Ruim 10 procent van de Thuiswinkel-leden heeft een lekke site. Dit blijkt uit een onderzoek dat in twee dagen is uitgevoerd door de 17-jarige ict-student Daniël Heesen. Hij is door het grote lek in CheapTickets.nl nieuwsgierig geworden naar de veiligheid van andere webwinkels. Hij vroeg zich af hoeveel lekke websites er zijn onder de bedrijven die het Thuiswinkel Waarborg-certificaat dragen.

CheapTickets.nl, dat de gegevens van 715.000 klanten heeft gelekt, draagt dat keurmerk ook. Die prijsstunter voor vliegtuigtickets was al niet de enige: ook een webshop voor concertkaartjes bleek te lekken. Maar er lekt meer onder webwinkels.

XSS, SQL-injectie

In totaal prijkt de Thuiswinkel-waarborg op 1200 websites, waarbij het ledenbestand is ontdaan van doublures en met weglating van niet-werkende websites. Op 143 daarvan heeft de student nu xss-lekken (cross-site scripting) gevonden. Daarmee kunnen kwaadwillenden de lekkende webwinkels voorzien van eigen pagina's, informatie of programmacode waardoor winkelbezoekers gevaar lopen.

Daarnaast heeft de student bij 18 van de 1200 websites ontdekt dat die kwetsbaar zijn voor SQL-injectie aanvallen. Daarmee kan een kwaadwillende eigen commando's geven aan de achterliggende database van een website. De inhoud - al dan niet geheel - van zo'n database kan daarmee worden buitgemaakt.

2 dagen werk

Deze lekken zijn gevonden in vele kleine en ook enkele grote webwinkels Het lekkenonderzoek is eind vorige week in twee dagen uitgevoerd. Daarna is Thuiswinkel.org afgelopen weekend geïnformeerd. Directeur Wijnand Jongen zegt tegen Webwereld dat hij maandagavond op de hoogte is gesteld. Vervolgens heeft de brancheorganisatie de betreffende bedrijven ingelicht.

“We hebben dinsdagochtend de lekken aan de webwinkels gemeld, met de url's en wat uitleg: wat het lek betekent en wat xss en SQL-injectie is. Onze leden zijn namelijk meestal ondernemers, die de bouw van hun sites uitbesteden."

Onderzoeksrapport

De hacker heeft zijn bevindingen verwerkt in een rapport, dat vandaag wordt vrijgegeven. “Door het schrijven van dit rapport heb ik onder andere ontdekt dat 11,9% van alle websites die het Thuiswinkel Waarborg-certificaat hebben nog lek zijn." Dat percentage betreft de ontdekte xss-lekken.

De SQL-lekken zitten in 1,5 procent van de 1200 webwinkels. “Sommige hebben zelfs ook nog het McAfee-certificaat. Websites van grote namen waar lekken in zitten zijn bijvoorbeeld: V&D, Kruidvat, Marskramer, BCC, Belcompany en Nemo."

Snel reageren

Één van de getroffen webwinkels heeft zelf alvast contact opgenomen met Webwereld. Online-warenhuis Ardeau meldt dat het lek is gedicht. “Dit probleem is inmiddels opgelost, en wij hopen dat u onze website www.ardeau.nl opnieuw wil beoordelen. Zou u vervolgens bij een goede beoordeling, ons uit de lijst van a.s. donderdag kunnen halen?"

Andere getroffen webwinkels konden tegenover Webwereld nog niet reageren op de aangemelde lekken. Zo laat de woordvoerster van V&D weten dat het concern bezig is met een reactie op de vragen van Webwereld.

Thuiswinkel.org-directeur Wijnand Jongen verzekert wel dat alle betreffende leden zijn benaderd. Het merendeel heeft feedback gegeven en actie ondernomen. “De rest is nagebeld." Woensdagmiddag om 13:00 heeft meer dan de helft van de webwinkels de lekken gedicht, aldus Jongen. “Ik ga er vanuit dat het overgrote merendeel morgen [donderdag - red.] ook gedicht is."

Update:

V&D heeft Webwereld nog een formele reactie gegeven: "Bedankt voor het signaleren van het lek. We hebben het lek binnen 12 uur onderzocht, getest en opgelost."

Het concern meldt ook dat het zelf "regelmatig scherpe controles" laat uitvoeren. "Deze controle vindt plaats na grotere aanpassingen op onze site en deze controle is bijna afgerond." Verder zegt V&D de eigen controles nu te hebben aangescherpt.