HIT2000 onderzocht 98 ict-beveiligingsbedrijen die hun diensten of producten in Nederland aanbieden. De conclusie van het gepubliceerde rapport: het is droevig gesteld met de veiligheid van de sites van deze bedrijven, alhoewel ze zelf gespecialiseerd zijn in ict-beveiliging. "Zij zouden veel meer aandacht moeten besteden aan de informatiebeveiliging in hun eigen organisatie", zo stellen de onderzoekers. Slechts 49 procent van de onderzochte sites waren volgens HIT2000 afdoende beveiligd tegen de in het onderzoek gebruikte methode, de overige 51 procent zou 'overtuigend lek' zijn. Gunstige uitzondering Gunstige uitzondering zouden bedrijven zijn die hackers in dienst hebben. Hier is geen enkel lek gevonden. "Kennelijk beschikt men daar wel over de juiste mentaliteit om de hoogste mate van beveiliging na te streven", concluderen het Haarlemse onderzoeksbedrijf dat zelf zijn oorsprong heeft in de hackersscene. Onder de bedrijven met volgens HIT2000 lekke sites behoren bekende namen als Cap Gemini, Cisco, Computer Associates, Compaq, Symantec en RSA Security. HIT2000 noemt het kwalijk dat er veel bedrijven in de lijst voorkomen die software maken als virusscanners, firewalls en encryptietechniek. Fouten bij XS4ALL Verder is een aantal fouten bij XS4ALL ontdekt op het serverparkt dat gebruikt wordt voor de hostingactiviteiten. "Hierbij werd ontdekt dat er meer permissies te verkrijgen waren die het mogelijk maakten om in alle directories te kijken", zo schrijft HIT2000. Hierdoor zouden 'vrij eenvoudig' persoonlijke gegevens zijn achterhaald - naam, adres en woonplaats – bij een door XS4ALL gehoste pornosite. Ook creditcardgegevens waren zo te achterhalen. Bovendien konden bij 'vrijwel alle' door XS4ALL gehoste sites de geheime sleutel (private key) worden achterhaald, waardoor versleuteling geen zin meer heeft. "Een e-commerce site die ervoor kiest om de 'security faciliteiten' van XS4ALL te gebruiken, doet er zeer verstandig aan hiervan af te zien", zo raadt HIT2000 aan. XS4ALL is onbereikbaar voor commentaar.