Geen enkele webwinkel is totaal veilig

Vorig jaar gaven Nederlanders 9,8 miljard uit aan online winkelen. Maar webshops hebben hun beveiliging niet altijd op orde. Ook de winkels met certificaat niet.

De site van webwinkel parfum.nl ziet er betrouwbaar uit. De URL-balk kleurt groen, rechts verschijnt een klein slotje, en links https:// – een veilige verbinding dus. Bovenaan de homepage schreeuwt een groene banner van het ‘Thuiswinkel waarborg’: parfum.nl won in 2011 de publieksprijs voor beste webwinkel in de categorie persoonlijke verzorging.

Dat zal wel goed zijn, toch?

Nee. Parfum.nl, waar jaarlijks duizenden Nederlanders een luchtje bestellen, was tot voor kort lek. Klantgegevens – naam, adres, telefoonnummer, e-mail, versleuteld wachtwoord – lagen voor hackers voor het oprapen. Voor deze publicatie heeft NRC parfum.nl gewezen op het lek, dat in ieder geval sinds 2009 aanwezig was. Inmiddels heeft de webshop het lek gedicht. Of er klantgegevens zijn ingezien is onbekend.

Deze week bleek uit de halfjaarlijkse Thuiswinkel Markt Monitor dat de omzet van de 30.000 tot 40.000 Nederlandse webwinkels vorig jaar, na het record van 9 miljard euro in 2011, opnieuw is toegenomen naar 9,8 miljard euro. Maar hoe veilig is online winkelen eigenlijk?

Beveiligingsbedrijf Digisafe uit IJsselstein onderzocht in opdracht van NRC de veiligheid van thuiswinkelsites, die zijn aangesloten bij de drie grote webwinkelkeurmerken: thuiswinkel.org, keurmerk.info en qshops.org, middels een (niet-representatieve) steekproef. Wat blijkt: van de zestig willekeurig gekozen websites bevat de helft beveiligingslekken. Bij één op de vijf sites is de klantendatabase voor hackers zichtbaar (een SQL-lek). Daarnaast onderzocht Digisafe de websites van de keurmerken zélf: van de dertien keurmerken hebben slechts vijf een website zonder beveiligingslekken.

Het is niet de eerste keer dat winkelen via internet onveilig blijkt. In 2011 ontdekte de 17-jarige communicatiestudent Daniël Heesen zeventien SQL-lekken bij webshops aangesloten bij thuiswinkel.org. De webshops herstelden de lekken en thuiswinkel.org beloofde beterschap.

Bij de grote webwinkels, bol.com, neckermann.nl en wehkamp.nl is het veilig shoppen. Maar er komen de laatste jaren duizenden kleinere winkels op, die zich specifiek op één product richten. Kamerplanten, hangmatten, herensokken: overal is een webshop voor. En juist de kleine winkels hebben hun beveiliging niet altijd op orde. De webshops hangen van los geprogrammeerde onderdelen aan elkaar: de beveiligingsfouten zitten vaak in de verbindingen tussen die puzzelstukjes. Bovendien zijn de meeste kleine webshops gebouwd met standaard softwarepakketten. Voor die pakketten komen vaak updates uit – patches. Veel webshops voeren die updates niet direct uit, waardoor de site kwetsbaar is.

Op het kantoor van Digisafe in IJsselstein tonen Jasper Weijts en Dick Snel wat een hacker zoal bij Parfum.nl kon buitmaken, voordat de website het lek verhielp. Lijsten van klantnamen doemen op. Inclusief adressen, telefoonnummers, alle bestellingen, betaalde bedragen en e-mailadressen met versleutelde wachtwoorden.

Geen creditcardgegevens: webwinkels mogen in Nederland alleen onder strenge voorwaarden creditcardnummers opslaan in hun database. Betalingen op webshops zijn vaak uitbesteed aan aanbieders als iDeal en PayPal. Die bedrijven stellen strenge veiligheidseisen aan de verbinding tussen de bank en de webshop.

Parfum.nl zegt in een reactie dat eigen en externe programmeurs de lekken ondanks security scans niet opmerkten. Dat is vaker het probleem, volgens Daniël Heesen, inmiddels beveiligingsexpert: „Kleinere webwinkels zijn vaak al trots dat ze een site hebben opgezet. Ze missen de expertise om hun site te beveiligen.” Volgens Heesen kan een beveiligingsbedrijf al voor 250 euro voorkomen dat een site SQL-lekken heeft. „Hacken is nooit te voorkomen, maar je kunt de kans wel tot het minimum beperken.”

Maar, wacht even. De webwinkels zijn toch door keurmerken gecertificeerd? Een keurmerk is geen garantie voor een veilige website. Neem het ‘Thuiswinkel waarborg’. Het gaat hier alleen om een juridisch waarborg. Ofwel: krijg je genoeg tijd om je product te kunnen ruilen? Krijg je je geld terug als je bestelling niet aankomt? Sinds 2012 doet Thuiswinkel.org jaarlijks scans om leden op lekken te wijzen. Als een webshop onveilig blijkt, is dat geen reden om direct het keurmerk af te nemen. „Webwinkels krijgen de tijd om fouten te herstellen”, zegt Wijnand Jongen van Thuiswinkel.org.

Voor andere keurmerken lijkt veiligheid helemaal geen issue. Mark Teurlings, voorzitter van Stichting Webshop Keurmerk (keurmerk.info: meer dan 3.000 leden), wil de onveiligheid van webshops graag „nuanceren”. „Het is net als een bank beroven”, zegt hij. „Complete beveiliging bestaat niet.” Volgens Teurlings is het risico op computercriminaliteit voor kleine webshops „verwaarloosbaar”. „Als het om bankgegevens gaat, ja, dan is goede beveiliging cruciaal. Maar als het gaat om sokken-atelier.nl, dan zeg ik: lekker belangrijk. Geen enkele kleine webshop wordt gekraakt en misbruikt, zo dom zijn criminelen niet.”

Is dat zo? „Kletskoek”, reageert Michel van Eeten, hoogleraar internetveiligheid aan de TU Delft. „De meeste computercriminelen hacken geautomatiseerd. Dan maakt het dus niks uit of je een grote of een kleine webshop hebt – als de software niet gepatcht is, trekken de criminelen je gegevens er automatisch uit.”

Waarom worden er geen strengere eisen gesteld? Onveilige webshops en keurmerken moeten worden aangepakt, zegt Van Eeten. „Bijvoorbeeld met een administratieve boete wanneer webshops gegevens niet goed beschermen. Een tik op de vingers, waardoor ze beter gaan opletten.”

Dergelijke wetgeving is in de maak – het voorstel ligt bij de Raad van State. Wanneer het wordt ingediend bij de Kamer is nog onduidelijk.