Twinkle | Digital Commerce

XSS-lek bij 38 online retailers uit de Twinkle100

2017-05-27
180101
  • [nieuws]
  • 1:39

Bij een ruime meerderheid van de online retailers in de Twinkle100 zitten er gaten in de beveiliging. De Consumentenbond spreekt zelfs van ‘ernstige’ veiligheidsproblemen bij 38 van de 100 bedrijven. Daar werd een XSS-lek aangetroffen.

Dat blijkt uit een inventarisatie die de Consumentenbond liet uitvoeren door beveiligingsbedrijf Onvio, in het kader van de campagne Wijzer Webwinkelen. ‘Veel grote webwinkels lek’, concludeert de bond kort en bondig.

De online retailers uit de Twinkle100 werden gecontroleerd op een lijst met 10 kritische en veelvoorkomende lekken. ‘Tot hun en onze grote verbazing’ bleek een ruime meerderheid niet op orde, aldus de Consumentenbond. Alle betrokken partijen zijn geïnformeerd. Sommige webwinkels dichtten het lek binnen een dag, maar bijna de helft van de webwinkels reageerde volgens de bond helemaal niet op de bevindingen.

XSS
Een XSS-lek, aangetroffen op sites van 38 grote online verkopers, maakt het voor kwaadwillenden mogelijk gegevens van consumenten te bemachtigen, zoals e-mailadressen, bestelinformatie of wachtwoorden. Via dit soort lekken kunnen ook beheerders van webwinkels worden gehackt.

SQL-injectielek
De Consumentenbond noemt nauwelijks namen van ‘lekke’ Twinkle100-spelers. 123tijdschrift.nl springt er negatief uit. Daar werd een SQL-injectielek aangetroffen, waardoor de complete klantendatabase kon worden ingekeken. Inmiddels heeft Sanoma, waar de site onderdeel van is, de Consumentenbond laten weten dat het lek gedicht is. Ook bij Drogisterij.net werd een SQL-lek gevonden, maar dat bleek ‘minder makkelijk vatbaar voor grootschalig misbruik’.

Thuiswinkel Waarborg
Van de 81 partijen uit de Twinkle100 met een Thuiswinkel Waarborg bleek ruim een derde ‘ernstig lek’, aldus de Consumentenbond. Thuiswinkel.org heeft naar aanleiding van het onderzoek de veiligheidsclaim op zijn website afgezwakt, rapporteert de bond. De belangenvereniging zegt druk bezig te zijn om de veiligheid van leden te verbeteren.

Meer informatie over het onderzoek vindt u op de site van de Consumentenbond en in onderstaande video:

Lees ook: