88% Webshops is zo lek als een mandje

Wo 18 november 2009 08:45, Redactie, 14858

88% Webshops is zo lek als een mandje

Het beroemde shopping(card)wagentje van Webshops blijkt zo lek te zijn als het karretje zelf.

Volgens onderzoek van Networking4all, die alle webshops onderzocht welke gebruik maken van het in Nederland zo populaire iDEAL-betaalsysteem, kan bij 88% van de onderzochte 13.607 webwinkels de data met vertrouwelijke persoonsgegevens worden afgetapt. Een haast ongelofelijk en schrikbarend hoog percentage.

Consumenten en eigenaren van webwinkels lijken zich nauwelijks bewust te zijn van de risico's die zij lopen. Zij gaan er vanuit dat de beveiliging van de transactie voldoende is. De betaalmethode van iDEAL is beveiligd, maar de handelingen op de website van de webshops daarentegen niet. Aanbieder iDEAL is hiervan op de hoogte, maar onderneemt volgens de onderzoekers geen stappen. Sterker nog, beheerder Currence lijkt er niet mee te zitten. “Hoe de beveiliging van de webwinkels is geregeld maakt ons niet uit. Wij bieden slechts de elektronische betaalmethode aan. Uiteraard melden we wel dat ze erop moeten letten, maar verplichten kunnen we het niet. Dat is niet onze taak, maar van de webwinkeliers zelf”, aldus woordvoerder Bob Goulooze.

De beveiliging van persoonsgegevens is bij de wet verplicht. Het College Bescherming Persoonsgegevens (CBP) adviseert webwinkeliers om gebruik te maken van een SSL Certificaat. Het CBP zou hierop toe moeten zien, maar ook zij zeggen pas actie te ondernemen bij structurele gevallen. Maar ieder geval is er al één te veel. Zo blijkt uit het onderzoek dat onder andere de bekende websites van de Nederlandse Spoorwegen, Kras.nl en Madurodam niet goed zijn beveiligd en dat kwaadwillenden op deze websites zonder veel moeite persoonsgegevens van consumenten kunnen 'afluisteren'. Dit kan grote gevolgen hebben voor de gedupeerden, waarbij de onderschepping zelfs kan oplopen tot een gerichte diefstal of identiteitsfraude.

Uit een grafiek in het raport blijkt dat het percentage veilige webwinkels ieder jaar stijgt. Bekijk je echter het aantal webwinkels dat tussen 2007 en 2009 persoonsgegevens over een onbeveiligde verbinding verstuurd, dan is dat aantal opgelopen van 5.209 in 2007 naar 11.980 in 2009. Een forse toename van 57 procent. Daar tegenover staat de groei in het aantal websites dat de gegevens wél beveiligd. Van slechts 385 in 2007 naar 1.627 in 2009, een toename van 76 procent.

Ideal%20ssl%20%282%29

Het onderzoek laat verder zien dat bij Thuiswinkel.org, belangenorganisatie van ongeveer duizend webwinkeliers in Nederland, slechts 39 procent van de webwinkels met het thuiswinkel waarborg een beveiligde verbinding aanbiedt. Terwijl Thuiswinkel.org begin 2009 eiste dat alle leden vanaf 1 januari 2010 beveiligd zijn. Die deadline wordt niet door iedereen gehaald en daarom heeft Thuiswinkel.org de deadline verplaatst naar 1 april 2010. Wijnand Jongen, directeur van Thuiswinkel.org zegt hierover: “Wanneer deze webwinkels na die tijd niet over een afdoende beveiliging beschikken wordt hun licentie ingetrokken.” Terwijl je met het thuiswinkel waarborg toch mag verwachten dat ze de zaakjes goed voor elkaar hebben. Het waarborg wordt immers niet voor niets afgegeven.

Download hier het volledige rapport (.pdf).

<Help de Groene Sint
Murdoch zet eerste stap,...>

Reacties (13)

 

  • Vreemde reactie van die beheerder zeg. Had hij niet moeten antwoorden "We zijn enorm geschrokken van deze onderzoeksresultaten. Vanuit iDeal zullen we alles in het werk stellen om de betreffende websites te informeren over hoe zij hun beveiliging wel op orde kunnen krijgen". Een mail met deze onderzoeksresultaten met advies wat je kunt doen om deze ellende te voorkomen moet Webshop eigenaren onmiddelijk triggeren.

    Wed 18 Nov 2009, 09:05

  • Een webwinkel kan toch evengoed helemaal dichtgebouwd zijn zonder SSL of https?

    Wed 18 Nov 2009, 09:45

    • Mike van Hoenselaar

    Ik vraag me idd wat wat de CTA nu is, waar kan ik nu te weten komen of de webwinkel veilig genoeg is? Dat vind ik nergens terug.

    Wed 18 Nov 2009, 10:02

  • @Rene: HTTPS houdt in dat data tussen de client en server gecodeerd wordt verstuurd. Het gaat niet om 'inbreken' op de webwinkels maar om het 'afluisteren' van gegevens tussen de client en de server.

    Wed 18 Nov 2009, 10:43

  • @Mike: zodra je een formulier gepresenteerd krijgt door een webshop waarin je persoonlijke gegevens moet invullen, moet de adresbalk van je browser een indicator vertonen dat de verbinding beveiligd is. Een slotje, het adres in het groen, een adres beginnend met https:// (ipv. http://) zijn allemaal dingen die je moet controleren.
    Pas geleden werd ik gemaild om mee te doen aan een enquete. Nadat ik alle vragen had ingevuld vroegen ze om mijn naam, adres en e-mail. Naam en e-mail kan nog wel, maar mijn adres krijgen ze niet onbeveiligd. Er was geen SSL aanwezig en dus heb ik ze een mail teruggestuurd over het ontbreken daarvan en heb ik de site dichtgegooid.

    Wed 18 Nov 2009, 11:25

    • Richard

    @Bert-Jan: het is toch nog iets ingewikkelder. Kijk maar eens goed naar het gedrag van verschillende websites (waaronder grote jongens, zoals Google) m.b.t. wisselen van HTTP naar HTTPS en andersom. Ik zie daar twee fenomenen:
    -de webpagina met inlogvenster wordt m.b.v. een HTTP-verbinding gepresenteerd, maar verwijst naar een HTTPS-webpagina bij klikken op de inlogknop. Dit kun je alleen zien door naar de broncode van de webpagina te kijken (je ziet bij de form-tag dat het action-attribuut verwijst naar HTTPS i.p.v. HTTP), dus dat is niet bepaald doorzichtig, maar toch veilig.
    -het inloggen gebeurt m.b.v. HTTPS, maar daarna wordt overgeschakeld naar HTTP. In dat geval worden de inlognaam en het wachtwoord omgezet naar een sessiecookie o.i.d. waaruit niet de inlognaam en het wachtwoord zomaar te destilleren vallen. Maar zodra er iets van gegevens verstuurd worden via een invulformulier na inloggen, dient er wel HTTPS gebruikt te worden, omdat anders deze ingevulde gegevens wel af te luisteren zijn (er even vanuit gaande dat er niet gebruik gemaakt wordt van "poor-man's security" door via JavaScript de gegevens via tweewegencryptie te coderen, waarna deze door de webserver weer worden gedecodeerd. Is iets veiliger bij gebruikmaking van HTTP i.p.v. HTTPS, maar kan toch gehackt worden omdat het wachtwoord/passphrase gebruikt voor codering in de onderliggende JavaScript-code op te zoeken is.)

    Bovenliggende technieken worden gebruikt o.a. om de CPU-load te verminderen voor de webserver/webbrowser, omdat het codeer- en decodeerproces rekenkracht kost. Maar al met al, het is dus toch nog iets subtieler dan je denkt en je kunt er dus niet in alle gevallen vanuit gaan dat de beveiliging niet OK is wanneer je HTTP i.p.v. HTTPS in je adresbalk ziet staan. Ik geef toe, niet bepaald doorzichtig voor de beveiligingsbewuste websitebezoeker en ik kan me je reactie goed voorstellen...
    Bedenk overigens wel dat zelfs bij gebruikmaking van HTTPS er een kans bestaat op lekken van informatie. Als op de één of andere manier je inlognaam kan worden gedestilleerd uit de sessiecookie (waar vaak gebruik van wordt gemaakt i.p.v. bij iedere webpagina de inlognaam en het wachtwoord te versturen), is in ieder geval wel te zien welke webpagina's je allemaal bezoekt, omdat de URL zelf niet wordt gecodeerd.

    Wed 18 Nov 2009, 12:50

  • Wat een compleet onzin onderzoek.

    De risico's van het lekken van gegevens zijn niet afhankelijk van het gebruik van HTTPS (SSL).

    Wie moet er luisteren en op welke lijn ? Het aantal hops binnen de Nederlandse netwerken tussen providers onderling is erg klein. De kans dat iemand onderweg zit te sniffen is buitengewoon klein.

    De kans dat iemand osCommerce hackt waarop de webshop draait en zo adresgegevens in handen krijgt is veel groter.

    De kans dat de (windows) PC van de eindgebruiker besmet is met spyware is nog veel groter.

    Dit onderzoek lijkt de verkoop van SSL certificaten te willen promoten. DIe bieden echter schijnveiligheid. Het coderen van het verkeer tussen de browser van de gebruiker en de server van de webshop biedt nauwelijks aanvullende zekerheid.

    Voor de winkelier is het duur, voor de provider vervelend (elk SSL certificaat kost 1 schaars IPV4 adres, en die beginnen op te raken).

    En daarnaast: Wat codeer je dan eigenlijk ? Dat Pietje Jansen een broek met maat 40 heeft gekocht ?

    Geen gegevens die enige echte waarde hebben en de technische investering van het afluisteren van netwerkverkeer waard is.

    Het betalingsverkeer vindt veelal toch plaats op basis van iDEAL, en vindt helemaal niet plaats via de webshop maar via een bank of payment provider.

    Dit onderzoek legt veel te veel nadruk op SSL encryptie terwijl dat nu net een van de minst belangrijke schakels is in de beveiliging.

    Ik heb in mn webhostingbedrijven genoeg hacks van open source pakketjes meegemaakt die door winkeliers slecht onderhouden werd. Dat is pas een echt risico.

    Fri 20 Nov 2009, 19:37

    • kkorver

    hear,hear... Zoiets als 'wij van wc-eend..'

    Fri 20 Nov 2009, 20:53

  • Het onderzoek heeft inderdaad helemaal niets te maken met de veiligheid van iDeal. Dat betaalmiddel wordt er met de haren bijgesleept, vermoedelijk om media-aandacht te krijgen.

    Het onderzoek kijkt alleen maar naar de stap voordat er daadwerkelijk betaald gaat worden, en waarin de bestelgegevens worden uitgewisseld.

    Stellingname van de rapportschrijvers: koop een SSL-certificaat om die gegevens te versleutelen, dat is verplicht! Met als bonus: als je het niet doet krijg je een boete!

    Gaat het om erg vertrouwelijke gegevens? Nee, niet bepaald. Een crimineel zou kunnen achterhalen wie wat koopt op internet. Daarvoor moet wel worden ingebroken op het dataverkeer. Niet makkelijk, en dat voor gegevens waar die crimineel weinig mee kan.

    Is versleutelen verstandig? Ja. De rapportschrijvers hebben hier een punt, de Wet Bescherming Persoonsgegevens beveelt dat inderdaad aan.

    Staat er een boete op als je dit niet doet? Nee, daar slaat het rapport de plank toch echt mis. De boete van 4500 euro die de wet noemt heeft niets te maken met het al dan niet versleutelen van netwerkverkeer, maar op de verplichting om een administratie waarin persoonsgegevens zijn opgeslagen aan te melden bij het College Bescherming Persoonsgegevens. Dat is een ander onderwerp. En daarnaast geldt voor heel veel administraties, waaronder die van (web)winkels, een vrijstelling.

    Zie ook onze uitgebreide reactie op http://www.integrace.nl/News/300/SSL-certificaten-in-webshops.aspx

    Mon 23 Nov 2009, 13:36

  • We kunnen het ook omdraaien.
    Bij networking4all.nl is alles zo geprogrammeerd, dat er bij een ieder niets deugt, om een ieder tot koop te dwingen van een SLL pakket.
    Zeer gewiekste verkoop stunt.
    Wij hebben al met deze contact gehad.
    Het zijn zeer gewiekste jongens daar.
    Echte zakkenvullers.
    Als een ieder dar maar in trapt.
    Wij Hosten bij de grootste provider > sideground, en niets is minderwaar.
    Zeker is een SSL pakket van waarde, maar dat de boel lekt zou zijn, zijn echt fabeltjes !

    Ze adverteren zich uit de naad, en worden zo snel rijk.

    Dat niemand daar actie tegen voerd of daar in trapt.
    Schandelijk !
    Peter
    Star Trading

    Mon 23 Nov 2009, 14:01

  • Nou webshop houders het is allemaal gelxxl, want elke website met een database kan gehackt worden en daar heeft de beveiliging van iDeal, of Paypal NIETS mee te maken. De media die van het internet en de werking daarvan geen kaas heeft gegeten, heeft dit verhaal totaal verkeerd geïnterpreteerd waardoor het lijkt alsof het betaalsysteem zo lek is als een mandje. Niet is minder waar dan dat bedoeld wordt dat de toegang tot de database met klant informatie en betaal informatie gemakkelijk gehackt kan worden.

    Dus alle gelxxl over SSL en HTTP en HTTPS, stop maar want het heeft er helemaal niets mee te maken.

    Suc6

    Tue 24 Nov 2009, 17:53

  • Veilig winkelen? Ga maar naar jouw lokaale dealer toe...

    Tue 24 Nov 2009, 19:05

  • Heeft Dutch Cowboy soms ook aandelen bij die valse voorlichter "networking4all" ?
    EEn grote ordinaire verkoop truck van SSL pakketten.
    Ook een manier om de crissis op te vangen.

    Peter
    Star Trading

    Thu 26 Nov 2009, 11:07

Reageren

  • HTML niet toegestaan. URL's worden automatisch clickable.
    * E-mail adres wordt niet getoond

DC Fotofeed

Dutchcowboys & Dutchcowgirls Volleybalteam
DC Mobile

Laatste reacties

Agenda

» Mobile Advertising Nederland 2010  DC will be here

Amsterdam

31 juli 2010 / 02 september 2010

» Emerce eDay  DC will be here

Van Nelle Fabriek - Rotterdam

16 september 2010

» PICNIC  DC will be here

Westergasfabriek, Amsterdam

22 september 2010 / 24 september 2010

» Co-Creation Event  DC will be here

High Tech Campus, Eindhoven

29 september 2010

» Flanders DC’s Creativity Forum  DC will be here

Antwerpen - Belgie

21 oktober 2010

Nieuwsbrief

Schrijf je in voor de DC nieuwsbrief:

Zoeken


Emerce eDayPICNICStylecowboys
The Next Web

Flickr

  • Original Playstation controller designInternet & Privacy
  • Apple vs AndroidFail Whale Taart
  • Macintosh iPad StandAllianz Arena kleurt Rood Wit Blauw
  • PC vs Mac ChessboardThe Next Web zaal
  • Twitter-notepadEvan Penny @ Tefaf 2010 ; self variation in silicone
  • Kleine discussielucht : www.Paul-tieman.nl404 Building not found
  • Twitter license-plateAqua notepad
  • Heineken Christmas treeTwitter kerstbal
  • He's a PC I'm a MacLeWeb 2009
Subscribe with Bloglines Add to Google
RSS Feed

© 2004-2010 Dutchcowboys.nl - All Rights Reserved.

All views and opinions expressed are those of the authors of Dutchcowboys.

All trademarks, slogans, text or logo representation used or referred to in this website are the property of their respective owners. Sitemap