er regelmatig op gewezen dat ze op hun hoede moeten zijn op internet, met name bij online shoppen. Voor hackers is het lucratief om rechtstreeks bij webshops in te breken en in één klap de hele klantendatabase te bemachtigen.

De Consumentenbond schakelde daarom beveiligingsbedrijf Onvio in om de veiligheid te onderzoeken van de top 100 webwinkels met de grootste omzet. Tot hun en onze grote verbazing bleek bij maar liefst tweederde de digitale beveiliging niet op orde. Bij meer dan eenderde van de webwinkels ging het zelfs om ernstige veiligheidslekken.

109 websites, 10 soorten lekken

De 100 grootste webwinkelbedrijven hebben soms meerdere websites, zoals de Bas Group met mycom.nl en dixons.nl. In een aantal gevallen scanden we daarom 2 websites per bedrijf. In totaal bekeken we 109 webwinkelsites.

De sites zijn gescand op veiligheid aan de hand van de Open Web Application Sercurity Project (OWASP) top 10. Dit zijn bekende en vaakvoorkomende lekken, waarbij met name SQL-injectie en XSS kritisch zijn.

SQL-injectie-lekken

Dankzij een zogenoemd SQL-injectie-lek kunnen hackers met speciale zoekopdrachten soms een hele klantendatabase in één keer binnenhalen. Dit kan gaan om contact- en adresgegevens, rekeningnummers en wachtwoorden.

Bij de webwinkel 123tijdschrift.nl, onderdeel van uitgeverij Sanoma, troffen we een dergelijk ernstig SQL-lek aan. Nadat wij Sanoma op de hoogte brachten, gaven ze aan het lek te dichten. Bij Drogisterij.net troffen we ook een SQL-lek aan, maar dit bleek minder makkelijk vatbaar voor grootschalig misbruik.

XSS-lekken

Met XSS (cross site scripting) wordt een serie opdrachten (script) aan webpagina's toegevoegd. Voorwaarde is wel dat iemand op een - op het eerste gezicht veilige - link naar de webwinkel klikt. Daarna kunnen bijvoorbeeld:

  • gegevens aan een klant of de websitebeheerder worden ontfutseld door een cookie (klein internetbestandje) te stelen en zo de sessie over te nemen, met spam en identiteitsfraude als mogelijke gevolgen;
  • virussen of malware worden verspreid;
  • klanten worden doorgeleid naar een andere pagina, zoals een vervalste betaal- of bankpagina.

We troffen een XSS-lek aan bij maar liefst 41 van de 109 gecheckte webwinkels. Klik op de afbeelding rechts om de tabel met webwinkels groot weer te geven.

Lekken in webshops

Jasper Weijts en Dick Snel van Onvio lichten in deze video het onderzoek toe en laten zien hoe ernstige lekken in webwinkels kunnen worden misbruikt.

Let op!

Je kunt momenteel geen video's bekijken, omdat je hiervoor geen cookies hebt geaccepteerd. Wil je toch video's bekijken? Wijzig dan je cookie instellingen en accepteer de YouTube cookies

Instellingen aanpassen

Helft webshops reageert niet

Na afloop van de veiligheidsscan heeft de Consumentenbond alle webwinkels met kwetsbare lekken op de hoogte gebracht van de aangetroffen lekken en in de gelegenheid gesteld de lekken te dichten. Enkele webwinkels, waaronder ANWB, Beltegoed.nl, Coolblue (onder meer Laptopshop.nl) en Warmteservice.nl, reageerden vlot en verhielpen de ernstigste lekken binnen een dag.

Teleurstellend is dat bijna de helft van de webwinkels met een ernstig lek niet reageerde op onze bevindingen. Voor de webwinkels is er dus werk aan de winkel. 100% beveiliging is misschien een illusie, maar de getroffen winkels kunnen het een criminele hacker wel veel moeilijker maken.

Ook op de website van de Consumentenbond troffen we een XSS-lek aan. Dat is inmiddels gedicht. Onze IT-afdeling zal bij aanpassingen aan de website nog beter letten op mogelijke kwetsbaarheden, naast de veiligheidschecks die er al worden uitgevoerd.

Keurmerk niet veiliger

De vraag is natuurlijk: hoe kun je als consument inschatten of een webwinkel je gegevens goed beschermt? Een keurmerk geeft namelijk geen 100% garantie. Thuiswinkel Waarborg is het enige keurmerk dat behalve garanties rondom betrouwbaarheid en klachtenafhandeling ook zekerheden belooft op het gebied van technische veiligheid.

Driekwart van de winkels in de top-100 draagt dit keurmerk, maar ze scoren in onze scan niet beter dan webwinkels zonder dit keurmerk. Bij ruim 35% vonden we een ernstig lek. Thuiswinkel Waarborg is verbaasd, maar geeft aan druk bezig te zijn de veiligheid van leden op een hoger plan te krijgen.

Dit kun je wél doen

Gelukkig kun je als consument wel wat doen om schade te voorkomen of te beperken.

  • Gebruik verschillende wachtwoorden voor de belangrijkste zaken als banksites en e-mail of laat dit doen door een wachtwoordmanager. Het e-mailaccount is namelijk een goudmijn voor criminelen.
  • Beveilig je pc met goede antivirus-software.
  • Houd daarnaast Windows, programma's en (browser)aanvullingen zoals Adobe Flash en Adobe Reader up-to-date.
  • Gebruik je gezonde verstand en wees op je hoede. Klik bijvoorbeeld niet op links die je niet vertrouwt, typ altijd zelf het webadres in de browser in en download of open geen verdachte/onbekende bestanden. Zo voorkom je niet alleen problemen door een geprepareerde link die een XSS-lek misbruikt, maar ook door andere vormen van phishing of besmetting met ransomware of cryptoware.

Voor meer tips rond veilig webwinkelen, zie checklist online veilig kopen.

Lees ook:

Schrijf je in voor onze gratis e-mails

Blijf op de hoogte van nieuws, acties en tips. Zo bespaar je geld, voorkom je een miskoop én weet je wat jouw rechten zijn als consument.
In onze privacyverklaring lees je hoe we omgaan met je persoonsgegevens en e-mails voor je personaliseren. Afmelden kan altijd.
Artikelen binnen Online kopen

Nieuw & interessant

  • privacytest-sociale-netwerken
    7 mrt.

    Nieuwe regels moeten online platforms veiliger maken

    Onlineplatforms moeten beter omgaan met jouw meldingen over illegale zaken op het platform. Zij moeten vanaf nu voldoen aan de Digital Services Act (DSA).
  • Achteraf-betalen-via-klarna-en-riverty
    22 feb.

    Webwinkels zonder achteraf betalen

    Koop je iets online, dan moet je de optie krijgen om minstens de helft van het aankoopbedrag pas bij levering te betalen. Toch blijkt dat achteraf betalen bij een kwart van de onderzochte webwinkels niet mogelijk is.
  • bol-com
    14 dec.

    Webwinkels verplichten account onnodig

    Bij 20 van de 100 grootste webwinkels is een gebruikersaccount verplicht voor elke klant, terwijl we daar geen goede reden voor zien. Het gaat om de grootste webshops. De accountdwang is irritant en niet zonder gevaar.
  • Problemen met achteraf betalen via Klarna en Riverty
    Nieuws | 24 nov.

    Problemen met achteraf betalen via Klarna en Riverty

    De Consumentenbond krijgt meldingen van consumenten die problemen ondervinden na het achteraf betalen van rekeningen via betaaldiensten Klarna en Riverty. De Consumentenbond heeft de betaaldiensten aangesproken.