focus lekke webshops
Zo lek als een winkel© mandje
test
Dat een webwinkel van de lokale middenstander niet optimaal beveiligd is, is misschien niet opzienbarend. Maar wij troffen bij maar liefst 35% van de 100 grootste webwinkels ernstige lekken aan. Tekst Ronald Kamp ✒
[email protected] Beeld Noma Bar
8 DigitaalGids mei/juni 2015
C
onsumenten worden er regelmatig op gewezen dat ze op hun hoede moeten zijn in de digitale wereld. Maar hoe zit het met webwinkels? Voor hackers is het veel efficiënter om rechtstreeks bij webshops in te breken en in één klap de hele klantendatabase te bemachtigen. De Consumentenbond schakelde daarom beveiligingsbedrijf Onvio in om de veiligheid te onderzoeken van de top 100 webwinkels met de grootste omzet. Tot hun en onze grote verbazing bleek bij maar liefst tweederde (65%) de digitale beveiliging niet op orde. In 35% bleken het ernstige veiligheidslekken. Dick Snel van Onvio: ‘De lekken waarop wij onderzocht hebben, mogen eigenlijk niet voorkomen bij grote webshops. Wij hebben gecheckt op een lijst van 10 kritische en veel voorkomende lekken, die al geruime tijd bekend is.’ Snel voegt er aan toe: ‘Het is verbazingwekkend dat dergelijke grote webshops met een miljoenenomzet de veiligheid niet op orde hebben. Een check kost een bedrijf maar enkele honderden euro’s en het dichten van lekken is meestal weinig werk’.
©
FOCUS lekke webshops
Klantgegevens oprapen
SQL, XSS? SQL-injectie
SQL-injectie is het meest kritische lek. Hackers hengelen dankzij dit lek met speciale zoekopdrachten een hele klantendatabase in één keer binnen. Dit kan gaan om contact- en adresgegevens, rekeningnummers en wachtwoorden.
XSS-lek
©
Een iets minder kritisch lek, maar nog steeds ernstig. Met XSS (cross site scripting) wordt een serie opdrachten (script) aan webpagina’s toegevoegd. Je moet een expert zijn om te zien dat de webpagina niet klopt. De hacker leidt slachtoffers naar de aangepaste pagina via een phishingmail. Daarna kunnen gegevens aan een klant of de websitebeheerder worden ontfutseld.
Wijzer WebWinkelen Deze test is onderdeel van onze campagne Wijzer WebWinkelen; zie ook het nieuwsbericht op pagina 4. consumentenbond.nl/ wijzerwebwinkelen
10 DigitaalGids mei/juni 2015
Bij één webwinkel, 123tijdschrift.nl, onderdeel van uitgeverij Sanoma, kon dankzij het beruchte SQL-injectielek zelfs de complete database met honderdduizenden klantgegevens worden bekeken. Jasper Weijts van Onvio demonstreert ons het lek. Hij heeft eerder een bestelling in de webwinkel geplaatst en vist met ogenschijnlijk gemak alle ingevoerde gegevens er weer uit, van adres tot bankrekening. Hij licht toe: ‘Zoals je ziet kunnen kwaadwillenden met dit lek vrij eenvoudig persoonsgegevens en rekeningnummers binnenhalen. Als ik zou willen, kan ik dit in een paar minuten doen voor alle bestellingen die ooit geplaatst zijn bij deze webwinkel.’ Inmiddels heeft Sanoma het lek gedicht. Het bedrijf laat weten: ‘123tijdschrijft.nl is recent aangekocht en zal verder geïntegreerd worden in het e-commerce platform van Sanoma’. Een positieve ontwikkeling, al vinden wij een aankoop uit 2012 niet heel recent.
Nietsvermoedende klant
Het ernstige lek dat wij bij 41 websites aantroffen, betreft het zogenoemde XSS-lek (zie kader), waarmee kwaadwillenden op verschillende manieren gegevens van consumenten buit kunnen maken, zoals (mail)adres- en bestelinformatie, en soms ook wachtwoorden. Een XSS-lek kan bijvoorbeeld worden gebruikt om een cookie te stelen, een klein bestandje waarin sessiegegevens worden bewaard. Voorwaarde is wel dat de klant eerst op een – op het eerste gezicht veilige – link naar de webwinkel klikt. Maar dat is al snel gebeurd, bijvoorbeeld door nep e-mails te sturen met een zeer laag geprijsd product. Weijts toont ons het lek bij Intertoys.nl, de nummer 17 op de lijst. Weijts: ‘Ik ben nu ingelogd als klant en klik op een door ons aangepaste link naar Intertoys.nl, waar voor een gewone gebruiker niets vreemds aan te zien is.’ Op een tweede computer – van de potentiële kwaadwillende – zien we meteen een bestandje, de cookie, verschijnen. Een paar muisklikken later is de hacker ingelogd als deze klant op Intertoys.nl, zonder dat die iets merkt.
Beheerder gehackt
Misschien nog wel gevaarlijker is dat via dit XSS-lek beheerders van ‘lekke’ webwinkels kunnen worden gehackt. Als criminelen kunnen inloggen als beheerder, kunnen ze in potentie in één keer heel veel klantgegevens buitmaken. Die kunnen dan bijvoorbeeld worden gebruikt voor identiteitsfraude en het versturen van spam. Ook die beheerder moet dan wel eerst verleid worden op een geprepareerde link te klikken, maar dit kan eenvoudig, volgens de beveiligingsexperts bij Onvio. ‘Als je ze als klant een mail stuurt dat je zogenaamd een foutmelding krijgt op een pagina, met de link erbij, dan is de kans groot dat een beheerder op de bijgevoegde link klikt’, geeft Snel als voorbeeld. Nog twee andere manieren waarop een XSS-lek kan worden misbruikt, is het laten downloaden van een virus via de getroffen webwinkel of het automatisch doorsturen naar een andere website wanneer de klant op de bestelknop drukt. In dit laatste geval kan een klant bijvoorbeeld op slinkse wijze worden doorgesluisd worden naar een nagemaakte bankwebsite, met alle gevolgen van dien.
Helft webshops reageert niet
Voor de webwinkels is er dus werk aan de winkel. 100% beveiliging is misschien een illusie, maar de getroffen winkels kunnen het een criminele hacker wel veel moeilijker maken. Na afloop van de veiligheidsscan heeft de Consumentenbond alle webwinkels met kwetsbare lekken op de hoogte gebracht van de aangetroffen lekken en in de gelegenheid gesteld de lekken te dichten. Enkele webwinkels, waaronder ANWB, Beltegoed.nl, Coolblue (o.a. Laptopshop.nl) en Warmteservice.
Bij één webwinkel kon de complete database met klantgegevens worden bekeken.
focus lekke webshops
Th W uisw a Ke ar ink ur bo el m rg er k
l ke in w eb W
ke in w eb W
Th W uis a w Ke ar in ur bo ke m rg l er k ra omngo ze rd tt e op 10 0
l
0 10 ra omngo ze rd tt e op
Th W uis a w Ke ar in ur bo ke m rg l er k
l ke in w eb W
ra omngo ze rd tt e op
10
0
Hoe goed is de beveiliging van de 100 grootste webshops?
1 www.bol.com
✓
33 www.bax-shop.nl
✓
67 www.vanharen.nl
2 www.wehkamp.nl
✓
34 www.4launch.nl
✓
68 www.justeat.nl
2 www.fonq.nl
✓
35 www.wijnvoordeel.nl
✓
69 www.large.nl
3 www.zalando.nl
✓
36 www.hansanders.nl
4 www.laptopshop.nl
✓
37 www.gsmwijzer.nl
✓
71 www.nrclux.nl
5 www.thuisbezorgd.nl
✓
37 www.studentmobiel.nl
✓
72 www.veromoda.nl
6 www.mycom.nl
✓
38 www.klein.nl
✓
73 www.score.nl
✓
6 www.dixons.nl
✓
39 www.dell.nl
✓
74 www.deonlinedrogist.nl
✓
40 www.postnl.nl
✓
75 www.pabo.nl
✓
41 www.centralpoint.nl
✓
76 www.cena.nl
©
7 www.kpn.nl
8 www.hm.com
✓
9 www.ticketmaster.nl
✓ ✓
70 www.telegraafshop.nl
42 www.kwantum.nl
✓
77 www.toplenzen.nl
10 www.hema.nl
✓
42 www.scapino.nl
✓
78 www.tomtom.nl
11 www.otto.nl
✓
43 www.pathe.nl
12 www.mediamarkt.nl
✓
44 www.vente-exclusive.com
12 www.redcoon.nl
✓
✓
✓
79 www.worldticketshop.nl
✓
80 www.assem.nl
✓
45 www.azerty.nl
81 www.drogisterij.net / m.drogisterij.net
✓
13 www.vodafone.nl
46 www.dominos.nl
82 www.replacedirect.nl
✓
14 www.t-mobile.nl
47 www.bodyenfitshop.nl
83 www.lensway.nl
✓
15 www.eventim.nl
48 www.omoda.nl
✓
84 www.sanitairwinkel.nl
✓
16 www.nespresso.nl
49 www.bcc.nl
✓
85 www.warmteservice.nl
✓
86 www.babypark.nl
✓
87 www.hunkemoller.nl
✓
88 www.bever.nl
✓
✓
17 www.blokker.nl
✓
50 www.beltegoed.nl
17 www.intertoys.nl
✓
51 www.kijkshop.nl
18 www.bva-auctions.com
✓
52 www.gsmweb.nl
19 www.conrad.nl
✓
53 www.newyorkpizza.nl
20 www.phonehouse.nl
✓
54 www.123tijdschrift.nl
90 www.azalp.nl
✓
21 www.vd.nl
✓
54 www.autotrader.nl
91 www.routershop.nl
✓
22 www.debijenkorf.nl
✓
55 www.albelli.nl
91 www.wifishop.nl
✓
23 www.123inkt.nl
✓
56 www.kleertjes.com
✓
92 www.fleurop.nl
✓
24 www.bobshop.nl
✓
57 www.opwaarderen.nl
✓
93 www.kixx.nl
✓
24 www.scheerenfoppen.nl
✓
58 www.futurumshop.nl
✓
94 www.flinndal.nl
✓
25 www.anwb.nl
✓
59 www.greetz.nl
✓
95 www.voetbaldirect.nl
✓
60 www.klingel.nl
✓
96 www.kinderkleding-tekoop.nl
✓
61 www.bandenshop.nl
✓
97 www.menatwork.nl
61 www.winterbanden.nl
✓
98 www.wefashion.nl
✓
63 www.jeansonline.nl
✓
99 www.travelbags.nl
✓
30 www.intersport.nl
64 www.badkamermarkt.nl
✓
100 www.yves-rocher.nl
✓
31 nl.neckermann.com
65 www.webprint.nl
✓
32 www.ibood.nl
66 www.managementboek.nl
✓
26 www.alternate.nl 27 www.paradigit.nl
✓
28 www.apple.nl 29 www.cameranu.nl
zeer slecht: SQL-lek en XSS-lek aanwezig goed: geen lekken uit OWASP top-10.
✓
slecht: XSS-lek aanwezig
✓ ✓
89 www.plutosport.nl
matig: Alleen minder kritische lekken uit OWASP top-10
De beveiligingscheck vond plaats in maart/april 2015. Webwinkels zijn getest op 10 bekende lekken (OWASP top-10). De webwinkelselectie is gebaseerd op de Twinkle top-100 met de 100 webretailers met de grootste omzet. Als het bedrijf uit meerdere (kleinere) webwinkels bestaat, hebben we er meestal 2 op lekken gecheckt. * Drogisterij.net is niet als rood gemarkeerd, ondanks de aanwezigheid van zowel een XSS- als SQL-lek. Het SQL-lek was door kwaadwillenden namelijk niet zo makkelijk te misbruiken als bij 123tijdschrijft.nl. HiM (nummer 62) is geschrapt uit de lijst omdat deze winkel is verkocht aan andere partijen.
mei/juni 2015 DigitaalGids 11
focus lekke webshops
Hoe werkt zo’n lek? Hackers Jasper Weijts en Dick Snel lichten in een video het onderzoek toe en laten zien hoe ernstige lekken in webwinkels kunnen worden misbruikt. consumentenbond.nl/ veiligheidwebwinkels
©
nl, reageerden vlot en verhielpen de ernstigste lekken binnen een dag. Onder andere Coolblue en T-Mobile gaven aan dat ‘klantdata op geen enkel moment in gevaar is geweest’. De XSS-lekken konden echter wel degelijk misbruikt worden. De meeste bedrijven die reageerden op de gevonden lekken, pakten het positief op. Ze zagen onze scan veelal als aanleiding de technische veiligheid beter in het oog te houden, en zegden toe de lekken te zullen dichten. Teleurstellend is dat bijna de helft van de webwinkels met een ernstig lek niet reageerde op onze bevindingen. Maurice Wessling, campagneleider Digitaal van de Consumentenbond: ‘Het is vreemd dat je niet reageert als iemand je wijst op een lek in je webwinkel. Dat schept weinig vertrouwen. Misschien moeten we deze test volgend jaar herhalen.’
Keurmerk niet veiliger
De vraag is natuurlijk: hoe kun je als consument inschatten of een webwinkel je gegevens goed beschermt? Met een webshopkeurmerk? Thuiswinkel Waarborg is het enige keurmerk dat behalve garanties rondom betrouwbaarheid en klachtenafhandeling ook zekerheden belooft op het gebied van technische veiligheid. Op de website valt te lezen dat ‘de systemen van aangesloten webwinkels beveiligd horen te zijn tegen inbraak, virussen en andere aanvallen’. Driekwart van de winkels in de top-100 draagt dit keurmerk, maar ze scoren niet beter dan webwinkels zonder dit keurmerk. Bij ruim 35% vonden we een ernstig lek. Thuiswinkel Waarborg is verbaasd: ‘Uit onze eigen jaarlijkse scans blijkt dat er bij 15% van de leden een lek aanwezig is’. De melding over zekerheden is inmiddels van de website verwijderd. Over webwinkelkeurmerken die beloften aan consumenten doen over veiligheid zegt Wessling: ‘Een keurmerk moet iets toevoegen, boven het gemiddelde uitsteken. Het keurmerk, en de webwinkels die het voeren, moeten hun claim voor veiligheid gaan waarmaken.’
12 DigitaalGids mei/juni 2015
Bijna de helft van de webwinkels met een ernstig lek reageerde helemaal niet. Thuiswinkel Waarborg zegt druk bezig te zijn de veiligheid van de leden op een hoger niveau te krijgen: ‘We zijn op de goede weg, en er is al duidelijk verbetering te zien.’
Dit kun je wél doen
Gelukkig kun je als consument wel wat doen om schade te beperken als je gegevens zijn buitgemaakt. Bij veiligheidslekken worden naast persoonlijke gegevens regelmatig ook wachtwoorden buitgemaakt. Veel mensen gebruiken hetzelfde wachtwoord voor meerdere websites of emailaccounts. Vooral het mailaccount is een goudmijn voor criminelen: vaak zijn er bijvoorbeeld scans van paspoorten en creditcards in de verzonden e-mails te vinden. Gebruik daarom verschillende wachtwoorden voor de belangrijkste zaken als banksites en e-mail of laat dit doen door een wachtwoordmanager. Houd daarnaast Windows, programma’s en (browser)aanvullingen zoals Adobe Flash en Adobe Reader up-to-date. Een bijgewerkte en beveiligde pc verkleint de kans dat hackers via een lek in uw computer kunnen doordringen.
Consumentenbond ook lek
We hebben ook de webshop van de Consumentenbond gescand op veiligheidslekken. Ook daar troffen we een XSS-lek aan. Dat is inmiddels gedicht. Ron Visser, hoofd IT: ‘Vanuit de Consumentenbond doen wij er alles om dit op orde te hebben. Naast de veiligheidschecks die we al uitvoeren, zullen we ook bij aanpassingen aan de website nog beter letten op mogelijke kwetsbaarheden’.
HOE HERKEN JE DIGITALE ZAKKENROLLERS? De Digitaalgids geeft je slimme tips en trucs om voortaan elke digitale uitdaging op te lossen. Kennismaken? Nu 6 nummers voor €17
© NU MET 50% KORTING
consumentenbond.nl/kioskdigitaal