De databases van twaalf door keurmerken gecertificeerde webwinkels zijn lek. Dat blijkt uit onderzoek van beveiligingsbedrijf Digisafe in opdracht van NRC. Bij één op de vijf shops uit het onderzoek is de klantendatabase voor hackers zichtbaar.
Digisafe onderzocht de veiligheid van zestig willekeurig gekozen webwinkels, die elk aangesloten zijn bij één van de, door NRC zo genoemde, grote thuiswinkelkeurmerken: Thuiswinkel.org, Keurmerk.info en Qshops.org. Voor elk keurmerk werden twintig shops geselecteerd voor een (niet-representatieve) steekproef. Een van deze webshops was Parfum.nl waarop, ondanks het Thuiswinkel Waarborg, gemakkelijk de klantgegevens te verkrijgen waren. De webshop heeft het lek inmiddels gedicht. 'Bij de grote webwinkels, Bol.com, Neckermann.com en Wehkamp.nl is het veilig shoppen. Het zijn de vele kleine webshops die hun beveiliging niet altijd op orde hebben', aldus NRC.
Naast de onbeveiligde klantendatabase van veel webshops, blijkt dat de websites van de webwinkelkeurmerken zelf vaak ook onveilig zijn, zo schrijft NRC. ‘Bij een aantal is het zo ernstig dat je de gegevens van de aangesloten bedrijven er zo uit kunt trekken’, zegt Jasper Weijts van Digisafe. Digisafe onderzocht de websites van dertien verschillende keurmerken, waarvan er vijf een website hebben zonder beveiligingslekken. Welke dertien van de vijftien keurmerkwebsites er zijn onderzocht laat de krant niet weten.
Als criminelen willen
Thuiswinkel.org, waarbij Parfum.nl is aangesloten, laat aan NRC weten jaarlijks scans uit te voeren om leden op lekken te wijzen. Als uit zo'n scan blijkt dat een webshop onveilig is, is dat geen reden om direct het keurmerk af te nemen, schrijft de krant. 'Webwinkels krijgen de tijd om de fout te herstellen', zegt Wijnand Jongen van Thuiswinkel.org. Mark Teurlings, voorzitter van Stichting Webshop Keurmerk (Keurmerk.info) zegt: 'Het is net als een bank beroven. Als criminelen willen, kunnen ze. Complete beveiliging bestaat niet.' Teurlings vindt het risico op computercriminaliteit voor kleine webshops ''verwaarsloosbaar''. 'Als het om bankgegevens gaat, ja, dan is goede beveiliging cruciaal', zegt hij. 'Maar als het gaat om Sokkenatelier.nl, dan zeg ik: lekker belangrijk. Geen enkele kleine webshop wordt gekraakt en misbruikt, zo dom zijn criminelen niet.'
'Kletskoek', zegt Michel van Eeten, hoogleraar internetveiligheid aan de TU Delft, in reactie op Teurlings. 'De meeste computercriminelen hacken geautomatiseerd. Dan maakt het dus niets uit of je een grote of een kleine webshop hebt.' Onveilige webshops moeten volgens Van Eeten worden aangepakt met "bijvoorbeeld een administratieve boete". 'Een tik op de vingers, waardoor ze beter gaan opletten.' Het CBP laat aan NRC weten dat een dergelijke wetgeving in de maak is, het wetsvoorstel ligt nu bij de Raad van State. Wanneer het wordt ingediend bij de Tweede Kamer is nog onduidelijk.
Student
Het is niet de eerste keer dat er veiligheidsproblemen worden gevonden bij webwinkels. Vorig jaar mei meldde RTL Nieuws lekken te hebben gevonden bij 11 van de 25 onderzochte shops. Een expert verkreeg onder meer toegang tot bijna honderdduizend klantgegevens van Perry Sport.
In 2011 vond een 17-jarige ict-student diverse lekken in webwinkels die aangesloten waren bij Thuiswinkel.org. Op de lijst stonden onder andere de shops van V&D, Kruidvat en BCC. Naar aanleiding van deze berichten zette de thuiswinkelorganisatie 44 webwinkels uit de vereniging.
Thuiswinkel Markt Monitor
Vandaag meldt Thuiswinkel.org naar aanleiding van de Thuiswinkel Markt Monitor 2012-2 dat de online consumentenomzet het afgelopen jaar met 9 procent is gegroeid, om uit te komen op 9,8 miljard euro. De branchevereniging verwacht dat de groei in dit lopende jaar op 8 procent uitkomt.
Foto: Open lock button on the keyboard, access concept, Shutterstock
Er is op dit moment 0 keer gereageerd op:
‘Veiligheidslekken bij gecertificeerde webwinkels’
Je kunt niet meer reageren op dit artikel.