Thuiswinkel.org biedt geen garantie tegen hackers
Het Thuiswinkel.org keurmerk dat op veel webwinkels aanwezig is, wil niet zeggen dat klantgegevens ook veilig zijn. Dat laat het bedrijf in een reactie op de hack bij Baby-Dump weten. Vrijdag verschenen de gegevens van ruim 500 klanten online, waarbij in eerste instantie werd aangenomen dat de data bij KPN was buitgemaakt. Thuiswinkel.org zegt dat het leden tools en een gratis veiligheidsscan aanbiedt. "Het Waarborg biedt echter geen garantie tegen ‘hackers’", aldus de organisatie.
Certificaat
Die verplicht webwinkels om op pagina's met persoonsgegevens een SSL-certificaat te gebruiken. Hierdoor zijn de gegevens tijdens het transport van de computer van de klant naar de server van de webwinkel beveiligd, maar zegt nog niets over de veiligheid van de webwinkel zelf. Het waarborg garandeert dan ook geen "volledig veiligheid" en dat de websites van leden niet gehackt kunnen worden.
Aangezien het geen garantie voor veilige webwinkels kan geven, vindt de organisatie dat de verantwoordelijkheid hiervoor in eerste plaats bij de website zelf ligt. Toch besloot Thuiswinkel op Baby-Dump.nl een extra scan uit te voeren. De resultaten daarvan worden in de loop van vandaag verwacht.
Nou, klinkt veel belovend. een scan om te kijken of ze https gebruiken voor de inlogprocedure. Dat ze dat doen weten we al. Laten ze nou gewoon toegeving dat ze helemaal niet gekwalificeerd zijn in het uitvoeren van beveiligingschecks.
Die verplicht webwinkels om op pagina's met persoonsgegevens een SSL-certificaat te gebruiken. Hierdoor zijn de gegevens tijdens het transport van de computer van de klant naar de server van de webwinkel beveiligd
Voorbeeld: ga naar https://www.vliegwinkel.nl/ en merk op dat je wordt doorgestuurd naar http://www.vliegwinkel.nl. Klik rechtsboven http://www.vliegwinkel.nl/ op login. Als je al een account hebt, en daar je e-mail adres en password invult, worden je gegevens plain-text verzonden (http), inclusief jouw wachtwoord.
Zie https://secure.security.nl/artikel/38715/1/Thuiswinkel%3A_Toezicht_faalde_bij_DigiNotar.html en http://www.security.nl/artikel/36753/vliegwinkel.nl_onbeveiligd%3F.html waarin dit eerder is aangekaart. Behalve dat Thuiswinkel haar klanten niet controleert lezen ze kennelijk ook security.nl niet.
Er wordt SSL gebruikt om persoons- en betaalgegevens veilig via het Internet te transporteren, maar dit zegt niets over een veilige opslag.
Hiermee wordt het onvermogen en het gebrek aan kennis aangetoond van webwinkels.
http://pastehtml.com/view/bo3m7ywmu.rtxt
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
