Oh, en tijdens de verbouwing gaat de verkoop gewoon door.

Hacking is bij wet verboden!

hmm hmmm.. raar he?!

En dat geldt ook voor het niet goed beveiligen van privacygevoelige gegevens, en daarom is het goed als journalisten (c.q. specialisten daartoe opdrachtgeven) misstanden aan de kaak stellen.

Alles verhalen op de winkel zelf mocht je schade lijden,moet je het maar beter beveiligen!!!!

Ik mis het commentaar over dat de winkels met het waarmerk thuiswinkelen geen belangrijke problemen zouden hebben gehad. Dat stond op andere websites namelijk wel. Gelukkig maar, want met een testje op maar 25 willekeurige winkels kan je geen zinnig woord over zeggen over hoe dat over de gehele groep zou uitkomen.

't is een goede zaak adt de nalatigheid van webshops eens aan de kaak gesteld word.
Misschien dat er nu webshops zijn die deze eenvoudige testje nu zelf eens gaan (laten) uitvoeren.
Ik vind dat websites met dergelijke eenvoudige lekken op last van het OM direct gesloten moeten worden en een hoge boete moeten krijgen voor nalatigheid.

Ik zou het liefste zien dat journalisten alle nederlandse website laten controleren

Ja, maar er zijn uitzondering. Dit gebeurd in maatschappelijk belang (privacy van gewone burgers is in gevaar) en de gegevens worden niet misbruikt.

Er is een verschil tussen echt hacking, dat je gegevens steelt/vernielt en de beveiliging van een systeem nalopen.
Arnoud heeft hier een keer een mooi artikel over geschreven https://secure.security.nl/artikel/29011/Juridische_vraag%3A_Hacker_wordt_bedreigd_na_melden_lek.html

Met bekende de quote "fouten verifieer je niet met een "; DROP DATABASE" commando. "

Toch raar, volgens mij is hacken inderdaad bij wet verboden (zonder toestemming van "slachtoffer"), stel je voor dat je je voordeur niet goed op het nachtslot hebt gedaan en een of andere reporter komt je huis binnen door middel van "flipperen" , volgens mij kun je deze dan toch gewoon aanklagen wegens inbraak niet ? En wat is dan het verschil met hetgeen deze "boulevard" pers reporters hebben gedaan ?

goh, zouden criminelen dit ook weten ??

Hahaha; 'expert'.

Als je maar bij 5 van de 25 webwinkels een lek kunt vinden ben je gewoon een amateur. De beveiliging wordt maar zelden bij webwinkels op orde gebracht. Ik ben dan ook voor een boete per gebruiker die gelekt wordt. Een schadevergoeding van bijvoorbeeld 20 euro moet dan over gemaakt worden naar iedere gebruiker waarvan de gegevens gelekt zijn. Dit zorgt ervoor dat ze voortaan wel geld over hebben voor de beveiliging zodat ze geen boetes hoeven te betalen als het mis gaat.

Tips:
- Maak gebruik van application frameworks: http://en.wikipedia.org/wiki/Comparison_of_web_application_frameworks

- Gebruik Prepared Statemens. Dit is ook nog een stuk sneller dan query's, daarnaast kun je veel makkelijk overschakelen tussen verschillende databasesystemen. Zo kun je met 1 aanpassingen heel makkelijk switchen tussen heel veel drivers voor databasesystemen. PHP ondersteund er 15: http://php.net/manual/en/pdo.prepared-statements.php

- Installeer ModSecurity, als deze afgaat op een bepaalde hack meteen actie ondernemen om het probleem te verhelpen. ModSecurity is namelijk ook te omzeilen. http://www.modsecurity.org/

- Laat je website niet met verhoogde rechten in de database draaien. Data verwijderen uit de database is bijvoorbeeld niet de verantwoordelijkheid van de website. Maak eventueel een ip-whitelist voor de database.

- Zorg dat de software (PHP, MySQL, CMS, Apache) altijd up-to-date is.

- Wachtwoorden niet alleen crypten maar ook salten. Wachtwoordeneisen met bijvoorbeeld hoofdletters zijn niet nodig, wachtwoorden moeten gewoon lang zijn. Gebruik een goede encryptie: CRYPT_SHA512 http://nl.php.net/manual/en/function.crypt.php

- Zorg dat SSL en eventueel DNSSEC in orde is op het systeem.

- Gebruik bij het configureren of beheren van het systeem alleen beveiligde verbindingen (SSH, SFTP, HTTPS), maak het dus ook niet mogelijk om niet beveiligde verbindingen te maken om met verhoogde rechten iets te doen.

- Maak een IP-whitelist voor configuratie en beheer.

- Gebruik geen externe software. Installeer dus zelf voor statistieken bijvoorbeeld het open source Piwik. Gebruik voor social sharing bijvoorbeeld shareNice. Maak zo min mogelijk gebruik van js-libary's, en beperk sowieso het gebruik van Javascript. http://piwik.org/, http://sharenice.org

U vergeet nog:
- Zet je website niet op een shared host maar zorg dat je een dedicated machine hebt. Tig problemen door slechte configuraties en beheer van derden waar je geen controle over hebt maken anders dat jezelf en dus de gegevens van je klanten de klos zijn.

@Anoniem van 10:20.

Met jou vergelijking met 'door middel van "flipperen" 'sla je de plank wel erg ver mis in mijn opinie.
Ik zou het meer willen vergelijken met een huis waar geen ramen en deuren in zitten waar iemand die gevraagd word om daar kostbare dingen binnen te zetten dan van zegt: 'ik ga daar geen kostbare dingen naar zetten want er zitten geen ramen of deuren in het pand'

vaak is er bij webswhops of overheids websites geen enkele controle of beveiligings maatregel getroffen: daar mag je iemand best op wijzen

SQL Injection is zo 2010 he..
En dat noemen ze dan een Expert

4 TEH LULZ !!

@Rick gewoon niet meer over bloggen maat, ze nemen het toch niet serieus.

Greetz "Dica Brun"

Zoals vaak worden deze hacks goedgepraat door het aan de kaak stellen van de slechte staat van beveiliging.
Twee dingen hierop:
- details over de methode kennen we niet, dus kunnen dit ook niet beoordelen.
- ik hoop dat er niet in uw huis wordt ingebroken om aan te tonen hoe slecht het thuis met de beveiliging gesteld is.

Laat ik er geen misverstand over laten bestaan.
Ik ben voor een verplichte security audit voor iedere website die online data opslaat of online betalingen verricht, maar dan wel door een gecontrolleerde instantie en niet publiek.

Misschien steken de slechte programmeurs iets op van het volgende artikel:
http://www.unixwiz.net/techtips/sql-injection.html

hacken != code kloppen
hacken != verboden

computervredebreuk = verboden.

Ik had verwacht dat de bezoekers van deze website dat toch wel zouden weten

denk je dat SQL injectie het enige probleem hoeft te zijn? Ga maar eens de gehele OWASP top 10 en de SANS top 25 af.

Het ging RTL meer om de makkelijke hacks zoals SQL injecties, en echt iedereen die maar beetje af weet van hacken kan dat misbruiken en dat is wat het zo erg maakt! Als je website vandaag de dag nog kwetsbaar is voor een simpele SQL injectie, dan ben je gewoon een ordinaire prutser!!

"Gebruik Prepared Statemens. Dit is ook nog een stuk sneller dan query's".
Niet altijd, het is alleen sneller als je de query meerdere moet uitvoeren. Als je hem maar één gebruikt is het snelheidsverschil vrijwel nihil.

"Maak gebruik van application frameworks:"
Uhh nee, maak gebruik van bewezen oplossingen en ga niet het wiel opnieuw zelf uit te vinden ;) een application framework is daar slechts een onderdeel van.