Zeker twaalf webwinkels met officieel keurmerk hebben hun databases open staan voor buitenstaanders. Hierdoor zijn persoonlijke gegevens van webshoppers toegankelijk. Dit meldt NRC Handelsblad op basis van onderzoek dat het heeft laten uitvoeren. Het dagblad heeft beveiligingsbedrijf DigiSafe in de arm genomen voor deze securitysteekproef.

Klantendatabases zichtbaar

Hierbij zijn zestig webwinkels willekeurig geselecteerd om daarvan de beveiliging te beproeven. Het gaat om webwinkels die zijn gecertificeerd met een van de drie grote keurmerken, meldt NRC: thuiswinkel.org, keurmerk.info en qshops.org. Van elk daarvan zijn twintig aangesloten webshops onder de loep genomen.

Dertig websites van de onderzochte e-commercebedrijven blijken lekken te bevatten. "Bij één op de vijf sites is de klantendatabase voor hackers zichtbaar", meldt NRC. Het gaat om kwetsbaarheden waarbij de gebruikte database kan worden gemanipuleerd via SQL-injectie.

Keurmerken zelf ook lek

Niet alleen de gecertificeerde webshops blijken lek, ook de keurmerken zelf hebben gaten. Volgens NRC zijn de websites van de webwinkelkeurmerken zélf vaak ook onveilig. Digisafe heeft de sites van dertien keurmerken onderzocht, waarvan er acht hun zaken niet op orde blijken te hebben.

"Slechts vijf hebben een website zonder beveiligingslekken", aldus de krant. Volgens Digisafe is de beveiliging bij een aantal keurmerken zo slecht dat de gegevens van de aangesloten bedrijven zó toegankelijk zijn voor buitenstaanders. Overigens heeft DigiSafe zelf begin dit jaar een eigen keurmerk voor digitale veiligheid gelanceerd, meldt Emerce.

Lektober

Dergelijke basale beveiligingsfouten kwamen eind 2011 al massaal aan het licht tijdens Lektober. Webwereld riep toen oktober uit tot de maand van het privacylek en bracht daarbij veel lekken aan het licht. Daaronder grote gaten in de systemen van diverse organisaties, waaronder naast DigiD en vele gemeenten ook webwinkels. Het keurmerk Thuiswinkel Waarborg heeft toen aangekondigd aanvullende eisen te willen stellen.

Begin 2012 had het lekken van webwinkel Babydump.nl nog flinke gevolgen. Een hacker had toen uit de buitgemaakte klantgegevens KPN-klanten gefilterd en claimde dat telecombedrijf te hebben gehackt. De geopenbaarde login-gegevens bleken overeen te komen met logins voor KPN-diensten. Dat heeft KPN gedwongen tot drastische maatregelen, zoals het afsluiten van de toegang voor kwetsbare klanten.

Lange weg te gaan

In oktober 2012 bleek er veel verbeterd te zijn, maar nog niet genoeg. Vooruitgang is in dat eerste jaar sinds het bekroonde Lektober geboekt door de Nederlandse overheid, maar minder - of zelfs niet - bij het bedrijfsleven. Bovendien was de overheid nog altijd traag wat betreft het verbeteren van de ict-beveiliging én het reageren op security-incidenten.