Bron: http://twinklemagazine.nl/nieuws/2011/1 ... /index.xml


150 leden Thuiswinkel.org op lijst met lekke webwinkels

Ongeveer 150 leden van Thuiswinkel.org zijn kwetsbaar voor xss-lekken of sql-injecties, waardoor gegevens van klanten kunnen worden onderschept. Dat blijkt uit een onderzoek van een student, waarover Webwereld en Tweakers zojuist hebben gepubliceerd.

Onder andere de webwinkels van V&D, Kruidvat en BCC blijken lek, aldus Webwereld vanochtend. De lekkages kwamen boven door een onderzoek van de 17-jarige ict-student Daniël Heesen, die later vandaag een rapport met zijn bevindingen publiceert.

Thuiswinkel Waarborg
Heesen nam in twee dagen tijd twaalfhonderd sites die het Thuiswinkel Waarborg dragen onder de loep. Volgens Tweakers controleerde de student iedere site op één plek. Meestal ging het daarbij om het zoekveld, waarin hij zogenoemde strings invoerde die op beveiligingsproblemen kunnen duiden.

Xss-lekken
Op 143 sites heeft Heesen xss-lekken (cross-site scripting) gevonden. 'Daarmee kunnen kwaadwillenden de lekkende webwinkels voorzien van eigen pagina's, informatie of programmacode waardoor winkelbezoekers gevaar lopen', aldus Webwereld. Op deze lijst staan de namen van onder meer V&D, Kruidvat, BCC, Marskramer en Belcompany.

Sql-injecties
Heesen ontdekte dat 18 van de twaalfhonderd sites kwetsbaar zijn voor sql-injecties. Webwereld: 'Daarmee kan een kwaadwillende eigen commando's geven aan de achterliggende database van een website. De inhoud - al dan niet geheel - van zo'n database kan daarmee worden buitgemaakt.' Onder andere Baby-dump.nl en Kabeltje.com bevatten dergelijke kwetsbaarheden, maar deze zijn inmiddels gedicht.

Waarschijnlijk meer gaten
Volgens Heesen zijn de gevonden lekken waarschijnlijk niet de enige gaten in de beveiliging van de onderzochte webwinkels. 'Ik heb bijvoorbeeld niet gecontroleerd op blinde sql-injecties', aldus de student tegen Tweakers. Bij blinde sql-injecties is een website wel kwetsbaar voor sql-injectie, maar worden de resultaten van een opdracht niet weergegeven. Een hacker kan dan via een omweg alsnog commando's uitvoeren.

De bron van Twinkle Magazine: http://webwereld.nl/nieuws/108443/webwi ... r-lek.html

En ja, er is veel lek. Dat is trouwens niet nieuw en niet alle lekken zijn even ernstig. Zo wil een lek nog niet zeggen dat er ook werkelijk iets lekt want soms kan er wel bij de data gekomen worden maar zolang die versleuteld zijn opgeslagen wil dat niet zeggen dat je er ook iets mee kan bijvoorbeeld.

Hoe schadelijk al die lekken zijn en wat er precies lekt publiceert Webwereld helaas niet. De echt belangrijke informatie is dus nog niet bekend.

Tja... dat is allang bekend dat er veel winkels lek zijn... er is dan nu iemand geweest die het echt getest heeft...

Jammer alleen dat er zo gefocust word op thuiswinkel.org alsof die er wat aan kunnen doen dat hun leden de software niet op orde hebben.

eentje schreef:Jammer alleen dat er zo gefocust word op thuiswinkel.org alsof die er wat aan kunnen doen dat hun leden de software niet op orde hebben.

Niet mee eens. Thuiswinkel.org is er in feite ter bescherming van de consument. Wanneer zo'n logo in een webshop prijkt kun je als consument vertrouwd je bestelling plaatsen. Maar wat is zo'n keurmerk waard als anderen met jouw persoonlijke gegevens aan de haal kunnen? Okee, als bij een inbraak de complete boekhouding wordt ontvreemd kan het natuurlijk ook, maar in deze tijd van virussen, spammers en hackers had dit allang een voorwaarde in hun keurmerk programma moeten zijn.

eentje schreef:Jammer alleen dat er zo gefocust word op thuiswinkel.org alsof die er wat aan kunnen doen dat hun leden de software niet op orde hebben.

Ergens snap ik het wel. Bij díe webwinkels verwacht je dat het op orde is. Gaten zoeken in webwinkels die geen keurmerken dragen is natuurlijk niet zo spannend of nieuwswaardig.

Maar ik ben het helemaal met je eens. Het causale verband tussen de Thuiswinkel Organisatie en het blijkbaar hackbaar zijn, is mij ook zoek. Het is niet echt de taak van de Thuiswinkel Organisatie om de wetgeving op stelen en inbreken te handhaven. De branchevereniging Transport & Logistiek kijkt ook niet hoeveel van hun leden te hard rijden op de snelweg, en daarmee Nederland in gevaar brengen.

Natuurlijk moeten ze er wat mee nu het zo in het nieuws is en dat doen ze ook. Maar het is meer het probleem van de programmeurs en internetbureau's die de sites voor veel geld verkocht hebben dan van een branchevereniging die het online winkelen stimuleert door transparantie, standaardisatie en veiligheid in de branche te brengen.

Het lek bij Cheaptickets.nl was eigenlijk niet eens zo erg als ze maar Windows up-to-date hadden. En dat is echt niet iets dat een brancheverenigiging kan controleren.

Maar goed. Media is sterk. En zolang het voor mensen hip en stoer is om lekker te rommelen in andermans code, en na het succesvol inbreken niet worden opgepakt, maar juist op een voetstuk gezet worden, zal er wat moeten gebeuren. En dus moeten de keurmerken en webwinkels aan de bak! Duidelijk.

Dirkjan schreef:Het lek bij Cheaptickets.nl was eigenlijk niet eens zo erg als ze maar Windows up-to-date hadden. En dat is echt niet iets dat een brancheverenigiging kan controleren.

Een branchevereniging kan wel best practices aanbevelen of een protocol invoeren dat leden moeten volgen (waaronder: houd je software up-to-date). Het keurmerk belooft immers een waarborg, dus dan moet er toch wel wat geborgd worden.

Natuurlijk! Hacken & programmeren was niet de expertise van het keurmerk, maar nu de media er bovenop zit, zullen ze dat ongetwijfeld meenemen. Ze liggen nu even onder vuur (waarbij ik persoonlijk vind dat het niet helemaal aan hen toe te rekenen is) maar komen binnenkort ongetwijfeld met persberichten dat de veiligheid op dit gebied bij hun leden beter dan ooit, beter dan waar ook ter wereld et cetera. En waarschijnlijk doe ik daar op mijn weblog dan graag aan mee.

"Hoge bomen vangen veel wind."

Ook mijn boompje had wind gevangen, zo valt te lezen. Wordt wel heel erg gehyped allemaal, maar toch goed dat ze de webwinkels testen.

Wouter Hol schreef:Ook mijn boompje had wind gevangen, zo valt te lezen. Wordt wel heel erg gehyped allemaal, maar toch goed dat ze de webwinkels testen.

Prima hoor die testen, alleen en sorry daar is die ouwe weer,
de ervaring uit het verleden leren dat door dergelijke testen er een kans bestaat dat er (nieuwe) regelgeving aan vast zit.
En regels en wetten voor ondernemers zijn er al veel te veel.
En er ontstaat een rechtongelijkheid van wetten en regels tussen de steen(en)winkel en de internetwinkel.
VVD beloofde in verkiezingen, minder regeldruk voor ondernemers.
Laat ik hier maar geen politiek getinte uitspraken doen....
Kijk maar of die ouwe zeur straks gelijk krijgt.

EDIT: vergeet ik nog te vermelden dat regels meestal geld gaan kosten.

De lekken zouden niet ontstaan zijn als de regels juist nageleefd zouden zijn.

Dus in dit geval meer een kwestie van foutje....