image

Veel populaire Nederlandse webwinkels lek

donderdag 30 april 2015, 14:03 door Redactie, 14 reacties

Veel populaire Nederlandse webwinkels hebben de digitale beveiliging niet op orde, waardoor aanvallers allerlei gegevens kunnen stelen, zo beweert de Consumentenbond aan de hand van onderzoek dat het naar de top 100 webwinkels in Nederland liet uitvoeren. Bij het onderzoek werden de webwinkels op een bekende lijst van 10 kritische en veelvoorkomende lekken gecontroleerd.

Bij 38 van de onderzochte webwinkels spreekt de Consumentenbond zelfs van een ernstig veiligheidslek. Het gaat hier om cross-site scripting (XSS) waarmee kwaadwillenden gegevens van consumenten kunnen bemachtigen. "Via dit soort lekken kunnen ook beheerders van webwinkels worden gehackt", aldus de Consumentenbond. In het geval van één webwinkel, 123tijdschrift.nl, ging het om een SQL Injection-kwetsbaarheid waardoor aanvallers de completen klantendatabase zouden kunnen stelen.

Inmiddels heeft Sanoma, waar deze website onderdeel van is, laten weten dat de kwetsbaarheid is verholpen. Alle webwinkels waar kwetsbaarheden werden aangetroffen zijn inmiddels geïnformeerd. Sommige webwinkels hadden het probleem binnen een dag opgelost, maar de helft van de webwinkels reageerde niet op de bevindingen.

Thuiswinkel Waarborg

Van de 81 webwinkels in de test met het Thuiswinkel Waarborg, bleek dat 35% "ernstig lek" was. Volgens de Consumentenbond heeft Thuiswinkel Waarborg naar aanleiding van het onderzoek de veiligheidsclaim op zijn website afgezwakt, maar geeft wel aan druk bezig te zijn om de veiligheid van leden te verbeteren. De Consumentenbond stelt dat consumenten zelf niet kunnen zien of een webwinkel lek is, maar wel maatregelen kunnen nemen om de eventuele schade te beperken door voor de belangrijkste sites verschillende wachtwoorden te gebruiken.

Reacties (14)
30-04-2015, 14:17 door Anoniem
Ik heb mijn webwinkels omgebouwd naar een strikt standaard omgeving welke daardoor direct gepatched kan worden zodra een update uit is. Al het maatwerk is eruit gesloopt en via een semi-livekoppeling in datacontainers gestopt.
Zodra er updates uit zijn worden direct getest en daarna uitgerold. Dit werkt perfect en sinds we op deze manier werken is er geen enkel probleem meer geweest, zowel op veiligheid als met de werking van de software.
30-04-2015, 16:17 door Anoniem
De Consumentenbond stelt dat consumenten zelf niet kunnen zien of een webwinkel lek is, maar wel maatregelen kunnen nemen om de eventuele schade te beperken door voor de belangrijkste sites verschillende wachtwoorden te gebruiken.

Het echte vervelende is is dat er webwinkels zijn die categorisch weigeren om je account op te heffen en informatie te verwijderen.
Het zelf verwijderen van gegevens is nogal eens niet mogelijk.

Je kan dan alleen maar hopen dat de website niet gehackt wordt.
30-04-2015, 16:25 door Anoniem
Door Anoniem: Ik heb mijn webwinkels omgebouwd naar een strikt standaard omgeving welke daardoor direct gepatched kan worden zodra een update uit is. Al het maatwerk is eruit gesloopt en via een semi-livekoppeling in datacontainers gestopt. (...) sinds we op deze manier werken is er geen enkel probleem meer geweest, zowel op veiligheid als met de werking van de software.

Dat is prachtig om te horen. Ik ben benieuwd naar de naam van deze standaard omgeving. Vertel het aan iedereen, zodat webwinkelen voor meer mensen veiliger wordt!
30-04-2015, 16:31 door Anoniem
Je hoeft toch ook geen pentest te doen als je een webwinkel opricht, waarom zou je ook, dat kost tijd en geld.
Zonder klanten ga je failliet, dus keep on dreaming winkeliers.....
Het wordt tijd voor straffen ivm nalatigheid.
30-04-2015, 16:32 door Anoniem
Door Anoniem: Ik heb mijn webwinkels omgebouwd naar een strikt standaard omgeving welke daardoor direct gepatched kan worden zodra een update uit is. Al het maatwerk is eruit gesloopt en via een semi-livekoppeling in datacontainers gestopt.
Zodra er updates uit zijn worden direct getest en daarna uitgerold. Dit werkt perfect en sinds we op deze manier werken is er geen enkel probleem meer geweest, zowel op veiligheid als met de werking van de software.

Waren er maar meer zoals jij... Helaas is dit niet het geval.. Huppelkut X met haar sieraadwinkel en neefje die wel eens een website heeft gemaakt hebben nog NOOIT van een SSL /TLS certificaat gehoord, laat staan wat een SQL injection is. Helaas is het tegenwoordig zo makkelijk om iDeal al toe te voegen aan je website waardoor enig besef van security er helemaal niet is. Je moet eens weten hoe vaak ik mijn gegevens over een plaintext http verbinding ergens heb moeten delen en vervolgens mijn zelfgemaakte wachtwoord in mijn email ook nog eens terug zie komen...

Ik zie hier een uitgelezen taak voor het CBP. Er moet gewoon strenge wetgeving komen waarbij dergelijke webwinkels hoge boetes en sluiting moeten verwachten. Verder moeten initiatieven als iDeal ook strenge richtlijnen waarborgen. Het is schrikbarend als je bedenkt dat websites als Cheaptickets en recent MAPP.nl nog bestolen zijn van duizenden persoonsgegevens door misbruik van een lek die bovenaan de OWASP top 10 staan en waarvan er TAL van gratis tools zijn die deze leks binnen seconden gevonden hadden (overigens zijn tools ook niet alles.. maar het is een begin ;))
30-04-2015, 17:10 door Anoniem
Door Anoniem: Je hoeft toch ook geen pentest te doen als je een webwinkel opricht, waarom zou je ook, dat kost tijd en geld.
Zonder klanten ga je failliet, dus keep on dreaming winkeliers.....
Het wordt tijd voor straffen ivm nalatigheid.

"Het overkomt ons toch niet"
"wat valt er bij ons te halen"

Tot het fout gaat denken de meeste webwinkel eigenaren hier geen seconde over na.
Je zou denken dat OWASP top10 lekken niet voor zouden komen bij winkels van dit formaat
30-04-2015, 20:54 door Anoniem
Wij als (potentieele) klanten van die webwinkels willen wel graag de namen weten van de betreffende webwinkels! Dus kom op met die informatie,Consumentenbond en Security.nl!
01-05-2015, 08:16 door Anoniem
Voor meer dan 70 procent van de digitale inbraken is al meer dan een jaar een patch voorhanden, dus gaat het vooral om achterstallig onderhoud. De noodzaak van het beveiligen van de sites en het controleren ervan wordt niet ingezien, totdat er werkelijk een keer wordt ingebroken en persoonsgegevens op straat komen te liggen.

Jammer dat het waarborg een valse vorm van veiligheid afgeeft. Deelnemers van dit soort waarborgen betalen voor het mogen voeren van een dergelijk certificaat en dus is de doelstelling van het waarborg verschoven naar het aantrekken van zoveel mogelijk deelnemers. Er wordt m.n. gelet op de logistieke en financiële afhandeling van een aankoop; hoe veilig een webshop verder is, daar geldt het waarborg niet voor.

Onze ontwikkelaar stelde ons laatst ThreadScan voor. Ik ben hier ingedoken en dit is een Nederlandse oplossing die met inhoudelijke ondersteuning van TNO een mooie en volledig geautomatiseerde (en betaalbare!) oplossing op de markt zet om beveiligingslekken periodiek te detecteren en rapporteren. Wij nemen sinds vorige maand een abonnement af en uit de eerste scan kwamen toch wat dingen die ik met andere tools niet naar voren had gehaald.
01-05-2015, 08:58 door Anoniem
Het probleem zit hem volgens mij vooral in de aantoonbaarheid. De cybersecurity sector en overheden heeft geen tijd om een pentest te laten uitvoeren op een webshop die zojuist is gehackt. Hoe en wie gaat dan aantonen dat het nalatigheid is. Dat kan wel makkelijk beweerd worden door kortzichtigheid, maar zelfs met goede security kan het nog fout gaan.
01-05-2015, 09:46 door [Account Verwijderd] - Bijgewerkt: 01-05-2015, 09:47
[Verwijderd]
01-05-2015, 17:24 door Anoniem
Door Anoniem: Wij als (potentieele) klanten van die webwinkels willen wel graag de namen weten van de betreffende webwinkels! Dus kom op met die informatie,Consumentenbond en Security.nl!

Ik zou zeggen: Lees het artikel in de Digitaalgids (het special-interest magazine van de Consumentenbond). Of kijk op de website van de Consumentenbond, want daar staat de hele lijst ook.
01-05-2015, 17:53 door Anoniem
Door Krakatau:

ATG Web Commerce

(http://www.oracle .com/us/products/applications/atg/atg-web-commerce-overview-349812.html)

Bijvoorbeeld bol .com maakt hier gebruik van.


De link voor adverteerders die reclame willen maken op deze site staat rechtsonderaan elke pagina.
https://www.security.nl/sales
Je verbinding met Oracle en Java is evident.
02-05-2015, 10:49 door [Account Verwijderd] - Bijgewerkt: 02-05-2015, 10:54
[Verwijderd]
06-05-2015, 12:14 door Anoniem
Het is toch totaal geen verrassing dat webwinkels hun veiligheid niet op orde hebben?

Wat mij verbaast is dat er niemand vragen stelt over de methodiek van de consumentenbond. Met name dit stuk: "Sommige webwinkels hadden het probleem binnen een dag opgelost, maar de helft van de webwinkels reageerde niet op de bevindingen."

M.a.w.: De consumentenbond publiceert nu resultaten van bevindingen zonder dat zij weten of het gefixt is... HOE is dit responsible disclosure of uberhaupt in het voordeel van de consument?

Shame on you consumentenbond.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.