Twinkle | Digital Commerce

Waar lekt de Twinkle100?

2017-05-27
180101
  • 1:44

De Consumentenbond liet onderzoek doen naar de veiligheid van retailers uit de Twinkle100. Bij een ruime meerderheid werden gaten in de beveiliging gevonden. Een blik op de lijst leert dat de helft van de bedrijven uit de top 10 niet helemaal goed uit de test kwam.

Veel grote webwinkels lek’, kopte de Consumentenbond afgelopen week naar aanleiding van de het onderzoek, uitgevoerd door beveiligingsbedrijf Onvio. De online retailers uit de Twinkle100 werden gecontroleerd op een lijst met 10 kritische en veelvoorkomende lekken.

De resultaten zijn te vinden in de recent verschenen DigitaalGids (nummer mei/juni) van de Consumentenbond. De lijst met de bevindingen per online retailer is inmiddels ook online gepubliceerd. Zie hier.

Top 10
Bij Bol.com, onderdeel van lijstaanvoerder Ahold, werden geen veiligheidslekken aangetroffen. Hetzelfde geldt voor Zalando.nl (nr. 3), Mycom.nl, Dixons.nl (sites van nr. 6 Bas Group), Kpn.nl (nr. 7) en Hema.nl (10). Laptopshop.nl, een webwinkel van nummer 4 Coolblue, springt er negatief uit met een XSS-lek, dat binnen een dag na de melding daarvan werd gedicht. Op Wehkamp.nl, Fonq.nl (beide onderdeel van nr. 2 RFS Holland Holding), Thuisbezorgd.nl (nr. 5), Hm.com (nr. 8 ) en Ticketmaster.nl (nr. 9) werden alleen ‘minder kritische lekken’ aangetroffen.

38 van de 100 slecht
‘Tot hun en onze grote verbazing’ bleek een ruime meerderheid van alle onderzochte sites niet geheel op orde, aldus de Consumentenbond. De bond noemt de beveiliging bij 38 van de 100 bedrijven 'slecht’, omdat daar zoals bij Laptopshop.nl een XSS-lek werd aangetroffen. De beveiliging van Sanoma’s 123tijdschrift.nl werd als enige als ‘zeer slecht’ betiteld, omdat daar ook een ernstig SQL-lek werd gevonden.

‘Verbazingwekkend’
Onvio’s Dick Snel benadrukt in de DigitaalGids dat geen van de ‘top 10 lekken’ van OWASP zou mogen voorkomen bij grote webshops. ‘Het is verbazingwekkend dat dergelijke grote webshops met een miljoenenomzet de veiligheid niet op orde hebben. Een check kost een bedrijf maar enkele honderden euro’s en het dichten van lekken is meestal weinig werk.’
 
Lees ook: 'Lek in Magento-software door veel webshops niet gedicht' (17 april 2015)