Currence is woedend over een onderzoek van Networking4all, dat vandaag breed in de media wordt uitgemeten. Woordvoerder Bob Goulooze: ‘Het is bagger.’
Networking4all nam de beveiliging onder de loep van webshops die iDeal aanbieden als betaalmethode. Conclusie: slechts 12 procent beschikt over een SSL-certificaat.
Een groeiend aantal iDeal-shops, 11.980 in totaal, heeft niet zo'n certificaat en is daarmee volgens Networking4all onveilig. Vertrouwelijks informatie die deze shops verwerken wordt niet versleuteld en is daarmee toegankelijk voor hackers.
‘Zo lek als een mandje’
Networking4all zocht de publiciteit met de onderzoeksresultaten. Via het ANP liet het een persbericht verspreiden met de kop ‘Aantal onveilige "iDeal-webwinkels"groeit explosief’. Voor tal van landelijke media reden een artikel te wijden aan onveiligheid op internet. ‘Webshops zo lek als een mandje’, kopt het Algemeen Dagblad bijvoorbeeld.
Verdomhoekje
Volgens Goulooze van beheerder Currence wordt iDeal, dat geen verantwoordelijkheid draagt voor veiligheid van webshops, ten onrechte in het verdomhoekje geplaatst. ‘Afgezien daarvan zijn mij quotes in de mond gelegd die ik absoluut niet heb verstrekt. Ik heb niet eens met ze gesproken.’
In het onderzoek én persbericht daarover van Networking4all wordt Goulooze dus wel sprekend opgevoerd. Quote: ‘Hoe de beveiliging van de webwinkels is geregeld maakt ons niet uit.’ De woordvoerder noemt het ‘bagger’ dat daardoor het idee ontstaat dat iDeal de veiligheid van webwinkels geen serieus thema vindt.
Volgens Paul van Brouwershaven, technisch directeur van Networking4all, heeft het bedrijf een paar weken geleden contact gehad met Goulooze: 'Ik sta er voor in dat hij letterlijk heeft gezegd wat wij hebben gemeld.'
SSL-certificaat
Dan over het onderzoek: Networking4all geeft 88 procent van de onderzochte webshops het predikaat 'onveilig'. Het gebruik van zo’n certificaat is niet uitdrukkelijk verplicht gesteld in de Wet bescherming persoonsgegevens. Steven Ras van ICTRecht legt uit: 'Webwinkeliers dienen gebruik te maken van de beveilingsmethoden die de techniek biedt. Het College bescherming persoonsgevens heeft het gebruik van SSL in zijn richtsnoeren opgenomen. Webwinkels zijn dus gehouden zo'n certificaat te voeren. Overigens wil de aanwezigheid van een SSL-certificaat niet zeggen dat een webshop helemaal veilig is.'
Percentage neemt toe
Het percentage bij iDeal aangesloten webwinkeliers dat beschikt over een SSL-certificaat is toegenomen, van 7 procent in 2007 en 9 procent in 2008 tot 12 procent dit jaar. Omdat het aantal bij aangesloten shops sterk toeneemt, zijn er nominaal wel meer shops die Networking4all als ‘onveilig’ kwalificeert. Uit het rapport: ‘Het aantal onbeveiligde webwinkels groeit dus veel sneller dan het aantal beveiligde webshops.’
Brouwershaven van Networking4all pleit ervoor dat iDeal klanten gaat verplichten een SSL-certificaat te voeren, zoals Thuiswinkel.org dat eist van zijn leden in zijn certificeringsslag: 'Daarmee kan iDeal een rol spelen in het verbeteren van het veiligheidsimago van webwinkels.'
Het complete rapport van Networking4all vindt u hier.
Tekenend dat Currence wel Networking4all bekritiseert, maar niet inhoudelijk reageert.... Want wat in het onderzoek staat klopt wel degelijk, en iDeal is mede daardoor (maar ook door ontbreken van chargebacks voor consumenten) de onveiligste betaalmethode vanuit de consument bekeken.
@Bobby: Wat heeft iDeal te maken met het wel of niet aanwezig zijn van een SSL certificaat? Niets. Dus, wat doet de link met iDeal in het bericht van Networking4all? Juist.
@ Michel: Jij werkt zeker bij een bank. Typisch oude denken van de NL banken om zich alleen zorgen te maken om 'het geld van A naar B brengen'. Een internet payment method provider (wat Currence ook is) moet ervoor zorgen dat zijn totaaloplossing end2end veilig is, en moet voorkomen dat er iets fout gaat omdat dit toevallig bij een 'ander loket' (de merchant) is. Als er toch een lek mogelijk is (want 100% veiligheid garanderen is onmogelijk), moet hij de consument de mogelijkheid geven om een chargeback uit te voeren. iDeal blijft ook hier in gebreke.
Nogmaals: het feit dat Currence niet inhoudelijk reageert betekent dat ze inhoudelijk weinig in te brengen hebben tegen de conclusies uit het rapport.
Ik blijf online lekker betalen met creditcard, veel veiliger.
Ik werk niet bij een bank, ben niet oud genoeg om 'oud te denken' maar wel oud genoeg om goed te kunnen lezen. Jij blijkbaar niet, want het enige wat ik zeg is dat een webshop die al dan niet goed beveiligd is iets heel anders is dan het al dan niet veilig zijn van een bepaalde betaalmethode.
Bovendien maak je een denkfout als je beweert dat een chargeback mogelijkheid de betaalmethode veiliger maakt. Het is enkel een mogelijkheid om als consument iets te kunnen doen als er misbruik van je betaalgegevens plaatsvindt (of als je fraude wilt plegen, maar da's weer een ander verhaal), het maakt de betaalmethode helemaal niet veiliger.
Dus, voor het trage brein: webshop veilig/onveilig <--> betaalmethode veilig/onveilig, twee verschillende discussies. Snappie?
Networking4all, die het onderzoek heeft gedaan, verkoopt zelf het medicijn voor de gestelde kwaal: "Door uw SSL Certificaten bij ons af te nemen kunt u tijd en geld besparen. "
Ik vind het erg jammer dat een onderzoek wat is gericht op het stimuleren van de eigen verkoop zo ongenuanceerd door de landelijke pers wordt opgepikt.
@Michel, het maakt qua beleving natuurlijk wel uit of je als consument een chargeback kan maken of niet. Bij een faillissement van een webwinkel ben je bij iDeal je geld kwijt, en bij creditcard krijg je het terug, hiermee is iDeal riskanter om te gebruiken dan creditcard. Dat is heel simpel voor jong en oud te begrijpen. Wat 'veiliger' is, is wat lastiger te definieren, maar je bent dus wel beter gedekt tegen misbruik bij CC. Ik ben wel met je eens dat de ontdekte 'lekken' op de webshops betrekking hebben en niet op de betaalmethode. Daarom raadt ik ook alle webwinkels aan om een goede PSPte gebruiken ! (ja daar werk ik, maar ik zeg niet welke :-)
Het gaat nergens over: "Conclusie: slechts 12 procent beschikt over een SSL-certificaat.
Een groeiend aantal iDeal-shops, 11.980"
Dat betekend dat SEOshop 10% van dit aantal betreft? Of horen de PSP gebruikers niet bij de klanten van Currence?
Verder is de hype rondom SSL gebakken lucht. Uiteraard is het veiliger, echter de kans op onderschepping is klein. Vraag je eens eerst af of je wifi beveiligd is, of je Windows computer geen keyloggers geinstalleerd heeft. En ja.. als we dan toch SSL als meetpunt nemen, wie verstuurd zijn e-mail via een SSL verbinding?
Conclusie: een ongenuanceerde hype.
Volgens mij wordt er alleen grootschalige fraude gepleegd met creditcards. Gewoon lekker met je random reader betalen in een beveiligde iDEAL omgeving. Als iemand je persoonsgegevens wil hebben, dan komt die daar toch wel achter. Je moest eens weten wat er wel niet allemaal over je te vinden is. iDEAL is het beste wat de online markt de laatste jaren is overkomen!!!