Ook "ernstige lekken" vastgesteld bij online-apotheken

Test-Aankoop: helft webwinkels niet goed beveiligd

Test-Aankoop: helft webwinkels niet goed beveiligd

Foto: ss

De helft van de webwinkels kampt met ernstige beveiligingsproblemen. Dat meldt Test-Aankoop na een test van de 100 meest bezochte webwinkels in België. Bij drie van de onderzochte webwinkels lagen de klantengegevens zelfs zomaar voor het grijpen. Wij geven alvast enkele tips hoe u uzelf beter kan beschermen.

In 2014 shopten liefst zes miljoen Belgen online, stelt de consumentenorganisatie. "Dit jaar zullen de Belgen in totaal zeven miljard euro uitgeven online", zegt woordvoerder Simon November. "Elk jaar komen er liefst 5.000 webshops bij. Tegen 2020 zullen er meer online dan offline winkels zijn."

Achterdeur staat open

Een trend die het ons als consument makkelijker moet maken, maar één die ook gevaren met zich meebrengt. “Webwinkels vormen vaak het doelwit van personen met slechte intenties die uit zijn op de gegevens van duizenden consumenten”, aldus November. "Want uw eigen wachtwoord mag immers nog zo sterk zijn: het heeft geen zin om de voordeur te sluiten als u de achterdeur laat openstaan."

Daarom deed de consumentenorganisatie een onderzoek naar de beveiliging van webwinkels. De 100 meest bezochte webwinkels in België werden getoetst aan de tien meest voorkomende veiligheidslekken, de OWASP top 10.

Bekende namen

Van de 100 sites die Test-Aankoop in de loop van augustus 2015 onderzocht, was slechts de helft geslaagd voor de veiligheidstest. “Een deel van de webshops beheerde wachtwoorden op een slechte manier of bleek een gemakkelijke prooi voor phishing. Bij liefst 33 sites troffen we een lek aan waarmee hackers malafide software op de pc van klanten kunnen installeren of hun shopsessies vanop afstand kunnen overnemen. Het volstaat daarbij om de klant op een gemanipuleerde link te laten klikken. Bij drie van de onderzochte sites was zelfs directe toegang mogelijk tot de gegevens van de klanten”, aldus November. Zo was bij één site, Outspot.be, het mailverkeer tussen de helpdesk en de klanten publiek toegankelijk.

Bij de 33 webshops met een "ernstig lek" zijn een aantal zeer bekende namen bij. Zo denken we vooral aan amazon.com, asadventure.com, blokker.be, bpost.be, coolblue.be, fnac.be, kinepolis.be en sherpa.be. "Nadat we hen op de hoogte brachten, hebben de beheerders van Amazon en Coolblue hebben het lek wel meteen gedicht", aldus Test-Aankoop.

"Meteen opgelost"

Jeroen Van Camp, woordvoerder van Coolblue: “Test-Aankoop berichtte dinsdag over een veiligheidslek bij Coolblue. Bij navraag bleek dat het hier over een XSS-kwetsbaarheid ging die al in augustus - meteen na ontstaan - door de eigen beveiligingsscans van Coolblue werd ontdekt en onmiddellijk door Coolblue gedicht werd. Er is dus geen sprake van een beveiligingslek."

"Coolblue geeft de hoogste prioriteit aan de beveiliging van klantendata en voert daarom op continue basis scans en tests uit om te waarborgen dat de beveiliging van de websites aan de hoogste kwaliteitseisen voldoen", aldus Van Camp. "Zo is dit issue op tijd gevonden en gedicht."

Phishing

"Ook op onze eigen site vonden we een zogenaamd open redirect-lek", luidt het bij Test-Aankoop. "Daarbij is het mogelijk om de link naar de site te manipuleren en te misbruiken. Voor u lijkt er niets aan de hand, maar in feite komt u op een gemodificeerde website terecht en bent u een makkelijke phishing-prooi. Maar ons webteam is meteen in actie geschoten en ondertussen is het probleem verholpen."

Bekijk in onderstaande tabel de resultaten van het onderzoek van Test-Aankoop bij 100 webwinkels:

  • Uitgesloten: Zeer ernstig lek met directe toegang tot gegevens
  • Slecht: Ernstig lek. Mogelijkheid om sessies van gebruikers of beheerders over te nemen of de website aan te passen.
  • Matig: 'Open redirect'-lek en/of wachtwoorden worden niet/slecht beveiligd verstuurd.
  • Goed: Geen lekken uit OWASP top 10.

Ook online-apotheken betrokken

Test-Aankoop lichtte ook de beveiliging door van de 71 online-apotheken die in België erkend zijn. Ook hier kwam de consumentenorganisatie tot alarmerende bevindingen. Meer dan een derde vertoonde ernstige veiligheidslekken en bij vijf apotheken bleken die "zeer ernstig".

Van de vijf online-apotheken met zeer ernstige lekken heeft tot op heden alleen Farmaline de nodige maatregelen getroffen, meldt de consumentenorganisatie. De vier andere betrokken online-apotheken, namelijk deapotheekonline.be, pharmaciesmits.be, pharmonet.be en apotheekvanballaer.be, hebben het probleem nog niet opgelost.

Over welke gegevens gaat het?

Webwinkels bewaren al uw gegevens in hun databank. "Uw naam, geboortedatum, e-mailadres, postadres, welke aankopen u deed in de welke, in sommige gevallen uw betaalkaartgegevens en verder alle mogelijke informatie die u tijdens uw bezoek hebt ingevoerd", aldus het rapport van Test-Aankoop. "Ook uw wachtwoord wordt bewaard, zij het in gecodeerde vorm."

Wat kan u zelf doen?

De consumentenorganisatie geeft meteen ook enkele voorzorgsmaatregelen mee voor u als gebruiker:

  • Gebruik een apart wachtwoord voor elke webshop. En houd daarbij vooral het wachtwoord van uw e-mailadres volledig uniek.
  • Vermijd dat hackers uw internetverbinding kunnen bespieden. Pas dus extra op met online shoppen via een verbinding die niet gekend is (in hotels of publieke ruimtes). En beveilig uw thuisnetwerk met een wachtwoord.
  • Installeer een goede virusscanner en zorg ervoor dat uw besturingssysteem en tools, zoals Acrobat Reader en Adobe Flash, over de laatste updates beschikken.
  • U kunt vermijden op gemodificeerde sites terecht te komen door niet op links naar shops te klikken, maar steeds zelf het webadres van de webwinkel in te typen in de adresbalk.
  • Laat u niet verblinden door al te mooie aanbiedingen. Als iets te mooi lijkt om waar te zijn, is het dat vaak ook en klopt er iets niet.
  • Geef geen gegevens door die niet strikt noodzakelijk zijn en laat de site in kwestie zeker nooit uw kredietkaartgegevens opslaan.
  • Houd het mailverkeer met de shops bij. Dit kan essentieel zijn bij het aankaarten van een geschil. 
  • Let erop dat u tijdens het online shoppen via een versleutelde verbinding (HTTPS) werkt. Die is te herkennen aan een groene adresbalk en het icoon van een hangslotje.
  • Kijk ook steeds uw rekeningafschriften goed na. Twijfelt u over een bepaalde transactie, laat dan uw betaalkaart blokkeren.

Wat moet de overheid doen?

De consumentenorganisatie eist een strengere overheidscontrole op de beveiliging van de webwinkels. “De consument verdient namelijk een betere bescherming wanneer hij zijn aankopen online doet”, benadrukt de woordvoerder van Test-Aankoop. "Daarnaast pleiten we vooral voor meer concrete eisen, door bijvoorbeeld al het gevoelige verkeer door een beveiligde verbinding te laten verlopen."

Zowel de betrokken sites als de Privacycommissie werden al op de hoogte gebracht van de resultaten. Bij de Privacycommissie benadrukken ze dat iedere webwinkel zelf verantwoordelijk is voor de veiligheid van hun site. Als ze niet in orde zijn riskeren ze vervolging voor het gerecht.

Corrigeer

IN HET NIEUWS

Verkiezingen in jouw gemeente:

POPULAIRE VIDEO'S

Het beste van Enkel voor abonnees