55 van de 100 webshops kampen met veiligheidslekken. Eén op de vier vertoonde daarbij ernstige tot zeer ernstige problemen. Dat blijkt uit onderzoek van consumentenorganisatie Test Aankoop. "Een teleurstellend en onrustwekkend resultaat", aldus de organisatie die daarom ijvert voor een “responsible disclosure-beleid” dat ethische hackers moet helpen om lekken te melden.
Honderd procent veilig bestaat niet. Toch gaan consumenten er vaak van uit dat de grootste webshops over en goede basisbeveiliging beschikken. Om dat punt te klaren, voerde consumentenorganisatie Test Aankoop een onderzoek bij 100 populaire webshops, een selectie gebaseerd op de BeShopping 100 en haar eigen evaluatie van webshops. Er werd gescand naar veiligheidslekken uit een lijst met de tien meest voorkomende lekken (de zogenaamde OWASP top 10). Resultaat? Bij 55 van de 100 geteste webshops werden problemen vastgesteld, bij 23 daarvan ging het om ernstige lekken, zoals de mogelijkheid om sessies van gebruikers of beheerders over te nemen, of de website aan te passen via phishing. Twee webshops van de 55 vertoonden zeer ernstige lekken. Bij een van die shops was het zelfs mogelijk om toegang te krijgen tot de klantgegevens.
Daling aantal ernstige lekken
Het is niet de eerste keer dat Test Aankoop de beveiliging van webshops test. Zo voerde de organisatie in 2015 eerder al een gelijkaardig onderzoek. In vergelijking met toen is het aantal ernstige problemen afgenomen (25 tegenover 33), maar steeg het totale aantal webshops met problemen wel met 5%. Test Aankoop benadrukt echter dat aanpassingen of vernieuwingen op websites kunnen leiden tot nieuwe lekken.
Gevaren
“Door hun gebrekkige beveiliging bieden webshops cybercriminelen de kans om consumenten in de val te lokken. Een voorbeeld: een hacker die een lek kan uitbuiten om de website aan te passen, kan bijvoorbeeld via een nagemaakt inlog- of betaalscherm gegevens of geld ontfutselen. Of erger nog: een hacker die toegang krijgt tot de databank met klantgegevens heeft alle informatie in handen om een zeer gerichte en overtuigende (spearphishing-)aanval op te zetten, zoals een mail die de consument persoonlijk aanspreekt en verwijst naar een van zijn recente bestellingen”, verduidelijkt Test Aankoop.
Ook deze keer heeft Test Aankoop de betrokken webshops ingelicht om hen tijd te geven om de problemen te verhelpen. Slechts 17 van hen namen echter contact op met de organisatie. Daarnaast bracht Test Aankoop ook de Gegevensbeschermingsautoriteit (GBA) op de hoogte van haar bevindingen.
Nood aan responsible disclosure-beleid
“Door de enorme populariteit van webshops, is een goede beveiliging een absolute prioriteit. Daarnaast is het vandaag geen sinecure om een veiligheidsprobleem aan een webshop te melden. In Nederland maken de overheid, bedrijven en webshops daarom gebruik van een responsible disclosure-beleid om de veiligheid van hun website door ethische hackers te laten testen. Een dergelijke open politiek kan de veiligheid van webshops alleen maar verbeteren en zou dus ook in België de standaard moeten worden”, reageert Test Aankoop.