Waarom gebruiken we cookies? We gebruiken eigen cookies en cookies van derden om de kwaliteit van de navigatie te verbeteren, inhoud te personaliseren, statistieken te genereren, advertenties aan te passen aan je voorkeuren en je interactie met je sociale netwerken te vergemakkelijken. Voor dit doel verwerken we persoonlijke gegevens, zoals je browsergegevens. Als je je bezoek aan onze website voortzet, aanvaard je onze cookies. Als je meer informatie wenst over ons cookiebeleid of alle of sommige cookies wilt annuleren, klik dan hier

Veiligheidslekken bij 55% van de webshops

24 okt 2018

Onderzoek van consumentenorganisatie Test Aankoop toont aan dat de beveiliging bij websites vaak te wensen over laat : bij maar liefst 55 van de 100 online shops blijken er veiligheidslekken aanwezig. Eén op de vier vertoonde daarbij ernstige tot zeer ernstige problemen. Een teleurstellend en onrustwekkend resultaat, wetende dat Test Aankoop in 2015 al aan de alarmbel trok na een test met gelijkaardige bevindingen. Test Aankoop wijst op het belang van een “responsible disclosure-beleid” dat het eenvoudiger moet maken voor ethische hackers om veiligheidsproblemen te melden.

100 webshops getest, 55 onveilig

Honderd procent veilig bestaat niet, maar je mag van de grootste webshops wel verwachten dat ze over een goede basisbeveiliging beschikken. Test Aankoop ging daarom aan de deur voelen bij een selectie van 100 populaire webshops, gebaseerd op de BeShopping 100 en haar eigen evaluatie van webshops. Er werd gescand naar veiligheidslekken uit een lijst met de tien meest voorkomende lekken (de zogenaamde OWASP top 10). Bij 55 van de 100 geteste webshops werden problemen vastgesteld, bij 23 daarvan ging het om ernstige lekken, zoals de mogelijkheid om sessies van gebruikers of beheerders over te nemen, of de website aan te passen via phishing.

Twee webshops van de 55 vertoonden zeer ernstige lekken.  Bij een van die shops was het zelfs mogelijk om toegang te krijgen tot de klantgegevens. 

Drie jaar na een vorig onderzoek

Het is niet de eerste keer dat Test Aankoop de beveiliging van webshops test. In vergelijking met de test van 100 webshops in 2015, mag het aantal ernstige problemen dan wel zijn afgenomen (25 tegenover 33), het totale aantal webshops met problemen is met 5 % gestegen. Hierbij dient wel gezegd dat websites vaak worden aangepast of vernieuwd en elke wijziging nieuwe lekken kan veroorzaken.

Onaanvaardbaar
Door hun gebrekkige beveiliging bieden webshops cybercriminelen de kans om consumenten in de val te lokken. Een voorbeeld: een hacker die een lek kan uitbuiten om de website aan te passen, kan bv. via een nagemaakt inlog- of betaalscherm gegevens of geld ontfutselen.  Erger nog: een hacker die toegang krijgt tot de databank met klantgegevens heeft alle informatie in handen om een zeer gerichte en overtuigende (spearphishing-)aanval op te zetten, zoals een mail die de consument persoonlijk aanspreekt en verwijst naar een van zijn recente bestellingen.
Ook deze keer heeft Test Aankoop de betrokken webshops ingelicht om hen tijd te geven om de problemen te verhelpen.  Slechts 17 van hen namen voor het verzenden van dit persbericht contact op met Test Aankoop. De consumentenorganisatie bracht daarnaast ook de GBA (Gegevensbeschermingsautoriteit) op de hoogte van haar bevindingen.

Nood aan "responsible disclosure"

Door de enorme populariteit van webshops, is een goede beveiliging zo een absolute prioriteit. Daarnaast is het vandaag geen sinecure om een veiligheidsprobleem aan een webshop te melden. In Nederland maken de overheid, bedrijven en webshops daarom  gebruik van een responsible disclosure-beleid om de veiligheid van hun website door ethische hackers te laten testen.  Een dergelijke open politiek kan de veiligheid van webshops alleen maar verbeteren en zou dus ook in België de standaard moeten worden.