icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
Van hypotheek tot verhuisdoos |

Stap voor stap naar je nieuwe huis

icoon nieuw huis

Veel veiligheidslekken bij webwinkels

Dat een webwinkel van een lokale middenstander niet optimaal beveiligd is, is misschien niet opzienbarend. Maar wij troffen in een onderzoek voor de Digitaalgids van mei/juni 2015 ernstige lekken aan bij meer dan eenderde van de 100 grootste webwinkels.
Bert Quist

Expert Geld & Verzekering

Gepubliceerd op:  30 april 2015


Tweederde webshops is lek

Consumenten worden er regelmatig op gewezen dat ze op hun hoede moeten zijn op internet, met name bij online shoppen. Voor hackers is het lucratief om rechtstreeks bij webshops in te breken en in één klap de hele klantendatabase te bemachtigen.

De Consumentenbond schakelde daarom beveiligingsbedrijf Onvio in om de veiligheid te onderzoeken van de top 100 webwinkels met de grootste omzet. Tot hun en onze grote verbazing bleek bij maar liefst tweederde de digitale beveiliging niet op orde. Bij meer dan eenderde van de webwinkels ging het zelfs om ernstige veiligheidslekken.

109 websites, 10 soorten lekken

De 100 grootste webwinkelbedrijven hebben soms meerdere websites, zoals de Bas Group met mycom.nl en dixons.nl. In een aantal gevallen scanden we daarom 2 websites per bedrijf. In totaal bekeken we 109 webwinkelsites.

De sites zijn gescand op veiligheid aan de hand van de Open Web Application Sercurity Project (OWASP) top 10. Dit zijn bekende en vaakvoorkomende lekken, waarbij met name SQL-injectie en XSS kritisch zijn.

SQL-injectie-lekken

Dankzij een zogenoemd SQL-injectie-lek kunnen hackers met speciale zoekopdrachten soms een hele klantendatabase in één keer binnenhalen. Dit kan gaan om contact- en adresgegevens, rekeningnummers en wachtwoorden.

Bij de webwinkel 123tijdschrift.nl, onderdeel van uitgeverij Sanoma, troffen we een dergelijk ernstig SQL-lek aan. Nadat wij Sanoma op de hoogte brachten, gaven ze aan het lek te dichten. Bij Drogisterij.net troffen we ook een SQL-lek aan, maar dit bleek minder makkelijk vatbaar voor grootschalig misbruik.

XSS-lekken

Met XSS (cross site scripting) wordt een serie opdrachten (script) aan webpagina's toegevoegd. Voorwaarde is wel dat iemand op een - op het eerste gezicht veilige - link naar de webwinkel klikt. Daarna kunnen bijvoorbeeld:

  • gegevens aan een klant of de websitebeheerder worden ontfutseld door een cookie (klein internetbestandje) te stelen en zo de sessie over te nemen, met spam en identiteitsfraude als mogelijke gevolgen;
  • virussen of malware worden verspreid;
  • klanten worden doorgeleid naar een andere pagina, zoals een vervalste betaal- of bankpagina.

We troffen een XSS-lek aan bij maar liefst 41 van de 109 gecheckte webwinkels. Klik op de afbeelding rechts om de tabel met webwinkels groot weer te geven.

Lekken in webshops

Jasper Weijts en Dick Snel van Onvio lichten in deze video het onderzoek toe en laten zien hoe ernstige lekken in webwinkels kunnen worden misbruikt.

Let op!

Je bent niet akkoord gegaan met ons cookiebeleid. Hierdoor kun je op onze website nu geen video's bekijken. Wil je toch de video bekijken, verwijder dan je cookies en ga akkoord met ons cookiebeleid.

Helft webshops reageert niet

Na afloop van de veiligheidsscan heeft de Consumentenbond alle webwinkels met kwetsbare lekken op de hoogte gebracht van de aangetroffen lekken en in de gelegenheid gesteld de lekken te dichten. Enkele webwinkels, waaronder ANWB, Beltegoed.nl, Coolblue (onder meer Laptopshop.nl) en Warmteservice.nl, reageerden vlot en verhielpen de ernstigste lekken binnen een dag.

Teleurstellend is dat bijna de helft van de webwinkels met een ernstig lek niet reageerde op onze bevindingen. Voor de webwinkels is er dus werk aan de winkel. 100% beveiliging is misschien een illusie, maar de getroffen winkels kunnen het een criminele hacker wel veel moeilijker maken.

Ook op de website van de Consumentenbond troffen we een XSS-lek aan. Dat is inmiddels gedicht. Onze IT-afdeling zal bij aanpassingen aan de website nog beter letten op mogelijke kwetsbaarheden, naast de veiligheidschecks die er al worden uitgevoerd.

Keurmerk niet veiliger

De vraag is natuurlijk: hoe kun je als consument inschatten of een webwinkel je gegevens goed beschermt? Een keurmerk geeft namelijk geen 100% garantie. Thuiswinkel Waarborg is het enige keurmerk dat behalve garanties rondom betrouwbaarheid en klachtenafhandeling ook zekerheden belooft op het gebied van technische veiligheid.

Driekwart van de winkels in de top-100 draagt dit keurmerk, maar ze scoren in onze scan niet beter dan webwinkels zonder dit keurmerk. Bij ruim 35% vonden we een ernstig lek. Thuiswinkel Waarborg is verbaasd, maar geeft aan druk bezig te zijn de veiligheid van leden op een hoger plan te krijgen.

Dit kun je wél doen

Gelukkig kun je als consument wel wat doen om schade te voorkomen of te beperken.

  • Gebruik verschillende wachtwoorden voor de belangrijkste zaken als banksites en e-mail of laat dit doen door een wachtwoordmanager. Het e-mailaccount is namelijk een goudmijn voor criminelen.
  • Beveilig je pc met goede antivirus-software.
  • Houd daarnaast Windows, programma's en (browser)aanvullingen zoals Adobe Flash en Adobe Reader up-to-date.
  • Gebruik je gezonde verstand en wees op je hoede. Klik bijvoorbeeld niet op links die je niet vertrouwt, typ altijd zelf het webadres in de browser in en download of open geen verdachte/onbekende bestanden. Zo voorkom je niet alleen problemen door een geprepareerde link die een XSS-lek misbruikt, maar ook door andere vormen van phishing of besmetting met ransomware of cryptoware.

Voor meer tips rond veilig webwinkelen, zie Wijzer webwinkelen.

Lees ook:

Nieuw & interessant