INZICHT
WERK AAN DE WEBWINKEL De beveiliging van klantgegevens is zelfs bij grote webshops niet altijd gegarandeerd. Zo blijkt de helft van de 100 webshops uit onze test veiligheidsproblemen te hebben, bij 36 gaat het bovendien om ernstige lekken.
6 T ES TC O N N E C T #01
VEILIGHEID WEBSHOPS INZICHT
Tekst Tom Crauwels Tekst Tom Thysen Foto Karl Bruninx
C
onsumenten worden er vaak op attent VEILIGHEIDSLEKKEN We lieten het Nederlandse beveiligingsbegemaakt dat ze bewust moeten omgaan drijf Onvio honderd van de meest bezochte met de gegevens die ze op het internet webwinkels in België onderzoeken. Onvio achterlaten en dat het belangrijk is om ze gebruikt daarbij een lijst met de tien meest goed te beveiligen. Voor iemand die aan voorkomende veiligheidslekken (OWASP top gegevensdiefstal wil doen is het echter veel 10). Voor elke winkel kijken ze nauwkeurig efficiënter om een groot aantal persoonsgegevens in één keer te bemachtigen; als doel na of één of meer van die veiligheidslekken op zich of om daarmee verder voorkomen en rangschikken aan de slag te gaan. Het is dan ze volgens ernst. ook meestal op die manier dat Hun eerste vastselling is dat een doorsnee consument een groot aantal websites slachtoffer wordt van gegeonbeveiligd “cookies” en/of vensdiefstal. Aangezien grote wachtwoorden doorstuurt. webwinkels in die optiek een Een open deur voor iedereen bijzonder interessant doelwit die erin slaagt om uw internetzijn voor het bemachtigen van SHOPTEN ONLINE IN 2014 verkeer te bespieden. Dit is echter enkel gevaarlijk voor de gegevens van een groot mensen die met een gehackte aantal personen, waren we computer of internetverbinbenieuwd hoe het met hun ding werken. beveiliging is gesteld. Uw MILJARD EURO Gevaarlijker, want iedereen wachtwoord mag immers nog ZULLEN BELGEN ONLINE kan er het slachtoffer van zo sterk zijn: het heeft geen zin UITGEGEVEN HEBBEN IN 2015 worden, zijn “open redirects”. uw voordeur te sluiten als de Zo is het onder meer bij achterdeur blijft openstaan. PER JAAR Mobistar, Smartphoto en DATABANK Selexion mogelijk om de link Webwinkels bewaren al uw naar de site te manipuleren en gegevens in hun databank: uw te misbruiken. Dergelijke link naam, geboortedatum, kan bv. in een aantrekkelijke NIEUWE WEBSHOPS e-mailadres, postadres, welke e-mailadvertentie staan en aankopen u in de winkel voor u lijkt het of de link naar IN deed, in sommige gevallen uw de webshop leidt. Het adres is betaalkaartgegevens, en immers legitiem, maar eens u verder alle mogelijke andere op de link klikt, komt u op een informatie die u tijdens uw gekopieerde site terecht en bezoek aan de website hebt bent u een gemakkelijke “phishing”-prooi. Bij phishing ingevoerd. Ook uw wachtDAN OFFLINE-WINKELS woord wordt er bewaard, zij komen oplichters persoonlijke BRON: BECOMMERCE; FOD ECONOMIE het in gecodeerde vorm. gegevens, zoals gebruikersnaam en wachtwoord, te Iemand met toegang tot de weten door zich voor te doen als uw vertroudatabank heeft meteen ook toegang tot alle weling (een bekende site in dit geval). gegevens die in die databank zijn opgeslagen. Ook op de website van Test-Aankoop hebben U kunt het vergelijken met een hotel waarin we een “open redirect”-lek gevonden. We u een kamer hebt met een persoonlijke sleutel, en de manager van het hotel een loper verkopen praktische gidsen op onze site en verzamelen persoonlijke info (zoals uw heeft waarmee hij alle deuren kan openen.
6 MILJOEN BELGEN
7
5000 2020
MEER ONLINE
7 T ES T C O N N E C T #01
energieverbruik en leverancier). Ons webteam is dan ook meteen in actie geschoten nadat wij hen op de hoogte hadden gebracht. Ondertussen is het probleem verholpen.
DICK SNEL Zaakvoerder van het beveiligingsbedrijf Onvio en ethische hacker
Wat doet een ethische hacker? Een ethische (of “white hat”) hacker probeert in opdracht van derden in te breken in systemen met als enige doel de beveiliging te verbeteren. Hij gebruikt hiervoor dezelfde middelen en technieken als een kwaadwillige (“black hat”) hacker. Die laatste zal echter inbreken om schade aan te richten: imagoschade aan de website, afpersing van hun eigenaar of misbruik van gestolen gegevens. Hoe blijven jullie op de hoogte van de nieuwste technieken? Onder meer via collega’s die voor grote bedrijven werken en door congressen te volgen. Daarnaast gaan we op de site van andere beveiligingsspecialisten de werking van nieuwe virussen na. Die leiden immers vaak naar kwetsbaarheden die ook hackers kunnen misbruiken. Verder volgen we fora en sites zoals exploit-db. com waar lekken het eerst worden gemeld.
BEHEERDER GEHACKT Nog opvallender is dat maar liefst 33 sites (donkergrijs in tabel) kunnen worden gehackt via het zogenaamde XSS-lek (cross site scripting). Ook hierbij wordt gewerkt met een gemanipuleerde link, maar is de hack verregaander en meer gesofisticeerd. U wordt immers niet naar een andere website geleid, maar komt gewoon op de reguliere webshoppagina terecht. Wat u niet ziet, is de extra code die hackers aan de website hebben toegevoegd. Daarmee installeren ze malware op uw pc of nemen ze in het ergste geval uw sessie vanop afstand over zonder zelfs het wachtwoord te moeten kennen. Vaak zijn ook beheerders van sites hier kwetsbaar voor. Zo kan een hacker zich voordoen als een klant die hulp nodig heeft. Als de beheerder op de bijhorende link klikt, dan kan de hacker zijn sessie overnemen. Het hacken van een beheerdersaccount is natuurlijk het meest interessant, omdat men dan vaak met klantgegevens aan de haal kan gaan. De beheerders van Amazon en Coolblue detecteerden dit lek automatisch door ons onderzoek en hebben het zonder onze tussenkomst na een paar dagen gedicht. VOLLEDIG KLANTENBESTAND Bij één webwinkel, aanbiedingensite Outspot, verkrijgen we toegang tot een lijst met klachtenmails (inclusief e-mailadressen) van klanten die naar Outspot mailden. Nog frappanter zijn de resultaten bij twee
andere webshops: online-apotheek Farmaline en boekhandel Proxis. Alle klantgegevens liggen er gewoon voor het grijpen. Door grove nalatigheid in het afschermen van hun database kunnen we het volledige klantenbestand en al hun bestellingen downloaden.
PRIVACYCOMMISSIE Het feit dat een groot deel van de onderzochte sites zo gemakkelijk te hacken is, doet vragen rijzen over het wettelijk kader rond online privacy. In België waakt de Privacycommissie over uw digitale anonimiteit. Iedereen die gevoelige informatie (met betrekking tot gezondheid, politieke en sociale voorkeur) opslaat, is verplicht een dossier in te dienen waarin wordt verklaard op welke manier de veiligheid van de gegevens is gegarandeerd. Hoe moeilijk dit is in de praktijk, blijkt uit de voorbeelden van Farmaline en Proxis. Beide hebben een dossier ingediend bij de Privacycommissie en stellen op hun site dat de gegevens van de klant veilig zijn. Toch vinden we bij Proxis onder meer oude bestellingen van onze redacteurs terug. Nog straffer: bij Farmaline kunnen we ons – voor de gelegenheid aangemaakte – profiel volledig lezen, inclusief medische voorgeschiedenis. KEURMERKEN NIET VEILIGER Naast een privacyverklaring etaleren een aantal webshops ook een keurmerk. Sommige van de keurmerken die we tegenkomen, stellen technische eisen aan hun leden met betrekking tot de beveiliging van hun webwinkel, en niet enkel van het betaalverkeer. Desondanks zijn er in onze test evenveel veiligheidsproblemen bij
KEURMERKEN Een groot deel van de onderzochte webshops draagt een keurmerk. Dit betekent echter niet dat de veiligheid van de klantgegevens is gegarandeerd.
8 T ES TC O N N E C T #01
VEILIGHEID WEBSHOPS INZICHT
HELFT WEBSHOPS GEBUISD
Onze selectie is gebaseerd op de BeShopping top 100 van de meest relevante webwinkels voor België. Het beveiligingsonderzoek vond plaats in juli/augustus 2015. De webshops zijn gerangschikt van uitgesloten (zwart) naar goed (groen).
esprit.be outspot.be
● ●
amazon.com asadventure.com
●
baby-walz.be ●
base.be bax-shop.nl
●
blokker.be
eurocenter.be exellent.be
●
futurumshop.nl
eldi.be
groupon.be
kruidvat.be
hema.be ●
inno.be
●
nike.com
kleertjes.com
●
pabo.be
krefel.be
photobox.be
●
laredoute.be
pixmania.be
●
lego.com
conrad.be
●
smartphoto.be
coolblue.be
●
ticketmaster.be
mediamarkt.be
dmlights.be
vikingco.com
neckermann.com
drive.be
wijnvoordeel.be
●
peterhahn.be
dx.com
123inkt.nl
●
pizza.be
fnac.be
albelli.be
just-eat.be
alternate.be
klingel.be
selexion.be ●
materiel.net
● ●
artencraft.be asos.com
●
redcoon.be
●
rueducommerce.fr showroomprive.be spartoo.be
medion.com
blancheporte.be
●
spreadshirt.be
nespresso.com
bol.com
newpharma.be
●
●
proximus.be
●
●
●
priceminister.com
bartsmit.com
lensonline.be
●
massimodutti.com
apple.com
leenbakker.be
●
mobistar.be
●
●
●
ibood.com
bpost.be
kinepolis.be
●
fotokonijnenberg.be
banden-pneus-online.be
large.be
auto5.be bakker-be.com
torfs.be unigro.be
proxis.com 3suisses.be
●
teleticketservice.be
farmaline.be
●
brantano.be
●
telenet.be
●
vandenborre.be
● ●
pharmaclic.be
c-and-a.com
vente-exclusive.com
phonehouse.be
collectandgo.be
yoox.com
pixum.be
collishop.be
yves-rocher.be
● ●
●
decathlon.be
zalando.be
sherpa.be
delhaize.be
zara.com
snapstore.be
dreamland.be
zazzle.be
replacedirect.be
UITGESLOTEN: Zeer ernstig lek met directe toegang tot gegevens.
MATIG: “Open redirect”-lek en/of wachtwoorden worden niet/slecht beveiligd verstuurd.
SLECHT: Ernstig lek. Mogelijkheid om sessies van gebruikers of beheerders over te nemen of de website aan te passen.
GOED: Geen lekken uit OWASP top 10.
● De webwinkel beschikt over een of meer Belgische of Nederlandse kwaliteitslabels (BeCommerce, Unizo e-commerce, SafeShops.be, Trusted e-shops, Qshops, Emota of Thuiswinkel Waarborg). 9 T ES T C O N N E C T #01
INZICHT VEILIGHEID WEBSHOPS
STRENGERE CONTROLE VEREIST De consument kan dan wel voorzichtig zijn, er is méér nodig om hem voldoende te beschermen. Niet alleen houdt de helft van de geteste webwinkeliers te weinig rekening met de veiligheid, maar ook blijkt de controle in de praktijk niet te voldoen. Nochtans zouden goed beveiligde shops net dat duwtje in de rug kunnen betekenen voor de Belgische onlineverkoop die achterop hinkt in vergelijking met de buurlanden. We hebben de webwinkels met problemen en de Privacycommissie op de hoogte gebracht van ons onderzoek. Daarnaast pleiten we voor strengere controle en vooral meer concrete eisen. Door bv. rekening te houden met de bepalingen die de OWASP (onafhankelijke internationale organisatie die de softwareveiligheid wil verbeteren) heeft vastgelegd of door verplicht al het gevoelige verkeer via een beveiligde (HTTPS) verbinding te laten verlopen. De overheid heeft zelf mee de sleutels in handen voor een betere bescherming van de Belgische internetshopper.
webwinkels mét als bij webwinkels zonder keurmerk. Hebben die keurmerken dan wel een nut? De meeste garanderen dat de webwinkel die het keurmerk draagt een erkende gedragscode ter bescherming van de consumentenrechten respecteert. Dit gaat dan meestal om afspraken rond het geven van correcte informatie over prijzen en procedures, het beschikken over een klachtenprocedure en het respecteren van de wettelijke bepalingen. Vaak is er ook een methode van geschillenoplossing voorzien. Een goed gerund keurmerk dat zijn leden opvolgt, kan dus zeker een meerwaarde betekenen. Controleer steeds of de drager van een keurmerk effectief als lid vermeld staat op de website van het keurmerk. Lees ook na wat het precies inhoudt.
WAT KAN IK ZELF DOEN? Het gros van de geteste webshops ziet uw veiligheid niet als prioriteit. Daarom neemt u beter zelf enkele voorzorgsmaatregelen. Regel nummer één is: gebruik een apart wachtwoord voor elke webshop. En houd daarbij vooral het wachtwoord van uw e-mailadres volledig uniek. Een hacker met toegang tot uw mailbox kan veel schade aanrichten.
»
» Vermijd dat hackers uw internetverbin-
ding kunnen bespieden. Pas dus extra op met online shoppen via een verbinding die niet gekend is (in hotels of publieke ruimtes). En beveilig uw thuisnetwerk met een wachtwoord.
»
Naast de installatie van een goede virusscanner, is het belangrijk dat uw besturingssysteem en tools, zoals Acrobat Reader en Adobe Flash, over de laatste updates beschikken. Een groot deel van die updates zijn immers veiligheidsupdates en gaan vaak verder dan een virusscanner.
»
Veel van de gevonden lekken leiden u naar gekopieerde of gemodificeerde sites van bekende winkels. U kunt vermijden op zulke sites terecht te komen door niet op links naar shops te klikken, maar steeds zelf het webadres van de webwinkel in te typen in de
10 T ES TC O N N E C T #01
adresbalk of het adres op te slaan bij uw favorieten in uw browser.
»
Laat u niet verblinden door al te mooie aanbiedingen. Als iets te mooi lijkt om waar te zijn, is het dat vaak ook en klopt er iets niet.
»
Geef geen gegevens door die niet strikt noodzakelijk zijn en laat de site in kwestie zeker nooit uw kredietkaartgegevens opslaan. De meeste shops werken voor de betaling met externe en beter beveiligde diensten zoals Ogone, PayPal of Sofort Banking. Die webwinkels slaan doorgaans uw gegevens niet op, wat veel veiliger is. Komt u er toch een tegen die niet met dergelijke services werkt, overweeg dan een alternatieve webshop of betaal via bankoverschrijving.
» Houd het mailverkeer met de shops bij.
Dit kan essentieel zijn bij het aankaarten van een geschil.
»
Let erop dat u tijdens het online shoppen via een versleutelde (HTTPS) verbinding werkt. Die is te herkennen aan een groene adresbalk en het icoon van een hangslotje.
»
Wenst u iets te bestellen bij een kwetsbare shop uit onze lijst, informeer dan eerst bij hen of het lek intussen gedicht is. Op die manier helpt u mee de webwinkeliers bewust te maken van de problematiek.
»
Kijk ook steeds uw rekeningafschriften goed na. Twijfelt u over een bepaalde transactie, laat dan uw betaalkaart blokkeren.
EN ALS HET TOCH MISGAAT? Merkt u op dat er onrechtmatig onlinebetalingen met uw gegevens zijn gebeurd, terwijl uw kaart nog in uw bezit is? Bel dan meteen naar Card Stop (070 344 344) om uw kaart te laten blokkeren. Verwittig ook de uitgever van de kaart over de verdachte transactie. Uiteindelijk zult u het gestolen bedrag volledig terugbetaald krijgen. Verwittigt u Card Stop niet, dan draait u zelf op voor alle kosten. Meer info daarover leest u ook in het artikel “Zo krijgt u uw geld terug”, verschenen in B&R 240 van mei/juni 2015.