Twinkle | Digital Commerce

Thuiswinkel.org: ‘Nog meer nadruk op veiligheid’

2017-05-27
180101
  • [nieuws]
  • 2:01

Thuiswinkel.org vond databeveiliging lange tijd vooral de verantwoordelijkheid van zijn leden zelf, aldus directeur Wijnand Jongen in een reactie op het lek bij 150 sites met het Thuiswinkel Waarborg. ‘Maar we moeten constateren dat het niet toereikend is.’

Jongen reageert op een onderzoek van een 17-jarige student, die de sites van leden van Thuiswinkel.org onderzocht. In twee dagen tijd vond hij 143 sites met xss-lekken en 18 sites die blootstaan aan sql-injecties.

Lek gedicht
De leden van Thuiswinkel.org die het betreft zijn afgelopen dinsdag op de hoogte gesteld van de gaten in hun beveiliging, aldus directeur Wijnand Jongen tegen Twinkle. ‘We hebben hen tot actie gemaand en daarbij voorlichting en begeleiding aangeboden. Het lek is inmiddels gedicht bij de overgrote meerderheid van de bedrijven.’

Cheaptickets.nl
Vorige week al was Thuiswinkel.org veelvuldig in het nieuws door een lek bij lid Cheaptickets.nl, waardoor data van honderdduizenden klanten in handen kwamen van een hacker. Voor de camera’s van de NOS (video) noemde Wijnand Jongen het toen een ‘onmogelijke opgave en de facto niet de taak’ van de belangenvereniging om toe te zien op de dataopslag. Later die week kondigde Thuiswinkel.org aan wel werk te maken van de dataveiligheid van zijn leden, meest waarschijnlijk ook via de certificering.

Levend document
Het nieuws van vanmorgen zorgt ervoor dat er nog meer nadruk komt te liggen op veiligheid, aldus Jongen. ‘Er komt een levend document over de veiligheid van webwinkels, want veiligheid is geen statisch geheel. Het wordt een open source omgeving, waarbij ook partijen van buitenaf worden uitgenodigd om hun expertise te delen.’

Volgens Jongen hebben veel vooral kleinere leden van Thuiswinkel.org veiligheidsgerelateerde zaken uitbesteed aan bouwers, programmeurs en andere derden. ‘Daar worden vaak de fouten gemaakt. Maar laat duidelijk zijn dat de webwinkels zelf verantwoordelijk blijven.’

Ontoereikend
Thuiswinkel.org gaat zich buigen over nieuwe veiligheidsregels voor de certificering van leden, die nu alleen nog op het gebruik van SSL-verbindingen worden gecontroleerd. Jongen: ‘We vonden dat de veiligheid van data de verantwoordelijk was van de leden zelf, dat het hun domein was. Of dat fout gedacht is? We moeten constateren dat het niet toereikend is geweest en nu de verantwoordelijkheid nemen om te controleren of leden de ramen en deuren voortaan gesloten houden. Het is goed dat veiligheid nu als hoogste prioriteit op de agenda staat.’

Vereniging
Overigens moeten de leden van Thuiswinkel.org instemmen met de nieuwe voorwaarden, voor de vereniging de nieuwe regels in de certificering kan opnemen.