image

Test: helft 100 populairste Belgische webwinkels is onveilig

dinsdag 27 oktober 2015, 15:58 door Redactie, 7 reacties

De helft van de 100 populairste Belgische webwinkels bevat ernstige beveiligingsproblemen, aldus consumentenblad Test-Aankoop, dat vanwege de ernst de Privacycommissie heeft gevraagd om een aantal van de shops te sluiten. Er blijken verschillende dingen bij de winkels mis te zijn.

Een aantal van de webshops beheert wachtwoorden niet veilig. Ook komt het voor dat de webwinkels een gemakkelijke prooi voor phishing zijn, aldus het consumentenblad. "Bij 33 sites hebben we een lek gevonden waarmee hackers malafide software op de pc van klanten kunnen installeren of waarmee ze in staat zijn om hun shopsessies van op afstand over te nemen. Bij bepaalde sites hebben we zelfs een directe toegang tot de gegevens van de klanten gevonden."

Twee webwinkels, waaronder een online apotheek, waren kwetsbaar voor SQL-injection, waarmee een aanvaller toegang tot de database kan krijgen en bijvoorbeeld klantgegevens kan stelen. In het geval van de online apotheek ging het naast klantgegevens ook om het medisch dossier. Bij een andere webwinkel stonden in de code van de website de databasegegevens vermeld, zodat iedereen de database kon doorzoeken. Verder waren 33 websites kwetsbaar voor cross-site scripting.

Na te zijn ingelicht heeft een aantal webshops maatregelen getroffen. Bij vier online apotheken is dit nog niet gedaan. Test-Aankoop heeft daarom de Belgische Privacycommissie gevraagd om deze vier webshops direct te sluiten totdat alle veiligheidsproblemen zijn opgelost. "We eisen bovendien een striktere en concretere controle op de veiligheid van online winkels. De consument verdient een grotere bescherming wanneer hij zijn aankopen online doet."

Image

Reacties (7)
28-10-2015, 07:50 door karma4
Het zal in Nederland niet veel anders zijn.
Dan betekent dat dat de helft de ict zaakjes en data governance niet op orde heeft. Dat is schokkend als is het al wel bekend. Data vergaren is hip. Data security heeft het beeld van kostbaar en vervelend, komt als sluitstuk.

Wel raar dat er zo weinig op gereageerd wordt. Kennelijk leeft het idee dat alleen apparaten die je zelf kunt beetpakken relevant zijn voor je privacy. Als het in de cloud staat is het niet echt interessant meer.
28-10-2015, 10:28 door Anoniem
Door karma4: Het zal in Nederland niet veel anders zijn.
Dan betekent dat dat de helft de ict zaakjes en data governance niet op orde heeft. Dat is schokkend als is het al wel bekend. Data vergaren is hip. Data security heeft het beeld van kostbaar en vervelend, komt als sluitstuk.

Zoals we allemaal weten lopen er ontzettend veel prutsers rond die een website maken met PHP of die gebruik maken
van kant en klare CMS systemen geschreven in PHP. Met het boekje "PHP for dummies" in de hand!

Het zijn er zoveel dat er al het beeld is ontstaan dat dit op de een of andere manier goed is en inzetbaar in een omgeving
waar eisen aan gesteld worden, maar helaas is de werkelijkheid dat het alleen up-to-par is voor een Personal Home Page.
(waar het voor ontworpen is!)

Zolang de functie mysql_query niet verwijderd wordt uit PHP zullen we hier tegenaan blijven lopen.
28-10-2015, 11:02 door Anoniem
Test-aankoop is mediageil en doet maandelijks een actie om zo veel mogelijk publiciteit in België te genereren.

Voor dit verhaal heeft Onvio.nl een standaard Netsparker test losgelaten op 100 Belgische sites, zonder toestemming van de eigenaars.
Alhoewel er 3 sites inderdaad erg kwestbaar waren voor SQL injection of XSS, zijn volgens test-aankoop alle sites onveilig die eens opmerking van Netsparker hebben gekregen, zoals bijvoorbeeld geen HSTS header bij het gebruik van HTTPS communicatie...

De testen werden uitgevoerd in Augustus, maar de bedrijven werden nu pas gecontacteerd en kregen welgeteld 3 dagen tijd om alle problemen op te lossen onder bedreiging van publicatie. Veel van de nu pas gebubliceerde issues werden ook al in de tussentijd uit eigen beweging door de eigenaars opgelost.

Helemaal niet ethisch en eigenlijk een storm in een glas water...
28-10-2015, 19:50 door Anoniem
Het is wel erg dat een blijkbaar standaard scan leidt tot toegang van klantgegevens, ik vraag me af wat een hacker met een beetje tijd dan met die sites doet...
28-10-2015, 22:42 door Anoniem
1a: De automatische securityscanner zegt dat er MOGELIJK een XSS aanwezig is op de site van bedrijf A.
1b: Laten we geen moeite doen om na te gaan of het om een false positive gaat of niet.

2a: XSS kan IN BEPAALDE OMSTANDIGHEDEN gebruikt worden om een klantensessie over te nemen.
2b: Laten we in de media publiceren dat het mogelijk is om de klantensessies op de site van bedrijf A over te nemen.

...

4: Profit? In ieder geval gratis publiciteit!!!
30-10-2015, 14:17 door Anoniem
@anoniem Ik werk als zzp developer bij een van de webshops uit de lijst. We hebben een POC opgevraagd en die ook gekregen, ze gaven ook aan dat alle kwetsbaarheden geverifieerd zijn. Ik weet niet welke tool is gebruikt, want wij doen ook geautomatiseerde scans en die hadden het XSS lek nooit eerder gevonden (qualys webscan).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.