De systemen van de twee Nederlandse webwinkels staan open, zo ontdekte Scaver, een lezer van WebWereld. Zowel Score.nl als Vitamins.nl heeft verzuimd een beschikbare patch van Microsoft voor een al maanden bekend gat te installeren. Het gaat om de zogeheten Unicode-bug die aanwezig is in Microsofts Internet Information Server (IIS). Door het lek is het mogelijk om op eenvoudige wijze inzicht te krijgen in de structuur van de servers en wat er op staat. Ook is het een fluitje van een cent om bestanden te wijzigen of toe te voegen. Score heeft dertig kledingwinkels in de grote steden van Nederland, maar heeft ook een webwinkel. Deze is lek; iedere gebruiker heeft alle rechten op de gehele c-schijf van de server. Zo is het mogelijk om alles met de aanwezige bestanden te doen. Met iets meer moeite lukte het WebWereld om het certificaat voor veilige webbetalingen te bemachtigen. Dit is normaal gesproken zwaar geheim. Het gaat om een certificaat voor veilige https-betalingen, dat is afgegeven door Thawte Consulting, afdeling Certification Services. Een dergelijk certificaat moet corresponderen met de website, zodat de consument weet dat zijn betaling in veilige handen is. Als iemand het certificaat onderschept, kan de klant ten onrechte de indruk krijgen dat hij met Score heeft te maken. Het gevolg kan zijn dat zijn betaling in verkeerde handen komt. Olaf Zwijnenburg van Score erkent de problemen. "We zijn op de hoogte. Het certificaat is echter gekoppeld aan ons IP-adres. Dat betekent dat het in de praktijk toch vrij lastig is om echt betalingen te onderscheppen. Bovendien zijn we nu hard aan de slag om het probleem op te lossen. Veiligheid heeft bij ons de hoogste prioriteit. De klantgevoelige informatie hebben we ook op een andere server opgeslagen." Ook de site van Vitamins Direct - een online shop voor vitamines en voedingssupplementen – staat open. En ook bij Vitamins Direct kan het certificaat voor veilige betalingen bemachtigd worden. David Gorbach van Vitamins Direct verkeert aanvankelijk in de veronderstelling dat zijn site goed beveiligd is. "Ik heb zelf geen verstand van beveiliging, maar onze site is onlangs nog doorgelicht door een bureau dat ook de beveiliging van UPC heeft bekeken. Bovendien heeft ook de Consumentenbond naar onze site gekeken. Daarbij scoorden we goed in vergelijking met andere internetbedrijven." Navraag bij de technische medewerkers van Vitamins Direct leert echter dat er toch een probleem is. "Het blijkt dat we net onze harde schijf hebben vernieuwd. Daarbij is per ongeluk de patch tegen de Unicode-bug er uit gevallen is. We werken er nu echter hard aan om het probleem op te lossen", aldus Gorbach. Ewald van Kouwen van de Consumentenbond benadrukt dat het Webtrader-logo geen garantie geeft voor de beveiliging van een site. "Webtrader staat niet garant voor de veiligheid van betalingen bij internetwinkels. We hebben niet de technische mogelijkheden om daar iets over te zeggen. Gelukkig zijn er genoeg andere mensen die de veiligheid van internetwinkels in de gaten houden." De Consumentenbond richt zich meer op zaken als de betrouwbaarheid van een winkel. "Zijn ze ook fysiek te bereiken? Leveren ze wel zoals afgesproken? Klopt de prijs? Dat soort vragen stellen we", aldus Van Kouwen. De Consumentenbond is niet van plan te stoppen met het Webtrader-logo nu het voor de zoveelste keer in opspraak komt. "We zijn bezig met een campagne om uit te leggen waar het logo voor staat. Webtrader zegt niks over de inbraakgevoeligheid van een webshop, net zoals het logo ook geen garantie geeft voor de kwaliteit van de geleverde producten."