Als online-verkoper bij Herensokken.nl ben ik uiteraard ook een online-koper. Voor mijn zeven jaar oude accuboor had ik onlangs een vervangende accu nodig. Vind dat maar eens in een fysieke winkel.
Met het typenummer had ik het product online snel gevonden, vergeleken en gekocht bij een webwinkel waar ik nog nooit van had gehoord.
Door: Joos Lambrechtsen
Natuurlijk kies ik dan voor een winkel waar ik mijn naam- en adresgegevens via een httpS-verbinding kan invoeren. De S van secure maakt het feitelijk onmogelijk dat een onderschept bericht wordt gelezen. Bij betaalgegevens vanzelfsprekend, maar helaas nog niet altijd bij de uitwisseling van persoonsgegevens via internet. Een verplichting die voortvloeit uit de Wet bescherming persoonsgegevens. Gelukkig zag het er bij deze webwinkel goed uit. Nadat ik de schermen gesloten had, stroomden bevestigingsmails binnen. Een daarvan bevestigde mijn accountgegevens: naam, adres, telefoon, de hele rimram aan persoonsgegevens. Inderdaad, dezelfde gegevens die ik net daarvoor zorgvuldig via httpS had verzonden. En alsof deze ‘servicemail’ nog niet genoeg prijs gaf, werden ook inlognaam en wachtwoord genoemd waarmee dezelfde gegevens ingezien en gewijzigd kunnen worden.
U zult zich misschien afvragen wat er mis ging? Wordt e-mail niet net zoals httpS versleuteld over internet verstuurd? Nee! Daarnaast wordt e-mail bewaard. Denk aan de kantoorsituatie waar systeembeheerders altijd bij de e-mails kunnen. Of denk aan de enorme hoeveelheid kwaadwillende software. Bijvoorbeeld een virus met de opdracht: selecteer alle e-mails met de woorden ‘inlog’ of ‘login’ en stuur deze door naar de server van de hacker. E-mails met inlog- en/of persoonsgegevens bieden gelegenheid tot misbruik. Niet meer te stoppen, ook niet door de e-mail snel weg te gooien. U bent mogelijk net zo verbaasd als ik dat een webwinkel zo dubbel omgaat met onze persoonsgegevens. Veilig via de website opgestuurd en dan ongevraagd onveilig via de e-mail teruggestuurd. Helaas is de ‘servicemail’ van mijn accuverkoper nog geen uitzondering.
Joos Lambrechtsen is directeur/eigenaar van Herensokken.nl en tevens lid van werkgroep Fraude & Veiligheid en werkgroep Betalingsverkeer van Thuiswinkel.org. Hij geeft voor het volgende nummer het stokje door aan René Gijsman, logistiek manager bij Kleertjes.com.
Deze wisselcoumn verscheen eerder in Twinkle 1-2011.
Hoezo schijnveiligheid?
Je kunt wel alles willen beveiligen, maar zolang 60% van de klanten gebruik maken van o.a. MSN, Yahoo mail, G-mail of andere mailportals, zal het niet veilig zijn.
Het beheren van de mail op een webmail portal of lokaal in Outlook is de verantwoordelijkheid van de PC gebruiker zelf. Wanneer ze niet met goede antispyware en antivirus software op internet zitten is het ook niet slim om te telebankieren.
Verder bij grotere bedrijven heerst er een internet/e-mail policy waar onder andere is opgenomen dat de computer vergrendeld moet worden als de medewerker van zijn plaats af gaat. Dus ook daar ligt de verantwoordelijkheid van de PC gebruiker bij hem zelf en niet bij de webwinkel eigenaar.
De beste beveiliging die je kunt hebben is, je computer niet aansluiten op internet, je aankopen doen in een stenen winkel en nog cash met euro's afrekenen, anders skimmen ze weer je pin pas.
We kunnen natuurlik ook wel doorslaan.
Ik werk zelf bij een financiële instelling en daar zijn de beveiligingseisen hoog, maar je moet wel een grens trekken.
De colom liep ogenschijnlijk voor op de tijd gezien de reactie van MV. Nu een ruim jaar later is security bij de meeste toch iets wat meer aandacht krijgt. Na gezonden wachtwoorden is nu een probleem dat breeder wordt gedragen.
http://webwereld.nl/de-vijf/109564/5-security-kwalen-die-ons-pijn-blijven-doen.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Webwereld+%28Webwereld%29
Thuisiwnkel.org wijst er sinds maart ook op om wachtwoorden niet in plaintext in de database op te slaan. Het beste is ze met een oneway encriptie op te slaan. Dan zijn we meteen af van het probleem dat de webwinkel een door de klant ingevoerd wachtwoord kan lezen of laat staan na te zenden..
http://www.thuiswinkel.org/hoe-slaat-u-uw-paswoorden-op