Deel dit artikel
-

Veel veiligheidslekken bij webwinkels en keurmerken

De databases van tenminste twaalf door keurmerken gecertificeerde webwinkels zijn lek. Daarmee zijn persoonlijke gegevens van klanten bij deze winkels voor hackers toegankelijk. Dat blijkt uit onderzoek van beveiligingsbedrijf Digisafe in opdracht van NRC Handelsblad.

Digisafe heeft de veiligheid onderzocht van thuiswinkelsites, die zijn aangesloten bij de drie grote webwinkelkeurmerken: thuiswinkel.org, keurmerk.info en qshops.org. Van de zestig willekeurig gekozen websites die Digisafe bekeek bevat de helft beveiligingslekken. Bij één op de vijf sites is de klantendatabase voor hackers zichtbaar (SQL lek, een veelgebruikte techniek om websites te kraken). Ook de websites van de webwinkelkeurmerken zélf zijn vaak onveilig.

Het is overigens niet de eerste keer dan beveiligingslekken worden aangetroffen. Thuiswinkel.org royeerde al eens 44 webwinkels, onder meer omdat zij niet voldeden aan gestelde eisen op het gebied van veiligheid.

Of het dagblad heeft betaald voor het onderzoek is niet duidelijk. Het Haagse bedrijf Digisafe lanceerde dit jaar zelf een keurmerk voor digitale veiligheid.

Deel dit bericht

6 Reacties

NRC

Toevoeging: NRC heeft niet betaald voor het onderzoek van Digisafe

Testonly

Hmm ja en een database zelf kan niet lek zijn.
SQL lek, bedoeld men waarschijnlijk sql injectie is mogelijk, dat ligt dan aan gebruikte software en toegangs instellingen. enz
Gedegen onderzoek niet dus.
Zie maar als reclame vvan Digisafe die die zegels verkoopt, en mogelijk daar sprak is van niet zegt men zelf al “(niet-representatieve) steekproef” Juist gekozen is uit de gebruikte platforms waar al lekken in bekend zijn bij Digisafe, om zo de voorpagina’s te halen. .

mike

lijkt me inderdaad dat ze sql injectie bedoelen. hoezo ligt dat aan de gebruikte software? alle systemen zijn hier vatbaar voor indien niet juist gemaakt. om die steekproef voor alle webwinkels representatief te krijgen moet je wel heel veel hacken. welke platforms zijn getest is toch niet bekend?

Redactie Emerce

SQL injectie wordt ook heel vaak als SQL lek aangeduid.

Testonly

“hoezo ligt dat aan de gebruikte software?””
1 bestand kan hier dus al mee bedoeld worden, hoeft maar 1 regel verkeerd te zijn, bij wijze van spreke.
Bedoelde dus niet welk software systeem in deze sorry 😉

En ja dat van niet bekend zijn van welke platforms, daar zie ik dus als, wat onderzoek en journalistiek betreft een duidelijk tekoort koming, en mede aanwijziging dat het hier om “verdekte/open reclame / antireclame” gaat 😉

mike

overdrijven is ook een vak.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond