EuroGezondheid.nl mag dan trots het Webtrader-keurmerk van de Consumentenbond voeren, de technici van de online gezondheidswinkel hebben nagelaten passende veiligheidsmaatregelen toe te passen. Reeds sinds november van dit jaar hebben verschillende crackers door de directories van de site gewandeld, getuige bijvoorbeeld de bestanden 'eeyerulez.asp' en 'eeyerulez.exe' die WebWereld tegenkwam. Hierbij heeft men gebruikgemaakt van een standaard lek in Microsoft Site Server, die toegang geeft tot een DOS-shell. Om toegang te krijgen tot klantgegevens hoeven echter niet eens dergelijke toeren te worden uitgehaald. Verschillende databases staan namelijk in een onbeveiligde directory, waarvan de naam bijzonder voor de hand ligt. Daarnaast staat een oude beheersinterface van de site nog wagenwijd open. SystemAdministrator Via het beveiligingslek wist WebWereld toegang te verkrijgen tot het SystemAdministrator-wachtwoord van de SQL-Server. Hiermee is eenvoudig een koppeling met de database te maken. Het wachtwoord staat voor iedereen zichtbaar op de onbeveiligde admin-sectie van de beheersinterface. Verder kreeg WebWereld toegang tot orders, orderconfirmaties en betalingsdetails. Deze zijn door Bibit afgehandeld, ondermeer voor creditcardmaatschappijen VISA en EuroCard Mastercard. Na koppeling met de in de publiek toegankelijke databases zijn er gedetailleerde gebruikersprofielen af te leiden. Vitamine B6 Zo weet WebWereld bijvoorbeeld dat een klant uit Cadzand via Rabobank Directbetalen voor 11,65 aan vitamine B6 besteld heeft. Ook naam en adres van de vrouw staan vermeld. Het is bepaald niet voor het eerst dat een Webtrader-site fundamentele beveiligingsfouten blijkt te hebben. Bij herhaling heeft de Consumentenbond tegenover WebWereld aangegeven dat het Webtrader-logo geen garantie geeft voor de beveiliging van een site. In de door de bond opgestelde code staat echter: "De aanbieder treft passende technische en organisatorische maatregelen ter beveiliging van de overdracht van persoonlijke informatie en betalingen". Onbereikbaar Dit is overduidelijk niet gebeurd door EuroGezondheid. Bovendien blijkt EuroGezondheid dagenlang telefonisch onbereikbaar. Ook dit lijkt in strijd met de Webtrader-code: "De aanbieder biedt klanten een telefoonnummer en een e-mail adres om zijn Nederlandstalige klantenservice te bereiken." De Consumentenbond is niet van plan te stoppen met het Webtrader-logo. "We zijn bezig met een campagne om uit te leggen waar het logo voor staat. Webtrader zegt niks over de inbraakgevoeligheid van een webshop, net zoals het logo ook geen garantie geeft voor de kwaliteit van de geleverde producten", aldus zei woordvoerder Ewald van Kouwen eerder tegenover WebWereld. EuroGezondheid is onbereikbaar voor commentaar.