Bij best veel winkeltjes kan de hacker jatten

Online winkelen // Webwinkels hebben hun beveiliging niet altijd op orde Terwijl de bestedingen via thuiswinkelsites hard groeien Een keurmerkcertificaat geeft geen veiligheidsgarantie

De site van webwinkel parfum.nl ziet er betrouwbaar uit. De URL-balk kleurt groen, rechts verschijnt een klein slotje, en links https:// – een veilige verbinding dus*. Bovenaan de homepage schreeuwt een groene banner van het ‘Thuiswinkel waarborg’: parfum.nl won in 2011 de publieksprijs voor beste webwinkel in de categorie persoonlijke verzorging.

Dat zal wel goed zijn, toch?

Nee. Parfum.nl, waar jaarlijks duizenden Nederlanders een luchtje bestellen, was tot voor kort lek. Klantgegevens – naam, adres, telefoonnummer, e-mail, versleuteld wachtwoord – lagen voor hackers voor het oprapen. Voor deze publicatie heeft nrc.next parfum.nl gewezen op het lek, dat in ieder geval sinds 2009 aanwezig was. Inmiddels heeft de webshop het lek gedicht. Of er klantgegevens zijn ingezien is onbekend.

Vandaag blijkt uit de halfjaarlijkse Thuiswinkel Markt Monitor dat de omzet van de 30.000 tot 40.000 Nederlandse webwinkels vorig jaar, na het record van 9 miljard euro in 2011, opnieuw is toegenomen. Naar 9,8 miljard euro – ondanks de recessie. Maar hoe veilig is online winkelen eigenlijk?

Een keurmerk geeft geen garantie

Beveiligingsbedrijf Digisafe uit IJsselstein onderzocht in opdracht van nrc.next de veiligheid van thuiswinkelsites, die zijn aangesloten bij de drie grote webwinkelkeurmerken: thuiswinkel.org, keurmerk.info en qshops.org, door middel van een (niet-representatieve) steekproef.

Wat blijkt: van de zestig willekeurig gekozen websites (twintig per keurmerk) die Digisafe bekeek bevat de helft beveiligingslekken. Bij één op de vijf sites is de klantendatabase voor hackers zichtbaar (een zogenoemd SQL-lek).

Daarnaast blijkt dat de websites van de webwinkelkeurmerken zélf vaak ook onveilig zijn. Digisafe onderzocht de websites van dertien verschillende keurmerken: slechts vijf hebben een website zonder beveiligingslekken. „Bij een aantal is het zo ernstig dat je de gegevens van de aangesloten bedrijven er zo uit kunt trekken”, zegt Jasper Weijts van Digisafe.

Het is niet de eerste keer dat winkelen via internet onveilig blijkt. In 2011 ontdekte de 17-jarige communicatiestudent Daniël Heesen zeventien SQL-lekken bij webshops aangesloten bij thuiswinkel.org, waaronder babydump.nl en kabeltje.com. De webshops herstelden de lekken en thuiswinkel.org beloofde beterschap.

Bij de grote webwinkels, bol.com, neckermann.nl en wehkamp.nl is het veilig shoppen. Maar er komen de laatste jaren duizenden kleinere winkels op, die zich specifiek op één product richten. Kamerplanten, hangmatten, herensokken: overal is een webshop voor. En juist de kleine winkels hebben hun beveiliging niet altijd op orde. De webshops hangen van los geprogrammeerde onderdelen aan elkaar: de beveiligingsfouten zitten vaak in de verbindingen tussen die puzzelstukjes. Bovendien zijn de meeste kleine webshops gebouwd met standaard softwarepakketten. Voor die pakketten komen vaak updates uit – patches – vergelijkbaar met updates van je virusscanner of Windows. Veel webshops voeren die updates niet direct uit, waardoor de website kwetsbaar is.

Op het kantoor van Digisafe in IJsselstein tonen Jasper Weijts en Dick Snel wat een hacker zoal bij Parfum.nl kon buitmaken, voordat de website het lek verhielp. Lijsten van klantnamen doemen op. Inclusief thuisadressen, telefoonnummers, alle bestellingen, betaalde bedragen en e-mailadressen met versleutelde wachtwoorden.

Geen creditcardgegevens: webwinkels mogen in Nederland alleen onder strenge voorwaarden creditcardnummers opslaan in hun database. Betalingen op webshops zijn vaak uitbesteed aan aanbieders als iDeal en PayPal. Die bedrijven stellen strenge veiligheidseisen aan de verbinding tussen de bank en de webshop.

Parfum.nl zegt in een reactie dat eigen en externe programmeurs de lekken ondanks security scans niet opmerkten. Dat is vaker het probleem, volgens Daniël Heesen, inmiddels beveiligingsexpert: „Kleinere webwinkels zijn vaak al trots dat ze een site hebben opgezet. Ze missen de expertise om hun site te beveiligen.” Volgens Heesen kan een een beveiligingsbedrijf al voor 250 euro voorkomen dat een site SQL-lekken heeft. „Hacken is nooit te voorkomen, maar je kunt de kans wel tot het minimum beperken.”

Maar, wacht even. De webwinkels zijn toch door keurmerken gecertificeerd?

Een keurmerk is geen garantie voor een veilige website. Neem het ‘Thuiswinkel waarborg’, het keurmerk van onder meer parfum.nl. Het gaat hier enerzijds om een juridisch waarborg. Ofwel: krijg je genoeg tijd om je product te kunnen ruilen? Krijg je je geld terug als je bestelling niet aankomt? Sinds 2012 doet Thuiswinkel.org jaarlijks scans om leden op lekken te wijzen. Als uit zo’n scan blijkt dat een webshop onveilig is, is dat geen reden om direct het keurmerk af te nemen. „Webwinkels krijgen de tijd om fouten te herstellen”, zegt Wijnand Jongen van Thuiswinkel.org. Vorig jaar zette Thuiswinkel.org 44 webwinkels uit de vereniging, onder meer omdat zij niet voldeden aan gestelde eisen op het gebied van veiligheid.

Complete beveiliging bestaat niet

Voor andere keurmerken lijkt veiligheid helemaal geen issue. Mark Teurlings, voorzitter van Stichting Webshop Keurmerk (keurmerk.info: meer dan 3.000 leden), wil de onveiligheid van webshops graag „nuanceren”. „Het is net als een bank beroven”, zegt hij. „Als criminelen willen, kunnen ze. Complete beveiliging bestaat niet.” Volgens Teurlings is het risico op computercriminaliteit voor kleine webshops „verwaarloosbaar”. „Als het om bankgegevens gaat, ja dan is goede beveiliging cruciaal. Maar als het gaat om sokkenatelier.nl, dan zeg ik: lekker belangrijk. Geen enkele kleine webshop wordt gekraakt en misbruikt, zo dom zijn criminelen niet.”

Is dat zo? „Kletskoek”, reageert Michel van Eeten, hoogleraar internetveiligheid aan de TU Delft. „De meeste computercriminelen hacken geautomatiseerd. Dan maakt het dus niks uit of je een grote of een kleine webshop hebt – als de software niet gepatcht is, trekken de criminelen je gegevens er automatisch uit.”

Waarom worden geen strengere eisen gesteld? Het College bescherming persoonsgegevens (CBP) controleert alleen wanneer er klachten binnenkomen, en wanneer een datalek een grote groep mensen aantoonbaar treft. Preventief controleren is onmogelijk, zegt het CBP.

Onveilige webshops en keurmerken moeten worden aangepakt, zegt hoogleraar Van Eeten. „Bijvoorbeeld met een administratieve boete wanneer webshops gegevens niet goed beschermen. Een tik op de vingers, waardoor ze beter gaan opletten.”

Het CBP laat weten dat dergelijke wetgeving in de maak is – het wetsvoorstel ligt nu bij de Raad van State. Wanneer het wordt ingediend bij de Tweede Kamer is nog onduidelijk.