Ernstige veiligheidslekken bij webwinkels

Foto ANP / Lex van Lieshout

De toegang tot databases van ten minste twaalf door keurmerken gecertificeerde webwinkels zijn lek. Daarmee zijn persoonlijke gegevens van klanten bij deze winkels voor hackers toegankelijk. Dat blijkt uit onderzoek van beveiligingsbedrijf Digisafe in opdracht van NRC.

Digisafe onderzocht de veiligheid van thuiswinkelsites, die zijn aangesloten bij de drie grote webwinkelkeurmerken: thuiswinkel.org, keurmerk.info en qshops.org, door middel van een (niet-representatieve) steekproef.

Wat blijkt: van de zestig willekeurig gekozen websites (twintig per keurmerk) die Digisafe bekeek bevat de helft beveiligingslekken. Bij één op de vijf sites is de klantendatabase voor hackers zichtbaar (een zogenoemd SQL-lek).

Daarnaast blijkt dat de websites van de webwinkelkeurmerken zélf vaak ook onveilig zijn. Digisafe onderzocht de websites van dertien verschillende keurmerken: slechts vijf hebben een website zonder beveiligingslekken.

Jasper Weijts van Digisafe:

“Bij een aantal is het zo ernstig dat je de gegevens van de aangesloten bedrijven er zo uit kunt trekken.”

Het is niet de eerste keer dat er bij webwinkels SQL-lekken zijn geconstateerd. In 2011 ontdekte de 17-jarige communicatiestudent Daniël Heesen zeventien SQL-lekken bij webshops aangesloten bij thuiswinkel.org, waaronder babydump.nl en kabeltje.com. Vorig jaar zette Thuiswinkel.org 44 webwinkels uit de vereniging, ondermeer omdat zij niet voldeden aan gestelde eisen op het gebied van veiligheid.

De omzet van de 30.000 tot 40.000 Nederlandse webwinkels ligt ondertussen op een recordniveau, blijkt uit de halfjaarlijkse Thuiswinkel Markt Monitor die vandaag wordt gepubliceerd. Na het record van 9 miljard euro in 2011 lag de omzet vorig jaar op 9,8 miljard euro.

Lees meer vandaag in nrc.next. Abonnees lezen het stuk ook in de digitale editie.